Le référentiel PDIS : ce qu'il faut savoir

Articles de blog

Dans le cadre de la Loi de Programmation Militaire, les OIV doivent se doter d’un SOC (Centre Opérationnel de Cybersécurité) qui leur est propre ou déléguer cette tâche à des fournisseurs externes. Dans les deux cas, le SOC doit répondre aux exigences du référentiel PDIS (Prestataire de Détection des Incidents de Sécurité) de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) qui ne compte pas moins de 400 exigences. En effet, le SOC est une cible de choix pour les attaquants et la protection de son infrastructure est un point essentiel. Le référentiel PDIS et la qualification des prestataires par l’ANSSI permettent de garantir aux OIV (Opérateurs d’Importance Vitale) un niveau de sécurité élevé.

Les Prestataires de Détection d'Incidents de Sécurité (PDIS) interviennent auprès de commanditaires pour collecter des événements au sein d'un système d'information, les analyser et notifier les incidents détectés.

Leurs missions sont regroupées autour de trois activités distinctes :
  1. La gestion des incidents : identifier et de qualifier un incident de sécurité sur la base d'événements collectés. Stocker et capitaliser sur les incidents de sécurité dans le but d'améliorer le service.
  2. La gestion des événements : recueillir et stocker les événements de sécurité.
  3. La gestion des notifications : informer le commanditaire sur les incidents de sécurité détectés et stocker ces notifications.

Les activités de réaction et de remédiation sont hors périmètre du service de détection des incidents. Elles sont traitées par les Prestataires de Réponse aux Incidents de Sécurité (PRIS).

Le système d'information du PDIS est organisé en zones de confiance, cloisonnées entre elles par des mécanismes de filtrage, d'authentification et de contrôle d'accès. Les zones de confiance du système d'information du service de détection sont les suivantes :
  • zones de collecte : collecteurs centraux, systèmes de stockage d’événements.
  • zones d'analyse : outils techniques d’analyse des incidents de sécurité.
  • zones de notification : systèmes de notification à destination du commanditaire, systèmes de message.
  • zones d'échange commanditaire : portail web.
  • zones d'administration : ensemble des outils et des postes d’administration.
  • zones de mise à jour.
  • zones d'exploitation : postes des opérateurs.
  • zones d'échange, distinctes entre les administrateurs et les opérateurs.

Allez plus loin avec notre Guide Pratique
sur les obligations des OIV dans le cadre de la LPM

Détection, protection de l’infrastructure… retrouvez toutes les obligations des OIV dans notre nouveau guide pratique !



Téléchargez le guide


D’autres zones externes aux SI du service de détection et internes au SI du commanditaire doivent être mises en place :
  • zones internet : postes mis à disposition des opérateurs et des administrateurs du service de détection pour accéder à internet ou à d’autres SI que ceux du service.
  • enclave de collecte pour l’hébergement des dispositifs de collecte du service de détection déployés chez le commanditaire.
  • enclave de consultation pour l’hébergement des dispositifs accédant à la zone d’échange commanditaire.

Blog Gatewatcher - Organisation d’un SOC PDIS Représentation simplifiée d’une architecture type du service de détection des incidents de sécurité (Source : ANSSI)

Les premières qualifications PDIS ont été délivrées en début d’année, lors de la 11ème édition du Forum International de la Cybersécurité. Ces qualifications désignent les entreprises qui sont capables de proposer des prestations conformes au référentiel d’exigences applicables aux prestataires de détection des incidents de sécurité. Parmi les heureux élus on retrouve Orange Cyberdefense, Sopra Steria et Sogeti. Ces premiers prestataires qualifiés par l’ANSSI peuvent donc désormais assurer le rôle de SOC pour les Opérateurs d’Importance Vitale.

Pour aller plus loin

Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.