Quatre heures. C'est le délai pour votre notification initiale après avoir classifié un incident ICT comme majeur. Pas quatre heures ouvrées — quatre heures calendaires. Un samedi à 3h du matin, c'est le même délai. Si votre équipe de permanence n'est pas formée et habilitée à prendre cette décision dans ce laps de temps, vous avez un problème de conformité DORA avant même qu'un incident ne survienne.
Les articles 17 à 23 du règlement DORA instaurent un processus de notification harmonisé qui remplace le patchwork de procédures nationales qui existait avant. Un seul framework, des délais précis, des critères de classification objectifs.
Le processus de notification en trois étapes
| Étape | Délai | Contenu attendu | Objectif |
|---|---|---|---|
| Notification initiale | 4h après classification (max 24h après détection) | Nature de l'incident, systèmes affectés, impact estimé, premières mesures | Alerter l'autorité |
| Rapport intermédiaire | 72 heures après la notification initiale | Évolution de l'incident, impact révisé, mesures de confinement, communication aux clients | Informer sur l'avancement |
| Rapport final | 1 mois après la notification initiale | Analyse racine, chronologie complète, impact définitif, mesures correctives, leçons apprises | Documenter et prévenir |
La subtilité du double délai initial
La notification initiale doit intervenir dans les 4 heures suivant la classification de l'incident comme majeur. Mais DORA ajoute un garde-fou : au plus tard 24 heures après la détection de l'incident. Cette double contrainte évite qu'une entité retarde artificiellement la classification pour gagner du temps.
En pratique, ça signifie que votre processus de classification doit être efficace. Si un incident est détecté à 14h et que votre équipe ne le classifie comme majeur qu'à 8h le lendemain (18 heures plus tard), la notification doit partir dans les 4 heures suivantes — soit à midi. Mais si l'incident était objectivement classifiable comme majeur dès la détection, le régulateur pourrait considérer que les 24h étaient dépassées.
Les critères de classification — qu'est-ce qu'un incident "majeur" ?
Les RTS publiés en janvier 2024 définissent les critères de classification. Un incident ICT est considéré comme majeur s'il dépasse certains seuils sur un ou plusieurs des critères suivants :
| Critère | Indicateurs | Exemples de seuils |
|---|---|---|
| Clients affectés | Nombre de clients impactés, proportion de la base clients | > 10% des clients ou > nombre absolu défini |
| Durée | Temps d'indisponibilité du service | > 2h pour fonctions critiques |
| Étendue géographique | Nombre de pays affectés | > 2 États membres |
| Impact sur les données | Perte, altération ou accès non autorisé | Données sensibles ou volume significatif |
| Impact économique | Coûts directs et indirects estimés | > seuil défini par RTS |
| Fonctions critiques | Fonctions critiques ou importantes affectées | Toute atteinte à une fonction critique |
La classification n'est pas un exercice binaire simple. Un incident peut être "presque majeur" sur trois critères sans en dépasser aucun individuellement — mais l'accumulation peut justifier une classification majeure. Le jugement humain reste nécessaire, et c'est pourquoi les équipes de permanence doivent être formées et avoir l'autorité de décision.
À qui notifier — les autorités compétentes
La notification va à l'autorité compétente dont relève l'entité financière :
| Type d'entité | Autorité compétente (France) |
|---|---|
| Banques, établissements de paiement, assurances | ACPR |
| Entreprises d'investissement, sociétés de gestion, PSAN | AMF |
| Infrastructures de marché | AMF |
L'autorité compétente transmet ensuite aux entités européennes concernées (AES, BCE si pertinent). L'entité n'a pas à notifier elle-même au niveau européen — un seul point de contact suffit.
L'articulation avec le RGPD
Si un incident ICT implique une violation de données personnelles, la double notification DORA + RGPD s'applique. Le délai RGPD (72 heures après avoir pris connaissance de la violation) est compatible avec le calendrier DORA, mais les destinataires sont différents : la CNIL pour le RGPD, l'ACPR ou l'AMF pour DORA.
