Appel public à commentaires sur la mise à jour du référentiel d’exigences applicables aux prestataires de réponse aux incidents (PRIS)

L’ANSSI publie la mise à jour du référentiel d’exigences applicables aux prestataires de réponse aux incidents de sécurité (PRIS) pour un appel public à commentaires.

Celle-ci a été élaborée en concertation avec les acteurs du marché, l’ANSSI et au travers des retours d’expérience de la mise en œuvre du référentiel PRIS depuis 2017.

Les principales mises à jour proposées sont les suivantes :

création de deux niveaux d’assurance (substantiel et élevé) et répartition des exigences selon ces deux niveaux afin de mieux adapter l’offre aux besoins de bénéficiaires variés par leur taille, par leur moyen et par les éventuelles obligations légales ou réglementaires auxquelles ils doivent se conformer. L’introduction des niveaux d’assurance substantiel et élevé permet de s’aligner avec le règlement européen relatif à la certification de la cybersécurité (Cybersecurity Act) ;
simplification des exigences générales et homogénéisation de celles-ci avec les référentiels applicables aux prestataires d’audit de la sécurité des systèmes d’information (PASSI), aux prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS) et aux prestataires de détection des incidents de sécurité (PDIS) ;
facilitation du démarrage d’une prestation de réponse aux incidents qualifiée en cas d’urgence. Notamment, les exigences relatives à la convention de service ont été allégées et la notion de note de cadrage créée afin de réduire certaines procédures administratives et de permettre au prestataire d’intervenir plus rapidement en cas d’urgence ;
création de nouvelles activités et adaptation des activités existantes pour répondre aux nouveaux besoins. La version en vigueur du référentiel PRIS, dont la rédaction a été initiée en 2014, se focalise essentiellement sur la protection des opérateurs d’importance vitale contre des menaces de niveau étatique. La multiplication de certains types d’incidents (ransomware, etc.) conduit à proposer une couverture plus large et modulaire de la menace. La mise à jour du référentiel PRIS simplifie les notions d’activités et de prestations, les dépendances entre les activités ont été réduites et le respect de l’ensemble des étapes successives d’une prestation qualifiée n’est plus obligatoire. L’ajout ultérieur de nouvelles activités de réponse aux incidents est facilité.

Les observations, commentaires et propositions peuvent être transmis jusqu’au 2 juin 2023, de préférence par courriel, à l’adresse commentaires-passipdispris[at]ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous.

Afin de faciliter le travail de relecture, deux versions du référentiel mis à jour sont mises à disposition : une version sans marque de révision et une version avec marques de révision permettant d’identifier l’ensemble des modifications apportées.

Le public cible de cet appel public à commentaires est le suivant :

les prestataires de réponse aux incidents qualifiés ou en cours de qualification ;
les prestataires souhaitant obtenir la qualification de leur service de réponse aux incidents ;
les organismes procédant à l’évaluation de la conformité de prestataires de réponse aux incidents au référentiel ;
les bénéficiaires et commanditaires de prestations de réponse aux incidents.

L’ANSSI publiera, à l’issue de l’appel public à commentaires et après consolidation des commentaires reçus, la mise à jour du référentiel.

Les modalités de transition pour les prestataires de réponse aux incidents de sécurité qualifiés et en cours de qualification seront également publiées.
L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.