Pourquoi l'Article 23 est critique
Avant NIS2, la France disposait d'une obligation de déclaration des incidents pour les Opérateurs d'Importance Vitale (OIV) via la LPM, et pour les OSE via NIS1. Mais les délais étaient flous et les sanctions limitées.
NIS2 change la donne avec l'Article 23 : des délais précis, non négociables, avec des sanctions pouvant atteindre 10 M€ en cas de manquement. La notification tardive d'un incident est traitée aussi sévèrement que le manque de mesures de sécurité préventives.
Qu'est-ce qu'un incident significatif ?
Les obligations de notification s'appliquent uniquement aux incidents "significatifs". NIS2 définit un incident comme significatif s'il répond à au moins un des critères suivants :
Perturbation opérationnelle grave
Interruption ou dégradation significative des services fournis par l'entité.
Pertes financières
L'incident a causé ou est susceptible de causer des pertes financières importantes pour l'entité.
Impact sur d'autres entités
L'incident a affecté ou pourrait affecter d'autres personnes physiques ou morales en causant des dommages matériels, corporels ou immatériels.
Atteinte à la réputation
L'incident a causé ou est susceptible de causer une atteinte grave à la réputation de l'entité.
En cas de doute : l'Article 23 précise que si vous n'êtes pas certain que l'incident est significatif, il est recommandé de notifier quand même. La non-notification d'un incident significatif est sanctionnable ; la notification d'un incident qui s'avère non-significatif ne l'est pas.
La timeline 24h / 72h / 1 mois
Dès la détection d'un incident significatif, trois délais s'enchaînent. Le point de départ est la détection de l'incident — pas sa résolution.
Première notification à l'ANSSI. Elle peut être incomplète — le but est d'informer l'autorité dans les meilleurs délais. Indiquez : type d'incident, systèmes affectés, estimation d'impact.
C'est le délai le plus difficile à respecter. Préparez un template de notification à l'avance.
Rapport intermédiaire avec : évaluation actualisée de la gravité, indicateurs de compromission (IoC) disponibles, mesures correctives en cours, estimation du nombre d'utilisateurs affectés.
Si l'incident évolue rapidement, vous pouvez soumettre plusieurs rapports intermédiaires.
Rapport final complet incluant : description détaillée de l'incident, analyse de cause racine, mesures correctives mises en place, mesures préventives pour éviter la récurrence.
Ce rapport peut être soumis plus tôt si l'incident est résolu avant 1 mois.
Contenu de chaque rapport
L'ANSSI met à disposition des formulaires standardisés. Voici les informations attendues pour chaque étape.
| Information | 24h | 72h | 1 mois |
|---|---|---|---|
| Identification de l'entité | |||
| Type et description de l'incident | |||
| Systèmes affectés | |||
| Estimation d'impact (partielle) | |||
| Indicateurs de compromission (IoC) | — | ||
| Mesures correctives en cours | — | ||
| Nombre d'utilisateurs affectés | — | ||
| Analyse de cause racine | — | — | |
| Mesures préventives post-incident | — | — |
Le processus de notification ANSSI
Les notifications doivent être soumises via la plateforme MonEspaceCyber de l'ANSSI. Voici le flux de traitement une fois la notification reçue.
- 1
Réception de l'alerte initiale
L'ANSSI accuse réception et attribue un numéro de référence (à conserver pour les rapports suivants).
- 2
Analyse par le CERT-FR
Le CERT-FR analyse l'incident et peut contacter l'entité pour des informations complémentaires ou proposer un soutien technique.
- 3
Partage avec les autres autorités
Si l'incident touche plusieurs États membres, l'ANSSI peut partager les informations avec ses homologues européens via le réseau CyCLONe.
- 4
Clôture après rapport final
Le dossier est clôturé après réception et validation du rapport final. L'ANSSI peut formuler des recommandations.
Sanctions en cas de non-notification
Le non-respect des obligations de notification est traité comme un manquement aux mesures de sécurité. Les sanctions applicables sont identiques aux autres infractions NIS2.
Sanctions maximales
- Entités Essentielles : jusqu'à 10 M€ ou 2% du CA mondial annuel
- Entités Importantes : jusqu'à 7 M€ ou 1,4% du CA mondial annuel
- Possibilité de mise en demeure préalable avec délai de correction
- Sanction aggravée en cas de récidive ou de dissimulation délibérée
Se préparer avant l'incident
24 heures est un délai très court quand on est en pleine gestion de crise. La préparation en amont est déterminante pour respecter l'Article 23.
- Désigner à l'avance le responsable de la notification (RSSI ou DSI) et son suppléant.
- Préparer un template de rapport d'alerte initiale pré-rempli avec les informations statiques de l'entité.
- Créer un compte sur la plateforme MonEspaceCyber de l'ANSSI avant qu'un incident ne survienne.
- Définir dans votre procédure interne les critères de qualification d'un 'incident significatif'.
- Configurer des alertes automatiques (ex : Sentinel NIS2) pour ne pas manquer la deadline de 24h.