Notification d’Incident NIS2 : Procédure Détaillée sous 24h

Meta description : Notification incident NIS2, alerte 24h NIS2, déclaration ANSSI : procédure détaillée et délais de notification d’incident sous NIS2 pour les entreprises.

Un incident de cybersécurité peut frapper à tout moment. Pour les organisations couvertes par la Directive (UE) 2022/2555, dite NIS2, la réaction à cet incident doit être immédiate et orchestrée. L’alerte sous 24 heures n’est pas une option, mais une obligation légale stricte.

Le non-respect de cette notification incident NIS2 peut non seulement aggraver les dommages techniques et financiers, mais surtout exposer votre entreprise à des sanctions administratives sévères, pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles.

Que vous soyez dirigeant ou RSSI, comprendre et maîtriser la procédure de déclaration ANSSI est fondamental. Ce guide détaille étape par étape le dispositif de notification d’incident tel que défini par la directive européenne et adapté au contexte français.

1. Le Cadre Juridique de la Notification d’Incident sous NIS2

1.1. L’impératif de transparence et de réactivité

La directive NIS2 marque une rupture : la transparence sur les incidents de cybersécurité est désormais une exigence centrale. L’objectif est twofold : d’une part, permettre aux autorités compétentes, comme l’ANSSI en France (cyber.gouv.fr), de prendre connaissance des menaces émergentes et de coordonner la réponse ; d’autre part, d’assurer une meilleure protection des utilisateurs finaux et des autres entités potentiellement impactées.

Cette obligation repose sur le principe de réactivité, matérialisé par des **délais de notification très courts**. L’ignorance ou la négligence ne sont plus des excuses recevables. La directive, dans son article 23, détaille précisément ce processus.

1.2. Les entités concernées par l’obligation de notification

Toutes les organisations soumises à la directive NIS2, qu’elles soient classées comme **Entités Essentielles (EE)** (Annexe I) ou **Entités Importantes (EI)** (Annexe II), sont tenues de respecter ces obligations de notification. Les **18 secteurs** couverts par la directive, allant de l’énergie et la santé aux fournisseurs numériques et aux services de confiance, sont tous concernés.

Que vous operiez dans la fabrication de dispositifs médicaux (Annexe II) ou dans la gestion d’infrastructures numériques (Annexe I), vos obligations de notification en cas d’incident significatif sont les mêmes selon les délais établis par l’article 23.

2. La Procédure de Notification : Un Processus en Trois Étapes Clés

L’article 23 de la directive NIS2 établit un cadre de notification basé sur une approche progressive, partant d’une alerte initiale pour aboutir à une analyse complète.

2.1. Étape 1 : L’Alerte Préliminaire — 24 Heures Chrono

C’est le moment le plus critique. Dès qu’un incident de cybersécurité est identifié comme potentiellement significatif, les compteurs s’affolent.

Délai : 24 heures maximum après avoir pris connaissance de l’incident.

Qui notifier ? L’autorité compétente nationale désignée. En France, il s’agit de l’ANSSI.

Que notifier ? Une alerte préliminaire. Elle ne demande pas une analyse exhaustive, mais doit contenir au minimum :

• Une indication préliminaire de l’incident de cybersécurité
• Sa potentielle gravité et son impact (ou la possibilité d’un impact transfrontalier)
• L’entité concernée
• Un contact pour des informations complémentaires

Objectif : Informer rapidement l’autorité compétente qu’un incident est en cours afin qu’elle puisse évaluer s’il requiert une assistance ou une coordination spécifique.

Exemple pratique : Vous découvrez qu’un groupe de cybercriminels a exfiltré des données sensibles de vos clients durant la nuit. À 9h00 le lendemain matin, vous devez déjà avoir contacté l’ANSSI pour les prévenir, même si vous n’avez pas encore identifié l’étendue totale de la fuite.

2.2. Étape 2 : Le Rapport d’Incident Détaillé — 72 Heures

Une fois l’alerte initiale donnée, et alors que vous travaillez à contenir et comprendre l’incident, un second jalon s’impose.

Délai : 72 heures maximum après avoir pris connaissance de l’incident.

Contenu détaillé requis :

• Une évaluation initiale plus précise de la gravité et de l’impact de l’incident
• Les indicateurs de compromission (IoCs) pertinents
• Les causes probables de l’incident (si déjà identifiées)
• Les mesures d’atténuation déjà mises en œuvre ou en cours
• Toute information pertinente indiquant un impact transfrontalier

Objectif : Fournir aux autorités une image plus claire de la situation pour qu’elles puissent évaluer la nécessité d’une intervention coordonnée ou d’alerter d’autres États membres.

