Signalement des incidents DORA : délais et exigences
DORA établit un cadre harmonisé pour détecter, classifier et signaler les incidents majeurs liés aux TIC dans le secteur financier européen. Contrairement aux approches fragmentées précédentes, DORA crée des obligations de signalement cohérentes avec des délais stricts qui s'appliquent à toutes les entités financières concernées.
Comprendre ces exigences est critique car le compte à rebours démarre au moment où vous prenez connaissance d'un incident. Manquer les délais de signalement peut entraîner des sanctions réglementaires en plus de l'incident lui-même.
Points clés
| Point | Résumé |
|---|---|
| Signalement en trois étapes | Notification initiale, rapport intermédiaire et rapport final requis |
| Délais stricts | Notification initiale dans les 4 heures suivant la classification, 24 heures après détection au maximum |
| Critères de classification | Plusieurs facteurs déterminent si un incident est « majeur » |
| Notification aux clients | Les clients concernés doivent être informés quand leurs intérêts financiers sont impactés |
| Autorité compétente | Les rapports vont à votre superviseur financier principal |
Réponse rapide : DORA exige des entités financières qu'elles signalent les incidents majeurs liés aux TIC en trois étapes : une notification initiale dans les 4 heures suivant la classification de l'incident comme majeur (mais au plus tard 24 heures après détection), un rapport intermédiaire dans les 72 heures, et un rapport final dans le mois suivant. Les incidents sont classifiés comme majeurs selon des critères incluant le nombre de clients affectés, la durée, les pertes de données et l'impact sur les fonctions critiques.
Qu'est-ce qu'un incident majeur lié aux TIC ?
Toute perturbation TIC ne nécessite pas un signalement réglementaire. DORA définit des critères spécifiques pour classifier les incidents comme « majeurs » et donc à signaler.
Critères de classification
Un incident est considéré comme majeur s'il atteint les seuils d'au moins un des critères suivants :
| Critère | Considération |
|---|---|
| Clients affectés | Nombre et pourcentage de clients impactés |
| Durée | Combien de temps l'incident persiste ou le service est dégradé |
| Étendue géographique | Si l'incident a des implications transfrontalières |
| Pertes de données | Impact sur la disponibilité, l'intégrité ou la confidentialité des données |
| Criticité du service | Si des fonctions critiques ou importantes sont affectées |
| Impact économique | Pertes financières directes et indirectes |
| Transactions affectées | Nombre et valeur des transactions impactées |
Cybermenaces significatives
En plus des incidents, DORA exige le signalement des cybermenaces significatives. Une cybermenace est considérée comme significative si :
- Elle pourrait impacter matériellement l'entité financière
- Elle pourrait déclencher un incident majeur lié aux TIC
- Elle pourrait affecter plusieurs entités financières ou le système financier
Le signalement des menaces permet aux autorités de surveillance d'émettre des avertissements et de coordonner des réponses à l'échelle du secteur.
Le calendrier de signalement en trois étapes
DORA impose un processus de signalement structuré en trois étapes qui permet aux autorités de suivre les incidents au fur et à mesure qu'ils se déroulent.
Étape 1 : Notification initiale
| Élément | Exigence |
|---|---|
| Délai | Dans les 4 heures suivant la classification comme majeur ; au plus tard 24 heures après détection |
| Déclencheur | Classification de l'incident comme majeur |
| Contenu | Détails de base de l'incident, évaluation initiale de l'impact, systèmes affectés |
La notification initiale doit inclure :
- Date et heure de détection
- Date et heure de classification comme majeur
- Évaluation initiale du type et de la cause de l'incident
- Systèmes et services affectés
- Évaluation initiale de l'impact
- Actions initiales entreprises
Étape 2 : Rapport intermédiaire
| Élément | Exigence |
|---|---|
| Délai | Dans les 72 heures suivant la notification initiale |
| Déclencheur | Mises à jour significatives du statut ou sur demande des autorités |
| Contenu | Évaluation de l'impact mise à jour, analyse des causes profondes (si disponible), statut de la reprise |
Le rapport intermédiaire doit inclure :
- Évaluation de l'impact mise à jour
- Analyse des causes profondes (préliminaire si finale non disponible)
- Nombre de clients et transactions affectés
- Pertes de données et impact sur l'intégrité des données
- Mesures de reprise prises et en cours
- Communication avec les parties affectées
- Toute implication transfrontalière
Des rapports intermédiaires supplémentaires doivent être soumis lorsque des mises à jour significatives du statut sont disponibles.
