DORA : déclaration et reporting des incidents TIC

Le deuxième pilier du règlement (UE) 2022/2554, dit DORA, organise la gestion, la classification et la notification des incidents liés aux technologies de l'information et de la communication (TIC). Son objet dépasse la simple réaction à une panne : il s'agit de démontrer, à tout moment, que le dispositif de détection et de remontée d'une entité financière fonctionne réellement.

Concrètement, le texte attend une chaîne continue qui va de la détection d'un événement à sa documentation, puis à sa classification selon sa gravité, et enfin, pour les incidents majeurs, à sa notification aux autorités compétentes. C'est cette chaîne, et la preuve qu'elle tourne, que recouvre le mot-clé ict-related incident reporting.

Détecter et documenter chaque incident TIC

Tout commence par la capacité à repérer un incident lié aux TIC et à le consigner. DORA impose à l'entité financière de détecter et de documenter les incidents, sans attendre qu'ils dégénèrent en crise visible. La documentation n'est pas une formalité administrative : elle constitue la matière première de la classification ultérieure et la trace opposable à un superviseur. Un incident détecté mais non consigné, ou consigné de façon lacunaire, fragilise toute la chaîne en aval.

Cette exigence se rattache au premier pilier, la gestion du risque lié aux TIC : on ne détecte bien que ce que l'on a préalablement cartographié. Surveiller en continu ses fonctions et actifs critiques ou importants, c'est se donner les moyens de voir passer un incident plutôt que de le découvrir trop tard.

Classifier selon la gravité, sur les critères du règlement

Une fois documenté, l'incident doit être classifié selon sa gravité, sur la base des critères définis par le règlement. Cette classification commande la suite : elle distingue les incidents ordinaires, qui relèvent du suivi interne, des incidents majeurs, qui déclenchent une obligation de notification. La cohérence de cette classification dans le temps, d'un événement à l'autre, fait partie de ce qu'un contrôle peut vérifier.

Les critères précis, leur pondération et les modalités d'application sont précisés par les normes techniques élaborées sous l'égide des autorités européennes de surveillance (EBA, EIOPA, ESMA). Pour le détail des critères applicables à une situation donnée, il convient de se reporter au texte du règlement et aux normes techniques en vigueur, plutôt que de s'en remettre à une interprétation maison.

Notifier les incidents majeurs aux autorités, dans les délais imposés

Lorsqu'un incident est classé comme majeur, DORA impose de le notifier aux autorités compétentes dans les délais imposés par le règlement. En France, ces autorités compétentes sont l'ACPR pour les banques et les assurances, et l'AMF pour les entreprises d'investissement, les sociétés de gestion et les infrastructures de marché, selon l'entité concernée.

Les délais et le format exact de cette notification sont fixés par le règlement et précisés par les normes techniques des autorités européennes de surveillance. Ils ne se résument pas à un envoi unique : la logique du texte distingue plusieurs temps de remontée d'information à mesure que l'incident est compris et traité. Pour connaître les délais applicables et les modèles de déclaration, il faut se référer au règlement (UE) 2022/2554 et aux instructions des autorités compétentes, sans présumer d'un calendrier qui ne serait pas sourcé sur ces textes.

Savoir prouver que la détection et la remontée fonctionnent

L'esprit du deuxième pilier n'est pas de sanctionner la survenance d'un incident, inévitable dans tout système d'information, mais de vérifier qu'une entité sait le voir, le qualifier et le remonter. La vraie question d'un superviseur n'est pas « avez-vous eu un incident ? » mais « pouvez-vous prouver que votre dispositif l'aurait détecté, classé et notifié dans les règles ? ».

Cette logique de preuve change la nature du travail à fournir. Il ne suffit pas d'écrire une procédure de gestion des incidents : il faut qu'elle laisse une trace exploitable à chaque étape, de l'horodatage de la détection jusqu'à l'accusé de réception de la notification. C'est cette traçabilité de bout en bout qui transforme un dispositif théorique en un dispositif opposable.

Un pilier qui s'inscrit dans une trajectoire

La gestion des incidents TIC ne vit pas isolée : elle s'appuie sur la cartographie du risque, se nourrit des enseignements des tests de résilience et concerne aussi les incidents survenus chez les prestataires tiers de services TIC. Mettre ce pilier en ordre suppose donc de l'articuler avec les autres exigences du texte, et de partir de l'écart réel entre le dispositif existant et ce qu'attend le règlement. C'est précisément le rôle d'une démarche de mise en conformité DORA structurée, qui traduit ces obligations en jalons priorisés et en preuves vérifiables.

Poursuivre la lecture

Poursuivre la lecture