Les deux notifications peuvent être faites en parallèle. Mais les contenus diffèrent : le RGPD se concentre sur l'impact sur les données personnelles et les droits des personnes concernées, tandis que DORA se concentre sur l'impact opérationnel et la résilience du service.
La notification volontaire des cybermenaces
Au-delà des incidents majeurs, l'article 19 prévoit la possibilité de notifier volontairement des cybermenaces significatives — même si elles n'ont pas encore causé d'incident. C'est une innovation intéressante : si vous détectez une tentative d'intrusion sophistiquée qui a été stoppée par vos défenses, vous pouvez la signaler à l'autorité compétente.
Ce signalement volontaire alimente le renseignement cyber partagé et peut aider d'autres entités à se préparer. L'article 45 sur le partage d'informations cyber complète ce dispositif en posant le cadre juridique des échanges entre entités financières.
Mettre en place le processus — les briques essentielles
Détection
Capacités SOC (internes ou externalisées) avec monitoring 24/7 des systèmes critiques. Corrélation d'événements (SIEM), détection d'anomalies, alerting automatisé. Le temps entre l'occurrence d'un incident et sa détection (dwell time) est un indicateur clé — plus il est court, plus la notification sera dans les temps.
Classification
Grille de classification pré-établie alignée sur les critères des RTS. Arbre de décision documenté que l'analyste SOC peut appliquer en autonomie. Habilitation claire — qui peut classifier un incident comme majeur en dehors des heures ouvrées ?
Notification
Templates pré-remplis avec les informations récurrentes (identification de l'entité, contacts). Canal de notification défini avec l'autorité compétente (portail en ligne, email sécurisé, formulaire dédié). Processus de validation accéléré — pas cinq niveaux d'approbation quand le délai est de 4 heures.
Suivi
Processus de mise à jour pour le rapport intermédiaire à 72h. Assignation de l'analyse racine pour le rapport final. Suivi des mesures correctives. Intégration dans le cycle d'amélioration continue du cadre de gestion des risques ICT.
Les erreurs classiques
Sous-classifier pour éviter la notification. Tentation compréhensible mais dangereuse. Si le régulateur découvre a posteriori qu'un incident aurait dû être classifié comme majeur et ne l'a pas été, les conséquences sont bien plus sévères qu'une notification "par précaution".
Attendre d'avoir toutes les informations. La notification initiale n'exige pas une analyse complète — c'est une alerte. Mieux vaut notifier avec des informations partielles dans les délais que de retarder pour avoir un tableau complet.
Oublier les incidents chez les prestataires. Un incident chez votre prestataire cloud qui affecte vos services est un incident ICT au sens de DORA. Si les critères de classification sont atteints, la notification incombe à l'entité financière — pas au prestataire. D'où l'importance de clauses de notification rapide dans les contrats avec les prestataires ICT tiers.
FAQ — Reporting incidents DORA
Faut-il notifier les incidents "presque majeurs" ?
DORA ne l'impose pas formellement mais les RTS prévoient un reporting agrégé des incidents non majeurs (annuel ou semestriel selon l'autorité compétente). En pratique, documenter systématiquement les incidents significatifs — même non majeurs — renforce votre crédibilité auprès du régulateur.
Que faire si l'incident est en cours et non stabilisé au moment de la notification ?
Notifiez quand même. La notification initiale peut indiquer que l'incident est en cours et que l'impact n'est pas encore pleinement évalué. Le rapport intermédiaire à 72h permettra de mettre à jour les informations.
Les incidents de disponibilité planifiés (maintenance) sont-ils concernés ?
Non. Les indisponibilités planifiées et communiquées à l'avance ne sont pas des incidents ICT au sens de DORA. Mais une maintenance qui dérape et cause une indisponibilité non prévue au-delà des fenêtres communiquées pourrait être requalifiée en incident.
Le reporting d'incidents est le pilier de DORA qui sera testé le premier — chaque incident majeur déclenche l'obligation. Les entités qui ont un processus rodé, des équipes formées et des templates prêts gagneront du temps quand la situation l'exigera. Les autres improviseront. En pleine crise. Ce n'est pas le moment idéal pour découvrir les formulaires de l'ACPR. Pour le cadre complet, consultez les sanctions DORA en cas de manquement.