DORA : comment déclarer un incident majeur TIC auprès du régulateur ?

Déclarer un incident majeur TIC au titre du règlement DORA (EU) 2022/2554 est une obligation légale pour toutes les entités financières soumises au règlement. Le processus est en trois phases : notification initiale dans les 4 heures, rapport intermédiaire dans les 72 heures, rapport final dans le mois. Voici comment l'exécuter correctement pour éviter les sanctions.

Les 3 phases obligatoires de déclaration DORA

Le chapitre III du règlement DORA impose un processus séquentiel non négociable. Chaque phase a ses propres délais et exigences de contenu.

Phase 1 — Notification initiale : dans les 4 heures

Le délai de 4 heures court à partir du moment où l'incident est classifié comme 'majeur' selon les critères de l'article 18 DORA — et non à partir du moment où l'incident a commencé. Cette nuance est importante : si un incident survient à 23h mais n'est classifié 'majeur' qu'à 6h du matin après analyse, les 4 heures démarrent à 6h.

Contenu minimal de la notification initiale :
- Description succincte de l'incident (nature, vecteur d'attaque probable)
- Critères de classification retenus (article 18)
- Horodatage : date/heure de survenance et de détection
- Services affectés (liste, niveau d'impact)
- Premières mesures de réponse engagées

La notification initiale peut contenir des informations incomplètes si certaines données ne sont pas encore disponibles — mais elle doit être transmise dans le délai, même partielle.

Phase 2 — Rapport intermédiaire : dans les 72 heures

Le rapport intermédiaire enrichit la notification initiale. Il doit contenir :
- Mise à jour de l'évaluation de l'impact (nombre de clients affectés, montants en jeu si connus)
- Évolution de la situation (incident clôturé ou en cours)
- Mesures de confinement et de rétablissement engagées
- Première estimation des causes

Des rapports de mise à jour intermédiaires supplémentaires peuvent être transmis si la situation évolue significativement entre les 4h et les 72h.

Phase 3 — Rapport final : dans le mois

Le rapport final intervient après clôture de l'incident. Il documente :
- Analyse causale complète (root cause analysis)
- Impact définitif chiffré
- Chronologie précise de l'incident
- Toutes les mesures correctives mises en place
- Leçons tirées et plan d'amélioration

C'est sur ce rapport que le superviseur (ACPR ou AMF) évaluera la qualité de la réponse à l'incident et la robustesse du dispositif de gestion des risques TIC de l'entité.

Critères de classification d'un incident comme 'majeur' selon DORA

L'article 18 du règlement DORA liste les critères permettant de qualifier un incident TIC de 'majeur'. Les normes techniques de réglementation (RTS) publiées par les ESA (EBA, ESMA, EIOPA) en 2024 précisent les seuils quantitatifs.

Voici les principaux critères :

Critères quantitatifs principaux

- Nombre de clients affectés : seuil absolu ET relatif (% du portefeuille total)
- Durée de l'incident : au-delà d'un seuil en heures pour les services critiques
- Étendue géographique : incident transfrontalier
- Impact financier : pertes directes et/ou coûts de remédiation au-delà d'un seuil
- Transactions perturbées : volume et valeur des opérations non exécutées

Les seuils précis varient selon la catégorie de l'entité financière (banque significative, établissement de paiement, assureur, etc.) et sont définis dans les RTS DORA publiés au JOUE.

Incidents cyber à déclaration obligatoire systématique

Certains types d'incidents déclenchent une obligation de déclaration quelle que soit leur ampleur apparente :
- Violations de données personnelles (qui déclenchent aussi une notification RGPD à la CNIL)
- Compromissions de systèmes d'information critiques listés dans le DRSN (Digital Operational Resilience Strategy Note) de l'entité
- Incidents affectant des tiers prestataires TIC d'importance systémique
- Cyberattaques ciblant des infrastructures de marché

DORA et RGPD : deux notifications à coordonner

Un incident cyber impliquant des données personnelles déclenche simultanément deux obligations de notification :

**DORA** → notification au superviseur financier (ACPR ou AMF) dans les 4h de classification comme 'majeur'
**RGPD** → notification à la CNIL dans les 72h suivant la prise de connaissance de la violation

Ces deux notifications doivent être cohérentes. Une contradiction entre la description de l'incident dans la notification DORA et celle dans la notification RGPD constitue un signal d'alerte pour les superviseurs. Les entités doivent désigner un coordinateur interne (généralement le RSSI ou le DPO) chargé d'assurer la cohérence des deux flux.

Pratiquement, la notification DORA est souvent plus urgente (4h vs 72h). Il est recommandé d'informer le DPO dès la classification DORA et de rédiger les deux notifications en parallèle.

Processus interne recommandé pour respecter les délais DORA

4 heures sous pression, c'est court. Les entités qui réussissent à respecter ce délai sont celles qui ont préparé leur processus en amont.

Les 6 étapes du processus interne

1. **Détection et remontée** — toute anomalie TIC significative est remontée immédiatement à la cellule de crise/SOC
2. **Qualification initiale** — l'équipe de réponse évalue si l'incident entre dans les critères article 18 (check-list pré-établie)
3. **Décision de classification** — validée par le RSSI et/ou le directeur des risques opérationnels (circuit court, décision en moins d'une heure idéalement)
4. **Activation du circuit de notification** — le responsable compliance/régulation est notifié dès la classification
5. **Rédaction de la notification initiale** — sur formulaire pré-établi (template réutilisable)
6. **Envoi via le portail superviseur** — ACPR (MyACPR) ou AMF (SAMAP) selon le type d'entité

Ce processus doit être documenté, communiqué à toutes les équipes impliquées et testé régulièrement via des exercices de simulation (exigence du chapitre IV DORA sur les tests de résilience).

Comment notifier en France : ACPR ou AMF ?

Le superviseur compétent dépend du type d'entité financière :

**ACPR (Autorité de Contrôle Prudentiel et de Résolution)** : banques, établissements de crédit, compagnies d'assurance, mutuelles, établissements de paiement et de monnaie électronique

**AMF (Autorité des Marchés Financiers)** : sociétés de gestion de portefeuille, prestataires de services d'investissement, infrastructures de marché

Les deux superviseurs ont mis en place des portails de notification dédiés. En cas d'urgence extrême (impossibilité technique d'accéder au portail), une notification par email sécurisé à la cellule cybersécurité du superviseur est acceptable — mais le portail doit être utilisé dès que possible.

Pour les entités supervisées par plusieurs autorités (par exemple un groupe bancaire-assurance), les notifications doivent être adressées à chaque superviseur compétent.

Conclusion

La déclaration d'incident DORA teste la maturité opérationnelle d'une entité financière dans les conditions les plus défavorables — sous pression, potentiellement en pleine nuit, avec des informations partielles. Les entités bien préparées ont un processus documenté, des formulaires de notification pré-remplis, un circuit de décision clair et des exercices réguliers. Celles qui découvrent les exigences DORA au moment de l'incident risquent les sanctions administratives et une dégradation durable de la relation superviseur.