Un incident cyber dans une banque — ransomware, violation de données, panne système prolongée — déclenche une cascade d'obligations sous le règlement DORA (EU) 2022/2554. La qualité de la gestion des premières heures est déterminante, tant pour limiter l'impact opérationnel que pour respecter les délais réglementaires.

Étapes Immédiates face à un Incident Cyber

La première heure d'un incident cyber est critique. Les étapes immédiates comprennent : déclenchement de la cellule de crise cyber selon le plan de réponse aux incidents, isolation des systèmes compromis pour limiter la propagation, activation des plans de continuité pour maintenir les services critiques clients, et début de la collecte de preuves et de la documentation de l'incident. Ces actions doivent être préparées à l'avance — une crise n'est pas le moment d'improviser.

Classification DORA : Incident Majeur ou Non ?

Dès la stabilisation initiale, la banque doit évaluer si l'incident répond aux critères d'incident majeur du règlement DORA (article 18). Les critères quantitatifs des RTS incluent notamment : nombre de clients affectés, durée de l'interruption, impact financier. Si les seuils sont atteints, la notification initiale à l'ACPR doit intervenir dans les 4 heures. Cette évaluation doit être réalisée par une personne ayant l'autorité et la connaissance pour décider — le RSSI ou le directeur des risques, avec validation du directeur général si possible.

Communication de Crise

DORA impose des plans de communication de crise TIC (article 14). En cas d'incident affectant les clients, la banque doit communiquer de manière transparente et proactive sur la nature de l'incident, les services affectés et les délais de rétablissement. Cette communication doit être cohérente avec les notifications réglementaires envoyées à l'ACPR. Les contradictions entre communication publique et notifications superviseurs sont particulièrement mal vécues par les régulateurs.

Après l'Incident : Leçons et Amélioration

L'article 13 de DORA impose un mécanisme d'apprentissage post-incident. Un rapport de retour d'expérience (REX) doit documenter la chronologie de l'incident, les mesures de réponse prises, leur efficacité, les lacunes identifiées et le plan d'amélioration. Ce REX alimente la révision du cadre de gestion des risques TIC. Il constitue également la base du rapport final transmis à l'ACPR dans le mois suivant la résolution.

Conclusion

Un incident cyber bancaire sous DORA est un test grandeur nature de la maturité de l'établissement. Les banques qui ont investi dans la préparation — plans de réponse testés, équipes formées, processus de notification rodés — traversent les crises avec une efficacité que les superviseurs notent positivement. La conformité DORA n'est pas une fin en soi : c'est une résilience réelle.

Questions fréquentes

Qu'est-ce qu'un incident TIC majeur sous DORA pour une banque ?

Un incident TIC majeur est défini selon des critères quantitatifs précisés dans les RTS DORA : nombre de clients affectés dépassant un seuil défini, durée d'interruption supérieure à un certain nombre d'heures, impact financier dépassant un seuil, ou atteinte à la réputation significative. Les critères exacts sont définis dans les normes techniques de l'EBA.