Le temps commence à défiler dès la détection
Lorsqu’un incident de sécurité significatif est détecté, l’horloge se met en marche. NIS2 vous donne 24 heures — pas 24 heures ouvrables, pas « le prochain jour ouvré », mais 24 heures réelles — pour envoyer une alerte précoce à l’ANSSI.
Cela signifie qu’un incident détecté samedi soir nécessite un signalement dimanche soir. Votre organisation est-elle prête pour cela ?
Question critique : Avez-vous des voies de contact documentées vers l’ANSSI qui fonctionnent même en dehors des heures de bureau ? Si la réponse est non, c’est la première chose à corriger.
Qu’est-ce qu’un “incident significatif” ?
Tous les incidents ne nécessitent pas de signalement. NIS2 se concentre sur les incidents significatifs — ceux qui ont un véritable impact sur le service ou sur des tiers.
Un incident est considéré comme significatif s’il :
- A causé ou peut causer une perturbation grave du service
- A causé ou peut causer une perte économique pour l’organisation
- A affecté ou peut affecter d’autres personnes physiques ou morales par des dommages matériels ou immatériels
Exemples d’incidents significatifs :
- Rançongiciel qui chiffre les systèmes de production
- Violation de données avec fuite de données personnelles
- Attaque DDoS rendant les services indisponibles pour les clients
- Fournisseur compromis ayant accès à vos systèmes
La chronologie : Trois rapports, trois échéances
- Alerte précoce — sous 24 heures Le premier rapport est une notification rapide qu'un incident s'est produit. Il n'a pas besoin d'être complet — l'objectif est d'alerter. Incluez : qu'un incident s'est produit, l'évaluation initiale de l'ampleur, et si l'incident est soupçonné d'être transfrontalier ou d'affecter d'autres pays de l'UE.
- Notification d'incident — sous 72 heures Maintenant, plus de substance est attendue. Mettez à jour avec l'évaluation de la gravité et de l'impact de l'incident, la description de ce qui s'est passé (pour autant que vous le sachiez), et les éventuels indicateurs de compromission (IOC) qui peuvent aider d'autres.
- Rapport final — sous 1 mois L'analyse complète. Contient une description détaillée de l'incident, l'analyse des causes profondes, les mesures prises et planifiées, ainsi que les leçons apprises et les mesures d'amélioration.
Contenu détaillé par rapport
Alerte précoce (24 heures)
| Champ | Description | Obligatoire |
|---|---|---|
| Moment de la détection | Quand l’incident a été détecté | Oui |
| Type d’incident | Classification préliminaire | Oui |
| Services affectés | Quels services sont concernés | Oui |
| Ampleur initiale | Estimation de l’impact | Oui |
| Transfrontalier | Impact suspecté dans d’autres pays | Oui |
| Personne de contact | Qui l’ANSSI peut contacter | Oui |
Notification d’incident (72 heures)
| Champ | Description | Obligatoire |
|---|---|---|
| Statut mis à jour | Situation actuelle et évolution | Oui |
| Degré de gravité | Évaluation de la sévérité | Oui |
| Description technique | Ce qui s’est passé techniquement | Oui |
| Impact | Nombre d’affectés, perte de service | Oui |
| IOC | Indicateurs de compromission | Si disponible |
| Mesures prises | Ce que vous avez fait jusqu’à présent | Oui |
Rapport final (1 mois)
| Champ | Description | Obligatoire |
|---|---|---|
| Chronologie complète | Chronologie du début à la fin | Oui |
| Analyse des causes profondes | La cause fondamentale de l’incident | Oui |
| Impact (final) | Impact réel, personnes affectées | Oui |
| Toutes les mesures prises | Liste complète | Oui |
| Leçons apprises | Ce que vous avez appris | Oui |
| Plan d’amélioration | Comment vous prévenez la récurrence | Oui |
À qui signalez-vous ?
Tous les incidents significatifs sont signalés à l'ANSSI. Elle coordonne la gestion technique et peut assister avec l'analyse et les recommandations.
Selon le secteur, vous signalez également à votre autorité sectorielle. AMF/ACPR pour la finance, ARCEP pour les télécoms, Agence du numérique en santé pour la santé, etc.
Pratique : L’ANSSI travaille à établir des canaux de signalement unifiés. Restez informés via le site web de l’ANSSI pour les informations actuelles sur la façon dont le signalement doit se faire.
