La notification des incidents TIC est l'une des obligations les plus immédiates et les plus contraignantes du règlement DORA (EU) 2022/2554. Le chapitre III du règlement impose un processus en trois phases avec des délais stricts. Toute entité financière soumise à DORA doit avoir un processus de notification opérationnel et testé avant de subir le premier incident majeur.

Les Trois Phases de Notification

Le règlement DORA impose un processus de notification en trois étapes distinctes.

Notification Initiale : Dans les 4 Heures

Dès qu'un incident est classifié comme 'majeur' selon les critères DORA, la notification initiale doit parvenir à l'autorité compétente dans les 4 heures. Ce délai court à partir du moment de la classification, et non de la survenance de l'incident. La notification initiale doit contenir une description succincte de l'incident, sa classification (critères retenus), le moment de survenance et de détection, et les premières mesures de réponse. Elle peut être incomplète sur certains points si les informations ne sont pas encore disponibles.

Rapport Intermédiaire : Dans les 72 Heures

Un rapport intermédiaire doit être transmis à l'autorité compétente dans les 72 heures suivant la notification initiale. Il doit enrichir l'information initiale avec l'étendue de l'impact (nombre de clients, services affectés, pertes financières estimées si connues), l'évolution de la situation, et les mesures de confinement et de rétablissement en cours. Des mises à jour intermédiaires peuvent être transmises si la situation évolue significativement.

Rapport Final : Dans le Mois

Le rapport final doit être soumis dans le mois suivant la clôture de l'incident. Il documente l'analyse causale complète, l'étendue définitive de l'impact, toutes les mesures correctives prises, et les leçons tirées. Ce rapport est la base sur laquelle le superviseur évaluera la qualité de la gestion de l'incident et la robustesse du dispositif de l'entité.

Critères de Classification des Incidents Majeurs

L'article 18 du règlement DORA définit les critères pour classifier un incident comme 'majeur'. Ces critères incluent : le nombre de clients affectés (seuil en valeur absolue et en pourcentage), la durée de l'incident, l'étendue géographique, la criticité des services perturbés, l'impact sur la réputation, et les pertes financières directes et indirectes. Les normes techniques de l'EBA précisent des seuils quantitatifs pour chaque critère.

Incidents Cyber à Signalement Obligatoire

Certains types d'incidents doivent être signalés même si leur impact immédiat est limité. Les violations de données à caractère personnel (qui déclenchent aussi une notification RGPD), les compromissions de systèmes critiques même sans impact client immédiat, et les incidents affectant des tiers prestataires TIC et susceptibles de se propager entrent dans cette catégorie.

Processus Interne Avant la Notification

La notification aux autorités ne peut avoir lieu que si l'entité dispose d'un processus interne fonctionnel. Ce processus comprend la détection et la remontée des incidents vers une cellule de crise, la qualification et la classification selon les critères DORA, la décision de notification (avec circuit d'approbation clair et rapide), la rédaction et l'envoi dans les délais. Ce processus doit être documenté, connu des équipes concernées et régulièrement testé via des exercices de crise.

Notification DORA et Notification RGPD : Cohérence

Un incident cyber affectant des données personnelles déclenche à la fois une notification DORA (au superviseur financier) et une notification RGPD (à la CNIL). Ces deux notifications doivent être cohérentes dans leur contenu et leurs délais. Le RGPD impose une notification à la CNIL dans les 72 heures après la prise de connaissance de la violation. DORA impose une notification initiale dans les 4 heures après classification comme majeur. Les deux chronologies peuvent se superposer et nécessitent une coordination interne claire.

Conclusion

La notification des incidents TIC est un test permanent de la maturité opérationnelle d'une entité financière sous DORA. Les entités qui subissent un incident majeur sans avoir testé leur processus de notification découvrent souvent que les 4 heures passent très vite. La préparation en amont — processus documenté, responsabilités claires, accès aux formulaires régulateurs — est la seule façon de respecter ces délais sous pression.

Questions fréquentes

Comment notifier un incident DORA en France ?

En France, les incidents TIC majeurs doivent être notifiés à l'ACPR (pour les banques et assurances) ou à l'AMF (pour les entités des marchés financiers) via leurs portails de notification respectifs. Les autorités ont mis à disposition des formulaires standardisés conformes aux ITS DORA. La notification peut également être transmise par email sécurisé dans l'urgence.

Que risque une entité qui ne notifie pas un incident DORA dans les délais ?

Le non-respect des délais de notification constitue une violation du règlement DORA passible de sanctions administratives. L'ACPR peut prononcer des avertissements, des injonctions et des sanctions pécuniaires. Au-delà des sanctions formelles, un retard de notification aggrave l'appréciation superviseure sur la qualité du dispositif de l'entité.