2.3. Étape 3 : Le Rapport Final — 1 Mois

Une fois l’incident géré, contenu et analysé en profondeur, le dernier acte de la procédure de notification doit être accompli.

Délai : 1 mois maximum après avoir pris connaissance de l’incident.

Contenu exhaustif attendu :

• Une description complète de l’incident : chronologie, origine, évolution, impact final
• L’analyse des causes profondes (root cause analysis)
• Les mesures correctives prises pour remédier à l’incident
• Les mesures préventives mises en place pour éviter la récurrence
• Les leçons apprises et les recommandations d’amélioration

Objectif : Documenter l’ensemble du cycle de vie de l’incident, partager les connaissances avec l’autorité compétente et contribuer à la compréhension globale des menaces.

3. Qu’est-ce qu’un Incident Ciblant NIS2 ?

La directive NIS2, dans son Article 6, point 6, définit un incident comme :

“un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou traitées, ou des services offerts ou accessibles via des réseaux et systèmes d’information.”

Cette définition est large et couvre de nombreux scénarios :

• Indisponibilité : Déni de service (DoS/DDoS), ransomware paralysant les systèmes, panne majeure d’infrastructure.
• Authenticité compromise : Usurpation d’identité, attaques de phishing réussies conduisant à des prises de contrôle de comptes.
• Intégrité compromise : Altération des données critiques, exfiltration de données, modifications non autorisées.
• Confidentialité compromise : Fuite de données personnelles, professionnelles ou sensibles.

L’article 6 mentionne également le **quasi-incident** : un événement qui aurait pu avoir un impact mais a été évité grâce à des mesures préventives. Bien que moins contraignant, il devrait faire l’objet d’analyses internes et de documentation.

3.1. Le critère de “significativité”

La notification n’est pas systématique pour chaque mini-incident. La directive NIS2 (Article 23, §1) stipule que les entités notifient les incidents qui ont ou sont susceptibles d’avoir un **impact significatif** sur la prestation de leurs services.

L’impact significatif est apprécié selon plusieurs critères, notamment :

• Le nombre de destinataires du service affectés
• La durée de l’interruption
• L’étendue géographique de l’impact
• La gravité des conséquences (pertes économiques substantielles, atteinte à la sécurité physique, atteinte à des données sensibles)

Si votre entreprise opère dans les 18 secteurs couverts par NIS2 (voir Annexes I et II de la directive), un incident affectant directement vos services critiques est *a priori* considéré comme significatif.

4. Préparer sa réaction : Anticiper pour réagir en 24 Heures

Le délai de 24 heures pour l’alerte préliminaire ne laisse aucune marge d’improvisation. Une stratégie de préparation est essentielle.

4.1. Avant l’incident : structurer sa défense

La capacité à réagir rapidement repose sur une architecture et des processus déjà en place :

• Mise en place d’un processus de gestion des risques : Connaître ses actifs, ses menaces et ses vulnérabilités permet d’établir des plans proactifs.
• Documentation claire des procédures de réponse à incident : Un playbook détaillé (runbook) est indispensable. Il doit définir les rôles, les responsabilités, les étapes de détection, qualification, classification, notification et remédiation.
• Mise en place d’une capacité de surveillance et de détection : Un SIEM (Security Information and Event Management), un EDR (Endpoint Detection and Response), ou une solution de SOC externe permet de détecter les incidents rapidement.
• Identification des points de contact : Savez-vous qui contacter au sein de l’ANSSI ? Avez-vous des contacts dédiés pour les assurances cyber ?
• Formation des équipes et des dirigeants : Chaque acteur doit connaître son rôle en cas d’incident. La formation des dirigeants à l’article 20 est capitale pour assurer leur soutien et leur implication.
• Tests réguliers : Des exercices de simulation d’incident (tabletop exercises) permettent d’identifier les frictions dans les processus et d’améliorer la réactivité.

4.2. Pendant l’incident : la phase critique

Dès la détection d’un événement suspect :

1. Première qualification rapide : S’agit-il d’un événement bénin ou d’un semi-incident/incident potentiellement significatif ? Le doute doit profiter à la notification.
2. Activation de la cellule de crise et du playbook : Les équipes désignées sont mobilisées.
3. Début de l’investigation technique : Isoler les systèmes, collecter les preuves, identifier la source et l’ampleur.
4. Évaluation préliminaire de l’impact et des délais : Cela permettra de préparer la première notification.
5. Préparation de l’alerte à 24h : Rassembler les informations nécessaires, identifier le bon canal de contact avec l’ANSSI et rédiger le brouillon.

