top of page
Rechercher

Article 23 de NIS2 : Structurer vos processus de signalement d'incidents

Ce qu'il faut savoir sur les délais de notification

Sous la directive NIS2, le signalement des incidents significatifs suit un calendrier défini. Comprendre cette timeline et la préparer permet à votre organisation de réagir professionnellement au moment où cela compte vraiment.


Les trois phases du signalement

Phase 1 : T+24 heures – Alerte précoce

Dans les 24 heures suivant la détection d'un incident significatif, vous devez notifier :

  • L'ANSSI (en France)

  • Le CSIRT régional désigné pour votre secteur

Ce premier signalement n'est pas exhaustif. Il contient :

  • Une description succincte de l'incident

  • Les systèmes ou services affectés

  • L'évaluation initiale de l'impact

  • Les premières mesures prises

À ce stade, certains éléments peuvent être incomplets. C'est attendu. L'objectif est de signaler rapidement pour que les autorités aient une visibilité précoce.

Phase 2 : T+72 heures – Rapport détaillé

À 72 heures, le rapport doit être plus structuré et inclure :

  • Description complète de l'incident

  • Analyse préliminaire de la cause

  • Systèmes et données touchés

  • Impact estimé ou confirmé

  • Mesures de contention en cours

  • Statut de l'investigation

C'est à cette phase que vous présentez votre compréhension actuelle de l'incident aux autorités.

Phase 3 : T+30 jours – Rapport final

Le rapport final comprend :

  • Analyse complète de la cause (RCA)

  • Impacts opérationnels détaillés

  • Données ou services affectés

  • Actions correctives permanentes mises en place

  • Preuves de fermeture de l'incident

Si l'incident est toujours en cours, vous documentez l'état actuel et proposez un calendrier pour le rapport final.


Définir ce qui est "significatif" pour votre organisation

La directive définit un incident significatif comme celui qui cause ou pourrait causer :

  • Une perturbation opérationnelle grave des services

  • Une perte financière notable

  • Des dommages à d'autres organisations ou personnes

  • Une compromission de données protégées

  • Une perte d'intégrité ou de confidentialité critique des données


La directive ne fixe pas de seuils numériques. Chaque organisation doit adapter cette définition à son contexte.

Par exemple :

  • Une indisponibilité de 2 heures d'un service non-critique : probablement non significatif

  • Une indisponibilité de 30 minutes d'un service critique : probablement significatif

  • Une tentative d'intrusion détectée et bloquée : probablement non significatif

  • Un accès non autorisé non détecté pendant une heure : probablement significatif

Définir ces critères en interne permet à votre équipe de décider rapidement si un incident doit être signalé.


L'élément organisationnel souvent oublié : La convergence IT et physique

Voici où beaucoup d'organisations découvrent un gap dans leur préparation.

Quand un incident arrive, il n'est généralement pas "purement informatique" ou "purement physique". Il a des implications des deux côtés.


Exemple de situation typique :

Un établissement de santé détecte un accès non autorisé au serveur contenant les dossiers patients (données personnelles, données cliniques sensibles).

Sans processus convergent défini :

  • L'équipe IT escalade. C'est correct. Incident de cybersécurité, potentiellement significatif.

  • Le rapport à l'ANSSI couvre l'aspect informatique : l'origine de l'attaque, les systèmes affectés, l'impact sur les données.

Ce qui est généralement oublié naturellement :

  • La salle serveur. Des vérifications simples : qui y avait accès ? Les logs d'accès physiques montrent-ils quelque chose ?

  • Le site de secours. Est-il opérationnel ? Peut-il prendre le relais si le serveur principal était indisponible ?

  • La continuité d'activité. Comment les services critiques fonctionnent-ils si ce système est indisponible ?

Quand ces dimensions ne figurent pas dans le rapport initial, c'est naturel - les équipes IT ne sont pas mécaniquement impliquées dans l'évaluation physique. C'est précisément pourquoi mettre en place un processus où ces vérifications sont intégrées fait sens.


Ce qui rend ce processus vraiment gérable

Les organisations qui naviguent bien le signalement NIS2 ont plusieurs éléments en place :


1. Une personne clairement responsable

Pas une équipe. Une personne. Cette personne :

  • Reçoit les alertes d'incident potentiellement significatif

  • Évalue si le signalement est requis

  • Coordonne les informations de différentes équipes (IT, physique, continuité d'activité)

  • Soumet le rapport aux autorités

Avoir un point focal évite la confusion et les délais liés aux communications internes.

2. Des critères internes définis

Plutôt que de débattre chaque incident ("Est-ce vraiment significatif ?"), vous avez défini en amont ce qui compte pour votre organisation.

Cela peut être :

  • Tout accès non autorisé = significatif

  • Toute indisponibilité > 30 min du système critique A = significatif

  • Toute détection de malware = significatif

  • Etc..

Ces critères sont documentés, connus de l'équipe, et facilitent la décision rapide.