Étape 3 : Rapport final
| Élément | Exigence |
|---|---|
| Délai | Dans le mois suivant le dernier rapport intermédiaire |
| Déclencheur | Achèvement de l'analyse des causes profondes ou reprise des activités régulières |
| Contenu | Analyse complète des causes profondes, impact total, mesures correctives, leçons apprises |
Le rapport final doit inclure :
- Analyse complète des causes profondes
- Impact total (clients, transactions, données, pertes financières)
- Chronologie détaillée des événements
- Actions de reprise entreprises
- Mesures correctives mises en œuvre
- Leçons apprises et améliorations identifiées
- Communications entreprises
Résumé du calendrier
Détection → Classification → Initial → Intermédiaire → Final
(max 24 hrs) (4 hrs) (72 hrs) (1 mois)Qui reçoit les rapports ?
Autorité compétente
Les rapports sont soumis à votre autorité compétente principale :
| Type d'entité | Autorité compétente |
|---|---|
| Établissements de crédit | Superviseur bancaire national (BCE pour les banques significatives) |
| Entreprises d'investissement | Régulateur national des valeurs mobilières |
| Assureurs | Superviseur national des assurances |
| Établissements de paiement | Superviseur national des paiements |
Coordination transfrontalière
Lorsque les incidents ont des implications transfrontalières, les autorités compétentes se coordonnent via les AES (EBA, EIOPA, ESMA) et le Comité européen du risque systémique.
Rôle de la BCE
Pour les établissements de crédit significatifs sous supervision directe de la BCE, les rapports vont à la BCE. La BCE peut partager les informations pertinentes avec les autorités nationales.
Notification aux clients
DORA exige des entités financières qu'elles notifient les clients lorsqu'un incident majeur affecte leurs intérêts financiers.
Quand la notification aux clients est requise
Vous devez notifier les clients sans délai excessif lorsque :
- Un incident majeur lié aux TIC s'est produit
- L'incident peut affecter négativement leurs intérêts financiers
- Une action du client peut être nécessaire pour atténuer l'impact
Contenu de la notification
Les communications aux clients doivent inclure :
- Nature de l'incident (sans compromettre la sécurité)
- Impact potentiel sur leurs services ou données
- Mesures prises pour traiter l'incident
- Actions que les clients devraient envisager de prendre
- Point de contact pour plus d'informations
Canaux de communication
Utilisez les canaux de communication établis appropriés à l'urgence :
- Notifications sur le site web pour la sensibilisation générale
- Communication directe (email, notifications app) pour les clients affectés
- Briefing du service client pour les demandes entrantes
Processus de gestion des incidents
Détection et analyse
Avant de pouvoir signaler, vous devez détecter et analyser :
| Phase | Activités |
|---|---|
| Détection | Identifier les incidents potentiels via la surveillance et les alertes |
| Analyse | Évaluer le périmètre, l'impact et la cause profonde |
| Classification | Déterminer si les critères de classification sont atteints |
| Documentation | Enregistrer la chronologie, les preuves et les décisions |
Décision de classification
La décision de classification déclenche les obligations de signalement. Documentez :
- Date et heure de la décision de classification
- Critères atteints (quels seuils déclenchés)
- Preuves supportant la classification
- Approbateur de la décision de classification
Surveillance continue
Tout au long de l'incident :
- Suivre les changements d'impact
- Documenter les progrès de reprise
- Identifier les informations pour les mises à jour
- Préparer les communications aux clients
Gestion des week-ends et jours fériés
Institutions significatives
Les institutions significatives ou d'importance systémique doivent signaler dans les délais standards indépendamment des week-ends ou jours fériés.
