CUSTOR 28 · Note réglementaire n° 003 · Lecture 5 min

DORA : pourquoi un incident spectaculaire n'est pas forcément majeur

En moins de dix minutes, cette note explique pourquoi la qualification « majeur » ne dépend pas de l'intuition de gravité, mais d'une combinaison précise de critères réglementaires.

Le malentendu qu'il faut lever

Un incident retentissant — un rançongiciel médiatisé, une attaque qui fait les titres — n'est pas nécessairement un incident « majeur » au sens de DORA. À l'inverse, une indisponibilité discrète, peu visible de l'extérieur, peut l'être pleinement.

C'est contre-intuitif, et c'est précisément là que beaucoup d'établissements se trompent. La qualification « majeur » ne repose pas sur l'impression de gravité, ni sur la couverture médiatique. Elle repose sur une combinaison de critères définie par un texte précis, avec une logique que cette note va décomposer.

Le point à retenir d'emblée : un seuil franchi ne suffit pas toujours. La qualification obéit à une mécanique en deux temps, et la confondre avec un simple « franchissement de seuil » conduit soit à sur-déclarer, soit à manquer une obligation.

Est-ce que cette note vous concerne ?

Oui, si votre établissement est une entité financière au sens de DORA et qu'il est, à ce titre, tenu de notifier les incidents liés aux TIC qualifiés de majeurs. La question « cet incident est-il majeur ? » se pose à chaque incident significatif, et c'est elle qui déclenche — ou non — l'obligation de notification dans les délais que nous avons traités dans la note précédente.

Savoir qualifier correctement n'est donc pas un exercice théorique : c'est ce qui détermine si le compteur réglementaire démarre.

Où se trouve la règle

DORA (Règlement (UE) 2022/2554), à son article 18, énumère les critères de classification — clients et transactions affectés, impact réputationnel, durée et indisponibilité, étendue géographique, pertes de données, criticité des services, impact économique. Mais il ne fixe ni les seuils, ni la manière de les combiner.

Cette mécanique est précisée par le Règlement délégué (UE) 2024/1772. Ce sont ses articles 8 et 9 qui définissent ce qui fait, concrètement, qu'un incident bascule dans la catégorie « majeur ». C'est ce texte, et non DORA seul, qui contient la règle opérationnelle.

La mécanique réelle : une porte d'entrée, puis une combinaison

C'est le cœur de la note, et le point le plus souvent mal compris. L'article 8 du Règlement délégué 2024/1772 ne dit pas « un seuil franchi égale incident majeur ». Il pose une structure en deux temps.

Première condition, obligatoire : la criticité des services. Un incident ne peut être majeur que s'il a affecté des services critiques au sens de l'article 6. Cet article retient trois cas : l'incident affecte des services TIC ou systèmes supportant des fonctions critiques ou importantes ; ou il affecte des services financiers nécessitant un agrément, un enregistrement ou faisant l'objet d'une supervision ; ou il constitue un accès malveillant, non autorisé et réussi aux systèmes de réseau et d'information de l'entité. Sans cette porte d'entrée, l'incident n'est pas majeur, quels que soient les autres seuils atteints.

Seconde condition, au choix entre deux voies : une fois la criticité établie, l'incident est majeur si l'une des deux situations suivantes est remplie :

Les seuils de matérialité, pour comprendre la logique

L'article 9 fixe les seuils. Ils sont reproduits ici pour comprendre la mécanique de combinaison — non pour servir de grille de qualification, qui suppose une appréciation au cas par cas que ce document ne remplace pas.

Le critère clients, contreparties et transactions est atteint, notamment, lorsque les clients affectés dépassent 10 % de ceux du service concerné, ou dépassent 100 000 en valeur absolue, ou lorsque les contreparties affectées dépassent 30 %, ou les transactions affectées 10 % de la moyenne quotidienne. Le critère durée et indisponibilité vise une durée d'incident supérieure à 24 heures, ou une indisponibilité supérieure à 2 heures pour les services supportant des fonctions critiques ou importantes. Le critère étendue géographique est atteint dès un impact dans deux États membres ou plus. Le critère impact économique vise des coûts et pertes supérieurs à 100 000 euros. S'y ajoutent les critères impact réputationnel et pertes de données, qui reposent sur des conditions qualitatives décrites aux articles 2 et 5.

Ce qui compte, ce n'est pas de mémoriser chaque chiffre, mais de comprendre qu'aucun de ces seuils, pris isolément, ne déclenche à lui seul la qualification par la voie B : c'est leur combinaison, après la porte d'entrée de la criticité, qui opère.

Le cas particulier de l'accès malveillant

Une situation échappe à la logique de combinaison et mérite une attention spécifique. Lorsqu'un accès malveillant, non autorisé et réussi survient à des systèmes de réseau et d'information susceptibles d'entraîner des pertes de données, le seuil correspondant de l'article 9 est atteint et constitue à lui seul la voie A : l'incident est majeur sans qu'il soit nécessaire de cumuler un second critère.

Le texte considère que ce type d'intrusion présente un risque sérieux, y compris lorsque ses effets ne sont pas immédiatement mesurables. Pour un établissement, cela signifie qu'une intrusion avérée ne doit pas être mise en attente d'une évaluation d'impact chiffré : la qualification peut être acquise dès l'établissement de l'accès malveillant réussi.

La récurrence des incidents non majeurs

Dernier point que l'intuition néglige : des incidents qui, pris séparément, ne sont pas majeurs peuvent le devenir collectivement. L'article 8(2) prévoit que des incidents récurrents comptent comme un incident majeur lorsqu'ils surviennent au moins deux fois en six mois, partagent la même cause racine apparente, et remplissent collectivement les critères de qualification.

L'évaluation de cette récurrence doit être faite mensuellement. Elle ne s'applique pas aux micro-entreprises ni à certaines entités visées par DORA. Concrètement, une succession de petits incidents de même origine ne peut pas être traitée comme une série d'événements anodins : elle doit être suivie dans le temps, sous peine de manquer une qualification par cumul.

La vérité qui survit aux évolutions

Que les seuils soient un jour ajustés, un principe demeure : on ne peut démontrer qu'un incident a été correctement qualifié que si l'on a tracé le raisonnement — la criticité, la voie retenue, les seuils considérés, et le fondement de chacun.

La qualification n'est pas un jugement instantané ; c'est une chaîne d'appréciations à documenter. Un établissement qui conclut « cet incident n'est pas majeur » sans pouvoir retracer comment il est parvenu à cette conclusion s'expose autant que celui qui se trompe de qualification. Ce n'est pas le verdict qui protège, c'est la traçabilité du raisonnement qui y conduit.

Les questions à vous poser

Si, à l'issue de cette lecture, vous ne pouvez pas répondre avec certitude aux questions suivantes, votre dispositif de qualification mérite probablement une revue :

1. Savez-vous identifier, pour un incident donné, s'il a d'abord affecté des services critiques au sens de l'article 6 — la porte d'entrée obligatoire ?
2. Distinguez-vous la voie de l'accès malveillant (un seul critère) de la voie de la combinaison (au moins deux seuils) ?
3. Êtes-vous en mesure de déterminer si au moins deux seuils de matérialité sont atteints, avec les données disponibles au moment de l'incident ?
4. Suivez-vous mensuellement les incidents récurrents susceptibles de constituer, par cumul, un incident majeur ?
5. Pourriez-vous retracer pour le régulateur le raisonnement complet ayant conduit à qualifier — ou à ne pas qualifier — un incident de majeur ?

Quis custodiet ipsos custodes