Notification incidents DORA : procédure et délais

Le deuxième pilier du règlement DORA (articles 17 à 23) impose aux entités financières un régime harmonise de classification et de notification des incidents TIC. Ce régime vise à permettre aux autorités de supervision d’avoir une vision consolidée des menaces pesant sur le système financier européen et de coordonner les réponses. Depuis le 17 janvier 2025, toutes les entités financières soumises à DORA doivent avoir mis en place les processus et les outils nécessaires pour respecter ces obligations.

Cet article détaille la procédure de notification, les seuils de classification, les délais applicables et les bonnes pratiques opérationnelles.

La classification des incidents TIC

Le processus de détection et de classification

Toute entité financière doit mettre en place un processus permettant de détecter les incidents TIC, de les classifier selon leur sévérité, et de déterminer si une notification aux autorités est requise. Ce processus s’intègre dans le cadre de gestion des risques TIC impose par le premier pilier de DORA.

La classification repose sur une évaluation multicritere. Un incident est qualifié de majeur lorsqu’il atteint les seuils définis par les normes techniques de réglementation (RTS) adoptées par les autorités européennes de surveillance.

Les critères de classification

Les critères de classification des incidents TIC majeurs, définis à l’article 18 de DORA et précises par les RTS, sont :

Le nombre de clients affectés : le nombre de clients ou de contreparties financières impactes par l’incident, directement ou indirectement. Un incident affectant un nombre significatif de clients dépasse les seuils de classification.

La durée de l’incident : la durée pendant laquelle les services sont indisponibles ou degrades. Les seuils varient selon la criticite des services affectés.

L’étendue géographique : le nombre d’États membres dans lesquels l’incident produit des effets.

Les pertes de données : la perte de disponibilité, d’authenticité, d’intégrité ou de confidentialité des données. Ce critère inclut les violations de données personnelles, qui declenchent également les obligations du RGPD en matière de gestion des incidents données.

La criticite des services affectés : l’impact sur les fonctions critiques ou importantes de l’entité financière.

L’impact économique : les coûts directs et indirects de l’incident (pertes financières, coûts de remédiation, pénalités contractuelles).

Un incident est qualifié de majeur s’il atteint les seuils sur au moins deux de ces critères. Les RTS définissent des valeurs numériques précises pour chaque critère.

La classification volontaire des cyber-menaces

Le règlement DORA prévoit également la notification volontaire des cyber-menaces significatives (article 19). Même en l’absence d’incident avéré, une entité financière peut notifier à son autorité compétente une menace cyber significative qu’elle a détectée. Cette notification volontaire contribue à la veille collective du secteur.

La procédure de notification

La notification initiale

La notification initiale doit être envoyée à l’autorité compétente dans les meilleurs délais après la détection et la classification de l’incident comme majeur, et au plus tard avant la fin du jour ouvrable suivant la classification.

Le contenu de la notification initiale comprend l’identification de l’entité declarante, la date et l’heure de détection de l’incident, la description sommaire de l’incident, les systèmes et services affectés, le nombre estimatif de clients concernés, les premières mesures d’attenuation prises, et la qualification préliminaire de la sévérité.

La notification intermédiaire

La notification intermédiaire doit être envoyée dans un délai d’une semaine après la notification initiale, ou plus tot si le statut de l’incident change significativement. Elle doit mettre à jour les informations de la notification initiale avec les éléments suivants : la classification détaillée de l’incident (confirmation ou révision de la sévérité), l’analyse des causes identifiées, les mesures d’attenuation mises en oeuvre et leur efficacité, l’estimation des impacts (nombre de clients, pertes financières, durée), et l’état d’avancement du rétablissement.

Le rapport final

Le rapport final doit être envoyé dans un délai d’un mois après la notification intermédiaire, une fois que l’incident est résolu et que l’analyse des causes profondes est terminée. Ce rapport comprend une description complète de l’incident du début à la resolution, l’analyse des causes profondes (root cause analysis), l’évaluation complète des impacts (financiers, opérationnels, réputationnels), les mesures correctives mises en oeuvre, les leçons tirées et les actions preventives engagees, et le cas échéant, l’identification des défaillances de prestataires TIC impliqués.

Les autorités destinataires

En France

Les autorités compétentes pour la réception des notifications d’incidents DORA en France sont l’ACPR (Autorité de contrôle prudentiel et de resolution) pour les établissements de crédit, les entreprises d’assurance et les institutions de prévoyance, l’AMF (Autorité des marchés financiers) pour les sociétés de gestion, les entreprises d’investissement et les plateformes de négociation, et la Banque de France pour les systèmes de paiement et les infrastructures de marché.

