Notification incidents DORA : procedure et delais

Le deuxieme pilier du reglement DORA (articles 17 a 23) impose aux entites financieres un regime harmonise de classification et de notification des incidents TIC. Ce regime vise a permettre aux autorites de supervision d’avoir une vision consolidee des menaces pesant sur le systeme financier europeen et de coordonner les reponses. Depuis le 17 janvier 2025, toutes les entites financieres soumises a DORA doivent avoir mis en place les processus et les outils necessaires pour respecter ces obligations.

Cet article detaille la procedure de notification, les seuils de classification, les delais applicables et les bonnes pratiques operationnelles.

La classification des incidents TIC

Le processus de detection et de classification

Toute entite financiere doit mettre en place un processus permettant de detecter les incidents TIC, de les classifier selon leur severite, et de determiner si une notification aux autorites est requise. Ce processus s’integre dans le cadre de gestion des risques TIC impose par le premier pilier de DORA.

La classification repose sur une evaluation multicritere. Un incident est qualifie de majeur lorsqu’il atteint les seuils definis par les normes techniques de reglementation (RTS) adoptees par les autorites europeennes de surveillance.

Les criteres de classification

Les criteres de classification des incidents TIC majeurs, definis a l’article 18 de DORA et precises par les RTS, sont :

Le nombre de clients affectes : le nombre de clients ou de contreparties financieres impactes par l’incident, directement ou indirectement. Un incident affectant un nombre significatif de clients depasse les seuils de classification.

La duree de l’incident : la duree pendant laquelle les services sont indisponibles ou degrades. Les seuils varient selon la criticite des services affectes.

L’etendue geographique : le nombre d’Etats membres dans lesquels l’incident produit des effets.

Les pertes de donnees : la perte de disponibilite, d’authenticite, d’integrite ou de confidentialite des donnees. Ce critere inclut les violations de donnees personnelles, qui declenchent egalement les obligations du RGPD en matiere de gestion des incidents donnees.

La criticite des services affectes : l’impact sur les fonctions critiques ou importantes de l’entite financiere.

L’impact economique : les couts directs et indirects de l’incident (pertes financieres, couts de remediation, penalites contractuelles).

Un incident est qualifie de majeur s’il atteint les seuils sur au moins deux de ces criteres. Les RTS definissent des valeurs numeriques precises pour chaque critere.

La classification volontaire des cyber-menaces

Le reglement DORA prevoit egalement la notification volontaire des cyber-menaces significatives (article 19). Meme en l’absence d’incident avere, une entite financiere peut notifier a son autorite competente une menace cyber significative qu’elle a detectee. Cette notification volontaire contribue a la veille collective du secteur.

La procedure de notification

La notification initiale

La notification initiale doit etre envoyee a l’autorite competente dans les meilleurs delais apres la detection et la classification de l’incident comme majeur, et au plus tard avant la fin du jour ouvrable suivant la classification.

Le contenu de la notification initiale comprend l’identification de l’entite declarante, la date et l’heure de detection de l’incident, la description sommaire de l’incident, les systemes et services affectes, le nombre estimatif de clients concernes, les premieres mesures d’attenuation prises, et la qualification preliminaire de la severite.

La notification intermediaire

La notification intermediaire doit etre envoyee dans un delai d’une semaine apres la notification initiale, ou plus tot si le statut de l’incident change significativement. Elle doit mettre a jour les informations de la notification initiale avec les elements suivants : la classification detaillee de l’incident (confirmation ou revision de la severite), l’analyse des causes identifiees, les mesures d’attenuation mises en oeuvre et leur efficacite, l’estimation des impacts (nombre de clients, pertes financieres, duree), et l’etat d’avancement du retablissement.

Le rapport final

Le rapport final doit etre envoye dans un delai d’un mois apres la notification intermediaire, une fois que l’incident est resolu et que l’analyse des causes profondes est terminee. Ce rapport comprend une description complete de l’incident du debut a la resolution, l’analyse des causes profondes (root cause analysis), l’evaluation complete des impacts (financiers, operationnels, reputationnels), les mesures correctives mises en oeuvre, les lecons tirees et les actions preventives engagees, et le cas echeant, l’identification des defaillances de prestataires TIC impliques.

Les autorites destinataires

En France

Les autorites competentes pour la reception des notifications d’incidents DORA en France sont l’ACPR (Autorite de controle prudentiel et de resolution) pour les etablissements de credit, les entreprises d’assurance et les institutions de prevoyance, l’AMF (Autorite des marches financiers) pour les societes de gestion, les entreprises d’investissement et les plateformes de negociation, et la Banque de France pour les systemes de paiement et les infrastructures de marche.

