Depuis le 17 janvier 2025, tout incident TIC doit être évalué par les entités financières pour déterminer s'il est majeur au sens de DORA. Si c'est le cas, une notification à l'ACPR est obligatoire dans des délais stricts : rapport initial sous 4 heures, rapport intermédiaire sous 72 heures, rapport final sous 30 jours.
Le problème : les critères de classification sont définis dans le RTS délégué (UE) 2024/1772 aux Articles 8 et 9, avec des seuils précis. Sans outil dédié, évaluer un incident contre ces critères prend entre 45 minutes et 2 heures — et le risque d'erreur est élevé.
Le rapport initial doit être transmis à l'ACPR dans les 4 heures suivant la classification de l'incident comme majeur. Ce délai court à partir du moment où l'entité a connaissance de l'incident — pas à partir du moment où elle décide de le classifier.
Les 7 critères de classification (Art. 8 RTS 2024/1772)
Un incident TIC est classifié comme majeur s'il satisfait au moins un des 7 critères définis à l'Art. 8 du RTS 2024/1772. Ces critères sont cumulatifs dans leur logique — il suffit d'un seul pour déclencher la qualification de majeur.
| Critère | Art. RTS | Description | Seuil indicatif |
|---|---|---|---|
| C1 | Art. 8(1)(a) | Clients affectés — Nombre de clients dont les services sont perturbés | > 10% ou > 50 000 clients |
| C2 | Art. 8(1)(b) | Durée et disponibilité — Durée de l'interruption de service | > 2 heures (services critiques) |
| C3 | Art. 8(1)(c) | Zones géographiques — Étendue géographique de l'impact | Plusieurs États membres UE |
| C4 | Art. 8(1)(d) | Perte de données — Perte de disponibilité, d'intégrité ou de confidentialité des données | Toute perte avérée = majeur |
| C5 | Art. 8(1)(e) | Services critiques — Impact sur des services jugés critiques pour l'entité | Tout impact sur service CIF |
| C6 | Art. 8(1)(f) | Impact économique — Pertes financières directes ou indirectes | > 100 000 € ou > 0,1% fonds propres |
| C7 | Art. 8(1)(g) | Réputation — Impact réputationnel significatif | Couverture média ou plaintes clients |
Les 3 étapes de classification
Détection et normalisation de l'incident
Dès qu'un incident TIC est détecté, il faut collecter les informations factuelles : horodatage de début, services impactés, nature de l'incident (indisponibilité, violation de données, dégradation de performance), premières estimations de l'impact. Cette étape doit être réalisée dans l'heure suivant la détection.
Évaluation contre les 7 critères Art. 8
Évaluer l'incident contre chacun des 7 critères du RTS 2024/1772. Pour chaque critère, la réponse est binaire : le seuil est atteint ou non. Si au moins un critère est satisfait, l'incident est majeur. Cette évaluation doit être documentée et traçable pour l'ACPR.
Vérification des seuils Art. 9 et déclenchement
L'Art. 9 précise les seuils de matérialité applicables selon le type d'entité (établissement de crédit, PSP, EME, PSAN). Si les seuils sont atteints, la notification ACPR est obligatoire. Le RCSI signe le rapport initial et déclenche la chaîne de communication réglementaire.
Exemples concrets par type d'entité
| Scénario | Type entité | Critère déclenché | Verdict |
|---|---|---|---|
| Indisponibilité API paiement 3h | PSP | C2 (durée > 2h) + C5 (service critique) | MAJEUR |
| Fuite de données KYC 500 clients | EME | C4 (perte données) + C7 (réputation) | MAJEUR |
| Attaque DDoS 45 minutes repoussée | PSAN | Aucun seuil atteint | NON MAJEUR |
| Panne scoring crédit 4h, 80 000 demandes bloquées | SGP | C1 (>50 000) + C2 (>2h) + C5 | MAJEUR |
| Bug applicatif mineur corrigé en 20 min | EME | Aucun seuil atteint | NON MAJEUR |
Les délais de notification ACPR
| Rapport | Délai | Contenu obligatoire | Référence |
|---|---|---|---|
| Rapport initial | 4 heures | Nature incident, services impactés, premières estimations, mesures prises | Art. 19(3)(a) DORA |
| Rapport intermédiaire | 72 heures | Mise à jour impact, cause probable, mesures de remédiation en cours | Art. 19(3)(b) DORA |
| Rapport final | 30 jours | Analyse de cause racine, impact définitif, mesures correctives, leçons tirées | Art. 19(3)(c) DORA |
Le rapport initial peut être transmis avec des informations incomplètes si les 4 heures ne permettent pas une analyse exhaustive. L'ACPR accepte un rapport initial partiel, complété par le rapport intermédiaire. Ce qui n'est pas acceptable : dépasser le délai de 4 heures.
Références réglementaires
- Règlement (UE) 2022/2554 — DORA — Art. 17 à 19 (Gestion et notification incidents)
- RTS délégué (UE) 2024/1772 — Art. 8 (Critères) et Art. 9 (Seuils)
- CDR (UE) 2025/301 — Templates rapports initial/intermédiaire/final ACPR