Qu'est-ce qu'un prestataire PRIS ?
Le référentiel PRIS (Prestataires de Réponses aux Incidents de Sécurité) est un ensemble d'exigences de sécurité strictes élaboré par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Il s'inscrit dans le cadre réglementaire du Décret n° 2015-350 du 27 mars 2015, relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale.
Ce référentiel formalise les exigences organisationnelles, physiques, techniques et humaines nécessaires pour mener à bien des activités de gestion, de confinement et d'éradication des menaces cyber après leur détection. L'évaluation menée par LSTI selon ce référentiel permet de vérifier la conformité d'un prestataire avant que l'ANSSI ne prenne la décision finale de qualification.
Cette reconnaissance officielle est essentielle pour les entités (OIV, OSE, administrations) qui nécessitent un partenaire fiable pour leur Cybersécurité opérationnelle.
Les portées de la qualification
La qualification PRIS n'est pas globale ; elle est accordée spécifiquement pour une ou plusieurs activités de réponse aux incidents de sécurité définies par l'ANSSI. Lors de l'évaluation menée par LSTI, le prestataire doit démontrer sa conformité et faire valoir la compétence technique et humaine de son équipe pour chacune des activités visées :
- Recherche d’indicateurs de compromission (REC) : Cette activité consiste à rechercher méthodiquement les traces d’une compromission au sein d’un système d’information. Elle peut être menée seule, en parallèle d'une analyse de codes malveillants, ou intégrée dans une investigation numérique.
- Investigation numérique (INV) : Elle consiste à collecter et analyser les informations et les supports au sein d’un système d'information pour confirmer (ou infirmer) une compromission. Elle permet d'identifier le périmètre, la chronologie, le mode opératoire de l'attaquant et de caractériser ses objectifs ainsi que son potentiel d'attaque. Elle implique des analyses approfondies de type système et/ou réseau.
- Analyse de codes malveillants (CODE) : Cette activité de rétro-ingénierie consiste à analyser les codes malveillants découverts afin de comprendre précisément leur comportement, leur fonctionnement technique et leurs impacts sur l'infrastructure.
- Pilotage et coordination des investigations (PCI) : Essentielle dans le cas de situations graves ou complexes, cette activité consiste à coordonner et diriger la réalisation simultanée de plusieurs autres activités techniques (REC, INV et/ou CODE) pour assurer une réponse structurée.
- Gestion de crise d’origine cyber (CRISE) : Cette activité apporte une assistance et un accompagnement organisationnel et stratégique au profit du bénéficiaire face à des situations exceptionnelles ou complexes impactant ses activités métiers. Le prestataire agit en appui capacitaire et conseil expert, sans jamais se substituer aux responsabilités et organes décisionnels du client (représentant légal, direction juridique ou communication).
Le référentiel précise qu'une activité entièrement automatisée ne constitue pas une activité qualifiable au sens du PRIS. De plus, selon le niveau de complexité ou l'évolution de l'incident de sécurité, le prestataire qualifié dispose de la flexibilité nécessaire pour adapter ou omettre certaines étapes de la prestation (étapes 3 à 7 du chapitre VI du référentiel).
Les Niveaux de Qualification du référentiel PRIS
Le référentiel PRIS se décline en deux niveaux de qualification distincts, selon la sensibilité des environnements et des données traités lors des prestations de réponse aux incidents :
Le Niveau Substantiel
- Cible : Conçu pour la protection des systèmes d'information des entreprises et administrations face à des menaces courantes et avancées, sans manipulation d'informations portant une mention de protection spécifique.
- Exigences : Il impose un socle de sécurité robuste (gouvernance SSI, gestion sécurisée des accès, processus de réponse documentés, et validation des compétences clés).
- Système d'Information (SI) d'évaluation : Le prestataire doit opérer sur un système d'information dédié et sécurisé respectant scrupuleusement les exigences de confidentialité et d'isolation de ce niveau, afin de traiter en toute sécurité les données d'incidents de ses clients.
Le Niveau Élevé
- Cible : Destiné aux interventions sur des infrastructures hautement critiques (Opérateurs d'Importance Vitale - OIV, administrations souveraines) et face à des menaces étatiques ou extrêmement sophistiquées.
- Homologation Diffusion Restreinte (DR) : Pour obtenir le niveau Élevé, le prestataire doit obligatoirement disposer d'un système d'information homologué pour la protection d'informations et supports portant la mention de protection « Diffusion Restreinte ».
- Usage strict du SI : Dans le cadre d'une prestation de niveau Élevé, le prestataire a l'obligation d'utiliser son SI homologué Diffusion Restreinte, quel que soit le marquage initial des informations fournies par le commanditaire.