Le guichet unique futur

Le reglement DORA prevoit la possibilite d’etablir un guichet unique europeen de notification des incidents TIC, centralisant les notifications au niveau de l’UE. Ce projet est en cours d’etude et viserait a simplifier le processus de notification pour les entites operant dans plusieurs Etats membres.

Les outils et processus internes

Le systeme de gestion des incidents

L’entite financiere doit disposer d’un systeme de gestion des incidents integrant la detection automatisee des anomalies et incidents, la qualification et classification selon les criteres DORA, le declenchement automatique des circuits de notification, la production des formulaires de notification, le suivi du cycle de vie de l’incident, et l’archivage de la documentation.

Les fiches reflexes

L’elaboration de fiches reflexes pour les principaux scenarios d’incidents est une bonne pratique essentielle. Ces fiches doivent prevoir les actions immediates de confinement, les circuits d’escalade interne, les notifications aux autorites (avec modeles pre-remplis), les communications aux clients le cas echeant, la coordination avec les prestataires TIC, et l’activation des plans de continuite.

Les exercices de simulation

Les tests de resilience imposes par DORA doivent inclure des exercices de simulation d’incidents majeurs testant specifiquement la capacite de l’entite a respecter les delais de notification. Ces exercices permettent d’identifier les goulets d’etranglement dans le processus de notification et de les corriger.

L’articulation avec d’autres obligations de notification

Le RGPD

Lorsque l’incident TIC implique une violation de donnees personnelles, l’obligation de notification a la CNIL dans les 72 heures s’ajoute a la notification DORA. Les deux notifications sont independantes et doivent etre gerees en parallele.

NIS2

Pour les entites financieres egalement soumises a NIS2, le reglement DORA constitue le regime de notification principal (lex specialis). L’entite n’a pas a dupliquer la notification au titre de NIS2 pour les incidents couverts par DORA. L’articulation DORA-NIS2 a ete concue pour eviter cette redondance.

Les obligations sectorielles

Certaines obligations de notification sectorielles preexistantes (DSP2 pour les incidents de paiement, par exemple) coexistent avec DORA. Les RTS precisent les modalites d’articulation pour eviter les doublons, conformement aux dispositions du reglement.

Les sanctions en cas de defaut de notification

Le non-respect des obligations de notification DORA expose l’entite financiere a des sanctions administratives prononcees par l’autorite competente nationale. Les sanctions peuvent inclure des injonctions de mise en conformite, des astreintes, des amendes administratives, et la publication de la decision (name and shame). Les montants des sanctions varient selon les Etats membres et la gravite du manquement.

Au-dela des sanctions formelles, le defaut de notification d’un incident majeur peut avoir des consequences reputationnelles significatives et affecter la relation de confiance avec l’autorite de supervision, avec des repercussions sur l’ensemble du dispositif de surveillance prudentielle.

FAQ

Quels types d’incidents doivent etre notifies au titre de DORA ?

Seuls les incidents TIC classes comme majeurs doivent faire l’objet d’une notification obligatoire aux autorites. Un incident est majeur lorsqu’il atteint les seuils definis par les normes techniques (RTS) sur au moins deux criteres parmi le nombre de clients affectes, la duree, l’etendue geographique, les pertes de donnees, la criticite des services et l’impact economique. Les incidents non majeurs doivent neanmoins etre documentes dans le registre interne des incidents. La notification des cyber-menaces significatives est volontaire.

Le delai de notification DORA est-il compatible avec celui du RGPD ?

Oui. Le delai DORA (avant la fin du jour ouvrable suivant la classification) et le delai RGPD (72 heures) sont differents mais compatibles. En pratique, les deux notifications peuvent etre preparees simultanement des la detection de l’incident. Le delai DORA peut etre plus court que le delai RGPD dans certains cas (incident detecte et classifie en debut de journee). Il est recommande de preparer les deux notifications en parallele et de les envoyer dans les delais respectifs.

Un incident chez un prestataire TIC doit-il etre notifie par l’entite financiere ?

Oui. L’entite financiere est responsable de la notification des incidents majeurs affectant ses services, meme lorsque l’incident provient d’un prestataire TIC. Les contrats avec les prestataires doivent prevoir des clauses imposant une notification rapide du prestataire a l’entite, afin que celle-ci puisse respecter ses propres delais de notification. L’entite doit mentionner dans sa notification l’implication du prestataire et les mesures prises en coordination avec celui-ci.