Autres entités
Pour les autres entités financières réglementées :
- Les délais tombant des jours non ouvrés s'étendent à 12h00 le jour ouvré suivant
- Cela s'applique aux rapports intermédiaires et finaux
- Les obligations de notification initiale s'appliquent toujours pendant les heures ouvrées
Défis courants
Incidents chez les tiers
Lorsqu'un prestataire TIC tiers subit un incident affectant vos services :
- L'obligation de signalement reste la vôtre, pas celle du prestataire
- Votre délai commence quand vous en êtes informé, pas quand le prestataire l'a découvert
- Assurez-vous que les contrats exigent une notification rapide des incidents de la part des prestataires
Requalification d'incident
Si un incident initialement classifié comme non majeur est ultérieurement requalifié :
- Une nouvelle décision de classification est prise
- La notification initiale est due dans les 4 heures suivant la requalification
- Référencez l'incident original dans le signalement
Incidents multiples
Lorsque plusieurs incidents liés se produisent :
- Chaque incident distinct nécessite un signalement séparé
- Les incidents liés peuvent être signalés ensemble s'ils partagent une cause commune
- Un signalement agrégé peut être approprié dans certains cas
Questions fréquentes
Que se passe-t-il si nous manquons un délai de signalement ?
Un signalement tardif constitue une violation de DORA et peut entraîner une action de surveillance. Documentez toute raison de retard et communiquez proactivement avec votre autorité compétente. Les signalements tardifs répétés attireront une surveillance renforcée.
Comment ces exigences se rapportent-elles à la notification de violation RGPD ?
Les incidents impliquant des données personnelles peuvent déclencher à la fois les obligations de notification DORA et RGPD. Les exigences sont séparées : le signalement DORA va aux superviseurs financiers, les notifications RGPD vont aux autorités de protection des données. Coordonnez votre réponse pour respecter les deux séries de délais. Pour les organisations poursuivant également la conformité SOC 2, la documentation de réponse aux incidents chevauche significativement les exigences DORA.
Devons-nous signaler les incidents chez les prestataires TIC tiers ?
Vous devez signaler les incidents majeurs affectant vos opérations, que la cause profonde soit interne ou chez un prestataire tiers. Assurez-vous que vos contrats exigent des prestataires qu'ils vous notifient rapidement des incidents affectant vos services.
Existe-t-il un format de signalement standard ?
Les AES ont développé des normes techniques spécifiant les modèles de rapport et les exigences de contenu. Utilisez les formats prescrits par votre autorité compétente.
Devons-nous signaler les cybermenaces significatives ?
Oui. Les cybermenaces significatives qui pourraient déclencher des incidents majeurs devraient être signalées volontairement pour permettre la coordination de la surveillance et une réponse à l'échelle du secteur.
Comment Bastion peut vous aider
Bastion accompagne les entités financières dans le développement et la mise en œuvre des capacités de signalement des incidents :
- Classification des incidents : Développement de critères de classification et arbres de décision
- Procédures de réponse : Développement de plans de réponse aux incidents alignés sur les délais DORA
- Modèles de rapport : Préparation de modèles de rapport et guides de contenu
- Intégration des processus : Intégration du signalement DORA avec la gestion des incidents existante
- Formation : Formation du personnel sur la gestion des incidents et les obligations de signalement
- Tests : Exercices de simulation pour valider les processus de signalement
Prêt à renforcer vos capacités de signalement des incidents ? Parlez à notre équipe
Sources
- Articles 17-23 de DORA - Gestion, classification et signalement des incidents liés aux TIC
- RTS des AES sur le signalement des incidents majeurs - Normes techniques sur la classification et le signalement des incidents
- Règlement UE 2025/302 - Règlement d'exécution sur le contenu et les délais de signalement des incidents