4.3. Les informations essentielles pour l’alerte préliminaire

Pour respecter le délai de 24 heures, quelques informations clés doivent être prêtes :

• Nature de l’incident : Ransomware, fuite de données, indisponibilité de service, etc.
• Entité concernée : Nom de votre organisation
• Date et heure de découverte de l’incident
• Services/Systèmes affectés : Description brève
• Impact préliminaire : Nombre d’utilisateurs/clients affectés (estimation), impact sur la disponibilité/l’intégrité/la confidentialité des données
• Impact potentiel transfrontalier : Oui/Non, et pourquoi (si évident)
• Contact principal de l’entité : Nom, rôle, coordonnées

L’ANSSI propose généralement des portails sécurisés ou des adresses email dédiées pour ces notifications.

5. L’ANSSI, votre Interlocuteur Clé en France

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) joue un rôle central dans le dispositif NIS2 en France pour la notification des incidents.

5.1. Missions de l’ANSSI dans le cadre NIS2

En tant qu’autorité compétente nationale pour NIS2 en France, l’ANSSI est responsable de :

• Être le point de contact unique pour les notifications d’incidents
• Recevoir, analyser et diffuser les alertes concernant le territoire français
• Coordonner la réponse aux incidents transfrontaliers en lien avec les autorités européennes (ENISA, CERT-UE)
• Mener des contrôles et imposer des sanctions en cas de non-conformité
• Fournir des guides et recommandations pour aider à la mise en conformité

5.2. Comment contacter l’ANSSI pour une notification ?

Il est crucial de connaître les canaux officiels de contact de l’ANSSI pour la notification d’incidents. Typiquement, cela inclut :

• Des numéros de téléphone d’urgence dédiés, joignables 24/7
• Une adresse email sécurisée pour les notifications
• Un portail en ligne sécurisé (plateforme de déclaration)

Il est recommandé de vérifier ces coordonnées directement sur le site officiel de l’ANSSI (cyber.gouv.fr) avant tout incident et de les intégrer dans votre playbook de réponse.

6. Les Sanctions en cas de non-respect des obligations de notification

La rigueur des délais de notification est reflétée dans la sévérité des sanctions en cas de manquement.

6.1. Article 34 : La grille des sanctions administratives

L’article 34 de la directive NIS2 établit un régime de sanctions dissuasives, modulées selon la catégorie de l’entité :

• Entités Essentielles (Annexe I) : amende pouvant atteindre le montant le plus élevé entre 10 millions d’euros ET **2 % de leur chiffre d’affaires annuel mondial total**.
• Entités Importantes (Annexe II) : amende pouvant atteindre le montant le plus élevé entre 7 millions d’euros ET **1,4 % de leur chiffre d’affaires annuel mondial total**.

Ces montants imposants soulignent l’importance accordée à la réactivité et à la transparence en matière d’incidents de cybersécurité.

6.2. La responsabilité des organes de direction

Comme mentionné dans l’article 20, les dirigeants ne sont pas exemptés. Un manquement grave et répété aux obligations de notification, après avoir reçu des injonctions de l’autorité compétente, peut engager leur responsabilité personnelle.

Cela inclut le risque de sanctions administratives directes contre les dirigeants (par exemple, interdiction temporaire d’exercer certaines fonctions), en plus des sanctions frappant l’entité elle-même.

7. Votre Plan d’Action pour une Notification d’Incident Réussie

Se préparer à la notification d’incident NIS2 est un processus continu. Voici les étapes clés pour bâtir un dispositif robuste.

Phase 1 : Évaluation et Planification (Mois 1-3)

• Identifier votre statut NIS2 : Êtes-vous une entité essentielle ou importante ? Quels sont vos secteurs d’activité selon les Annexes I et II ?
• Cartographier vos actifs critiques : Quels sont les systèmes et données dont la compromission aurait un impact significatif ?
• Évaluer votre maturité actuelle en matière de détection et de réponse à incident.
• Rédiger/mettre à jour votre playbook de réponse à incident en intégrant les exigences NIS2 (délais, contenu des notifications, contacts ANSSI).
• Obtenir le soutien de la direction pour les ressources nécessaires (humaines, techniques, financières).