Le guichet unique futur

Le règlement DORA prévoit la possibilité d’établir un guichet unique européen de notification des incidents TIC, centralisant les notifications au niveau de l’UE. Ce projet est en cours d’étude et viserait a simplifier le processus de notification pour les entités opérant dans plusieurs États membres.

Les outils et processus internes

Le système de gestion des incidents

L’entité financière doit disposer d’un système de gestion des incidents intégrant la détection automatisée des anomalies et incidents, la qualification et classification selon les critères DORA, le déclenchement automatique des circuits de notification, la production des formulaires de notification, le suivi du cycle de vie de l’incident, et l’archivage de la documentation.

Les fiches réflexes

L’élaboration de fiches réflexes pour les principaux scénarios d’incidents est une bonne pratique essentielle. Ces fiches doivent prévoir les actions immediates de confinement, les circuits d’escalade interne, les notifications aux autorités (avec modèles pré-remplis), les communications aux clients le cas échéant, la coordination avec les prestataires TIC, et l’activation des plans de continuité.

Les exercices de simulation

Les tests de résilience imposés par DORA doivent inclure des exercices de simulation d’incidents majeurs testant spécifiquement la capacité de l’entité à respecter les délais de notification. Ces exercices permettent d’identifier les goulets d’etranglement dans le processus de notification et de les corriger.

L’articulation avec d’autres obligations de notification

Le RGPD

Lorsque l’incident TIC implique une violation de données personnelles, l’obligation de notification à la CNIL dans les 72 heures s’ajoute à la notification DORA. Les deux notifications sont indépendantes et doivent être gérées en parallèle.

NIS2

Pour les entités financières également soumises à NIS2, le règlement DORA constitue le régime de notification principal (lex specialis). L’entité n’a pas a dupliquer la notification au titre de NIS2 pour les incidents couverts par DORA. L’articulation DORA-NIS2 a été conçue pour éviter cette redondance.

Les obligations sectorielles

Certaines obligations de notification sectorielles preexistantes (DSP2 pour les incidents de paiement, par exemple) coexistent avec DORA. Les RTS precisent les modalités d’articulation pour éviter les doublons, conformément aux dispositions du règlement.

Les sanctions en cas de défaut de notification

Le non-respect des obligations de notification DORA exposé l’entité financière à des sanctions administratives prononcées par l’autorité compétente nationale. Les sanctions peuvent inclure des injonctions de mise en conformité, des astreintes, des amendes administratives, et la publication de la décision (name and shame). Les montants des sanctions varient selon les États membres et la gravité du manquement.

Au-delà des sanctions formelles, le défaut de notification d’un incident majeur peut avoir des conséquences réputationnelles significatives et affecter la relation de confiance avec l’autorité de supervision, avec des répercussions sur l’ensemble du dispositif de surveillance prudentielle.

FAQ

Quels types d’incidents doivent être notifies au titre de DORA ?

Seuls les incidents TIC classes comme majeurs doivent faire l’objet d’une notification obligatoire aux autorités. Un incident est majeur lorsqu’il atteint les seuils définis par les normes techniques (RTS) sur au moins deux critères parmi le nombre de clients affectés, la durée, l’étendue géographique, les pertes de données, la criticite des services et l’impact économique. Les incidents non majeurs doivent néanmoins être documentés dans le registre interne des incidents. La notification des cyber-menaces significatives est volontaire.

Le délai de notification DORA est-il compatible avec celui du RGPD ?

Oui. Le délai DORA (avant la fin du jour ouvrable suivant la classification) et le délai RGPD (72 heures) sont différents mais compatibles. En pratique, les deux notifications peuvent être preparees simultanément des la détection de l’incident. Le délai DORA peut être plus court que le délai RGPD dans certains cas (incident détecté et classifié en début de journée). Il est recommande de préparer les deux notifications en parallèle et de les envoyer dans les délais respectifs.

Un incident chez un prestataire TIC doit-il être notifie par l’entité financière ?

Oui. L’entité financière est responsable de la notification des incidents majeurs affectant ses services, même lorsque l’incident provient d’un prestataire TIC. Les contrats avec les prestataires doivent prévoir des clauses imposant une notification rapide du prestataire à l’entité, afin que celle-ci puisse respecter ses propres délais de notification. L’entité doit mentionner dans sa notification l’implication du prestataire et les mesures prises en coordination avec celui-ci.