Pièges courants à éviter
24 heures s'appliquent également les week-ends et les nuits. Sans préparation d'astreinte fonctionnelle et voies de contact claires, il devient impossible de respecter les exigences temporelles quand cela compte vraiment.
Pendant un incident en cours, la dernière chose que vous voulez faire est de réfléchir au format et aux formulations. Ayez des modèles prêts pour les trois types de rapports, prêts à remplir.
Qui décide de signaler ? Qui écrit ? Qui approuve ? Des rôles peu clairs mènent aux retards. Documentez la répartition des responsabilités maintenant.
Le rapport à l'ANSSI n'est pas tout. N'oubliez pas l'escalade interne vers la direction, l'éventuel rapport GDPR à la CNIL pour les incidents de données personnelles, et la communication avec les clients.
Liste de contrôle : Êtes-vous préparés ?
Utilisez cette liste de contrôle pour évaluer votre préparation :
Processus et documentation :
- Définition claire de ce qui constitue un incident significatif
- Processus documenté de gestion des incidents
- Routines d’escalade et circuits de décision
- Modèles pour les trois types de rapports
- Coordonnées de l’ANSSI et de l’autorité de supervision
Organisation et ressources :
- Préparation d’astreinte ou équivalent pour une réponse rapide
- Responsable d’incident désigné avec mandat
- Personnel formé pouvant agir
- Canaux de communication fonctionnant 24h/24
Capacité technique :
- Capacité de détection pour découvrir les incidents
- Journalisation pour enquêter sur ce qui s’est passé
- Possibilité de collecter des indicateurs de compromission (IOC)
- Capacité de sauvegarde et de récupération
Conseils pratiques
Construisez un exercice de gestion d’incidents
Menez des exercices réguliers où vous simulez un incident significatif. Concentrez-vous sur :
- Pouvez-vous produire une alerte précoce sous 24 heures ?
- Les voies de contact vers l’ANSSI fonctionnent-elles ?
- Toutes les personnes impliquées savent-elles ce qu’elles doivent faire ?
Créez des modèles maintenant
N’attendez pas l’incident. Créez des modèles pour :
- Alerte précoce — Formulaire standard avec champs pré-remplis
- Notification d’incident — Structure pour une analyse plus approfondie
- Rapport final — Modèle pour une documentation complète
Établissez les voies de contact
- Enregistrez-vous auprès de l’ANSSI si vous ne l’avez pas déjà fait
- Testez le canal de signalement avant que la situation devienne critique
- Ayez des voies de contact de secours (téléphone, pas seulement e-mail)
Vous voulez en savoir plus sur les autres exigences de NIS2 ? Lisez notre aperçu du cadre NIS2 pour une image complète de la directive, ou vérifiez si vous êtes concernés par NIS2 avec notre outil de classification.
Comment Securapilot peut vous aider
Le module de gestion des incidents de Securapilot est conçu avec les exigences temporelles de NIS2 à l’esprit :
- Classification des incidents — Évaluation automatique selon la définition NIS2 d’incident significatif
- Contrôle temporel — Suivi des échéances avec alertes avant expiration
- Génération de modèles — Génération automatique de rapports basés sur les données d’incident
- Escalade — Workflows intégrés pour approbation et escalade
- Documentation — Traçabilité complète pour le rapport final
Réservez une démo et voyez comment nous pouvons vous aider à être préparés quand cela compte vraiment.
Questions fréquentes
Qu'est-ce qu'un 'incident significatif' selon NIS2 ?
Un incident est considéré comme significatif s'il a causé ou peut causer une perturbation grave du service, une perte économique pour l'organisation, ou a affecté ou peut affecter d'autres personnes physiques ou morales par des dommages matériels ou immatériels.
À qui dois-je faire le signalement ?
En France, les incidents sont signalés à l'ANSSI et à votre autorité de supervision sectorielles compétente. La voie de signalement exacte dépend de votre secteur d'activité. L'ANSSI fournit les canaux de signalement.
Que se passe-t-il si je rate l'échéance de 24 heures ?
Manquer les délais de signalement peut entraîner des sanctions. L'important est cependant de signaler dès que possible, même si l'échéance est dépassée. Ne pas signaler du tout est bien plus grave que de signaler en retard.
Dois-je signaler les incidents chez mes fournisseurs ?
Si un incident chez un fournisseur affecte votre capacité à délivrer vos services, cela peut devenir un incident à signaler pour vous. Vous devez avoir des contrats et processus qui garantissent que les fournisseurs vous informent rapidement des incidents.