Phase 2 : Structuration des Processus (Mois 4-7)

• Mettre en place ou renforcer votre capacité de surveillance (SOC).
• Formaliser les procédures de classification des incidents et d’escalade.
• Identifier et valider les canaux de communication avec l’ANSSI.
• Planifier et réaliser la première formation des équipes et des dirigeants sur leurs rôles en cas d’incident.
• Documenter votre politique de notification.

Phase 3 : Tests et Optimisation (Mois 8-12)

• Organiser des exercices de simulation d’incident incluant la phase de notification.
• Tester la chaîne de communication : votre équipe sait-elle vers qui se tourner et comment contacter l’ANSSI ?
• Analyser les résultats des exercices et ajuster vos procédures.
• Intégrer les processus de notification dans votre stratégie de gestion globale des risques.
• Vérifier la conformité continue via des audits internes.

FAQ — Vos questions sur la notification d’incident NIS2

Que considère-t-on comme un incident de cybersécurité “significatif” sous NIS2 ?

Un incident est considéré comme significatif s’il a ou est susceptible d’avoir un **impact important** sur la prestation des services de l’entité. L’article 23, paragraphe 1, liste des critères d’impact : le nombre de destinataires affectés, la durée de l’interruption, l’étendue géographique, et la gravité des conséquences économiques ou sociales. Si votre entité opère dans l’un des 18 secteurs NIS2, un incident sur vos services critiques est présumé significatif.

dois-je notifier l’ANSSI même si l’incident n’a eu qu’un impact potentiel ?

Oui. La directive NIS2 insiste sur la nécessité de notifier même si l’incident n’a eu qu’un **impact potentiel**. Les termes “ou est susceptible d’avoir” dans l’article 23 indiquent qu’il vaut mieux notifier une alerte préliminaire qui se révélera mineure plutôt que de ne rien signaler et risquer une sanction pour non-notification d’un événement potentiellement grave.

Quelle est la responsabilité de l’entreprise dans la notification ?

L’entreprise entière est responsable, mais la direction — c’est-à-dire les organes de direction mentionnés à l’article 20 — porte une responsabilité première. Ils doivent s’assurer que les procédures existent, sont connues, testées et que les équipes ont les moyens de les suivre. En cas de manquement avéré et de sanctions subséquentes, leur responsabilité personnelle peut être engagée.

Le délai de 24h pour l’alerte est-il négociable ?

Non, le délai de 24 heures pour l’alerte préliminaire est une exigence légale stricte de l’article 23. Les autorités compétentes tel que l’ANSSI surveillent le respect de ce délai. Le non-respect de cette première étape peut être considéré comme une infraction grave, indépendamment de la suite de la gestion de l’incident.

Que se passe-t-il si je me trompe dans le contenu de ma notification ?

La notification initiale sous 24 heures est justement qualifiée de “préliminaire”. Elle ne nécessite pas une analyse exhaustive mais une indication factuelle. Il est donc normal de ne pas avoir toutes les réponses. Le plus important est de notifier rapidement et de fournir une première évaluation honnête. Les rapports ultérieurs serviront à **affiner l’analyse**. L’objectif est la transparence, pas la perfection immédiate.

La notification d’incident NIS2 remplace-t-elle d’autres obligations de déclaration ?

Non. NIS2 s’ajoute aux obligations existantes. Par exemple, le RGPD impose ses propres délais et conditions de notification pour les violations de données personnelles. Vous pourriez avoir à notifier simultanément l’ANSSI (pour l’aspect sécurité des systèmes) et la CNIL (pour la violation de données personnelles). Il est essentiel de coordonner ces différentes démarches.

Ne subissez plus les cyberattaques : anticipez et réagissez

Une notification d’incident NIS2 réussie repose sur la préparation. Les délais serrés priment la réactivité. La clarté des informations fournies aux autorités comme l’ANSSI est essentielle.

Ignorer ces obligations, c’est prendre le risque d’une amende salée, d’une perte de confiance client et d’un préjudice réputationnel durable. L’investissement dans des processus de réponse à incident solides et dans la formation de vos équipes est donc un impératif stratégique et légal.

Prêt à mettre en place la procédure de notification d’incident conforme à NIS2 ?

👉 Demandez notre audit de préparation à la notification NIS2 : nous analysons vos procédures actuelles, identifions les points faibles et vous aidons à construire un plan d’action concret pour respecter les délais et les exigences de la directive.