- Note de flexibilité : Un prestataire qualifié au niveau Élevé peut également réaliser des prestations de niveau Substantiel. Pour ces dernières, il peut choisir d'utiliser soit son SI homologué DR, soit un second SI distinct conforme aux exigences du niveau Substantiel pour les données non marquées DR.
Quels sont les enjeux de la qualification PRIS ?
Le choix d'un prestataire qualifié PRIS ou l'obtention de cette qualification par un centre d'évaluation comme LSTI représente des enjeux stratégiques majeurs :
- Résilience et réactivité optimale : Assurer la mise en œuvre de processus d'intervention standardisés, rapides et efficaces pour contenir les cyberattaques et réduire l'indisponibilité des systèmes d'information.
- Garantie d'une expertise humaine de haut niveau : S'assurer que les investigations sont menées par des analystes dont les compétences pointues (pilotage, système, réseau, code malveillant) ont été validées de manière impartiale.
- Protection des données hautement sensibles : Garantir que le prestataire manipule et protège les informations liées aux incidents de sécurité avec le plus haut niveau de confidentialité, en conformité avec les règles de la sécurité nationale.
- Conformité réglementaire : Permettre aux donneurs d'ordres critiques d'aligner leurs pratiques avec les exigences de l'État en matière de sécurité des systèmes d'information.
- Minimisation des impacts : Limiter de manière drastique les pertes financières, légales, et réputationnelles grâce à une analyse méthodique et une éradication définitive de la menace.
À qui s'adresse cette qualification PRIS ?
La qualification PRIS s'adresse aux prestataires de services de cybersécurité, et notamment aux équipes de réponse aux incidents (CSIRT / CERT) adossées ou non à un SOC (Security Operations Center), qui souhaitent démontrer officiellement la conformité de leurs prestations.
Elle vise en particulier les structures accompagnant les entités soumises à des obligations de sécurité renforcées par l'ANSSI, telles que :
- Les autorités administratives.
- Les Opérateurs d'Importance Vitale (OIV).
- Toute entreprise désireuse d'apporter un gage de confiance absolue et de transparence à ses clients dans la gestion de leurs crises cyber.
Comment se déroule l'évaluation PRIS ?
Le prestataire initie sa demande auprès de LSTI (avant ou après le dépôt de son dossier jalon J0 à l'ANSSI).
Les auditeurs et experts techniques de LSTI sont des professionnels confirmés de la cybersécurité. Ils disposent d'une maîtrise approfondie des référentiels de l'ANSSI, des pratiques de management de la sécurité de l'information et des cadres de confiance numérique.
Le processus d'évaluation de la conformité se découpe en plusieurs phases clés, menées par des auditeurs LSTI soumis au secret professionnel le plus strict:
L'évaluation du prestataire (en deux étapes)
- L'étude documentaire : Analyse approfondie de la documentation, de la structure juridique et de l'organisation du prestataire (PSSI, analyse de risques, architecture SI). Un rapport d'étude documentaire est remis sous 30 jours pour valider la préparation à la suite de l'audit. Le délai maximum entre cette étude et l'audit sur site est de 6 mois.
- L'audit des processus, des locaux et du SI (Sur Site) : Vérification sur le terrain du respect des politiques internes, de la sécurité physique, de la protection des réseaux et de la fiabilité des systèmes (outils cryptographiques, etc.). À l'issue des investigations, une réunion de clôture permet de valider et de présenter oralement les fiches d'écarts.
L'évaluation des compétences des analystes (niveau élevé)
En parallèle, chaque analyste pour lequel la reconnaissance est demandée doit passer des examens rigoureux organisés par LSTI:
- Épreuve écrite : Des examens écrits anonymes portant sur les spécialités techniques (pilotage, système, réseau, ou code malveillant) où le candidat doit obtenir au moins 28 points sur 50.
- Épreuve orale : Un entretien devant un jury d'experts visant à évaluer le comportement, l'expression et à confirmer les compétences professionnelles du candidat.
Finalisation et décision
Le responsable d'audit transmet le rapport final, la trame qualifiée et le tableau des écarts à LSTI dans un délai de 3 mois. Après validation et accord, ces éléments sont transmis à l'ANSSI. Un diaporama de synthèse est présenté à l'ANSSI en vue du jalon d'acceptation (J2), l'ANSSI restant la seule autorité décisionnaire de la qualification.
Vos questions sur la qualification PRIS
En savoir plus
sur nos autres qualifications
Pourquoi choisir LSTI ?

Expertise reconnue
Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Auditeurs spécialisés
Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Tiers indépendant et accompagnement dédié
LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.