3. Des templates préremplis pour chaque phase

24 heures, c'est court. 72 heures, c'est encore court. Avoir des templates avec les champs clés pré-structurés accélère considérablement la rédaction.

4. Une liste claire des destinataires

Documenter :

  • ANSSI (adresse de soumission, format attendu)

  • CSIRT régional (coordonnées, portail, processus)

  • DPA si données personnelles impliquées

  • Autres autorités selon votre secteur

5. Un processus où IT et Physique communiquent naturellement

C'est le point souvent négligé dans les approches IT classiques. Votre processus doit intégrer une vérification simple mais explicite :

"Y a-t-il une dimension physique à cet incident ?"

Si oui, les bonnes personnes doivent être impliquées pour vérifier :

  • Accès aux locaux critiques (qui y a accès, logs disponibles ?)

  • Intégrité du site de secours (peut-il opérer ?)

  • Continuité d'activité (services critiques maintenus ?)


Comment structurer cette convergence : L'accompagnement CARINEL

CARINEL accompagne les organisations à mettre en place un processus de signalement qui intègre la perspective sûreté physique dès le départ. Nous sommes des experts en sûreté et sécurité physique—nous apportons cette dimension à votre processus.

Phase 1 : Diagnostic et définition (2-3 semaines)

Comprendre votre situation actuelle :

  • Votre contexte : secteur, services critiques, équipes existantes

  • Vos processus IT actuels : comment fonctionne l'escalade aujourd'hui

  • Vos processus physiques : qui gère la sûreté physique, qui est informé des incidents

  • Vos critères de "significatif" : ce qui compte vraiment chez vous

Résultat : Une compréhension claire de ce que la convergence signifie pour votre organisation.

Phase 2 : Mise en place du processus (3-4 semaines)

Structurer le processus convergent :

  • Nommer un responsable coordination : La personne qui assure que IT et Physique travaillent ensemble quand un incident arrive

  • Documenter le processus d'escalade : Comment l'information circule, qui apporte quoi, qui valide

  • Structurer les vérifications physiques : Quelles questions poser à chaque phase (24h, 72h, 30j) pour que le rapport soit complet

  • Préparer les templates : Modèles pré-structurés pour chaque phase, avec les champs convergents intégrés

Résultat : Un processus documenté prêt à être utilisé.

Phase 3 : Préparation et validation (2-3 semaines)

Vérifier que le processus fonctionne réellement :

  • Former les équipes : IT et Physique comprennent comment travailler ensemble sur le signalement

  • Faire une simulation : Scénario réaliste, chronomètre en main, pour voir si ça marche

  • Identifier les gaps : Où manque l'information, où ça ralentit, comment les équipes communiquent réellement

  • Ajuster avant le premier incident réel : Corriger ce qui ne fonctionne pas

Résultat : Une équipe préparée à réagir correctement sous pression, avec un processus qui a été testé.

Suivi régulier (récurrent)

Maintenir la préparation :

  • Simulations trimestrielles : Continuer à pratiquer, intégrer les nouveaux collaborateurs

  • Mise à jour des processus : Adapter selon les évolutions réglementaires ou changements organisationnels

  • Enseignements tirés : Après chaque incident réel, vérifier que le processus a fonctionné, l'améliorer


Pourquoi CARINEL pour cet accompagnement

Sur le terrain, nous constatons que la synchronisation naturelle entre équipes IT et équipes sûreté physique est rare. Chacune opère dans son cadre. C'est normal—ce ne sont pas les mêmes responsabilités, les mêmes équipes, le même langage.

Quand un incident arrive, sans processus explicite, les équipes ne sont pas mécaniquement impliquées ensemble dans la réponse. L'une rapporte, l'autre n'est pas consultée. C'est humain.

CARINEL apporte l'expertise pour intégrer cette convergence dans vos processus et votre organisation. Nous assurons que :

  • La sûreté physique est considérée dès le départ, pas en ajout tardif

  • Les bonnes personnes sont impliquées dans le bon ordre

  • Le processus fonctionne réellement quand arrive le premier incident

  • Votre organisation a une vraie gouvernance convergente de la sûreté et de la sécurité


Étapes concrètes : Comment commencer

Si vous ne savez pas par où commencer :

  1. Nommer une personne responsable de ce projet (même quelques heures par semaine au début)

  2. Nous rencontrer pour un diagnostic rapide (2-3 heures) de votre situation actuelle

  3. Définir ensemble ce que la convergence signifie pour vous

  4. Structurer progressivement votre processus et votre organisation

Cette approche est progressive et adaptée à votre rythme.

Mois 1 : Diagnostic et définition

  • Nommer le responsable

  • Comprendre votre contexte (IT, Physique, Organisation)

  • Définir vos critères et destinataires

Mois 2 : Mise en place

  • Documenter le processus d'escalade convergent

  • Créer les templates avec les dimensions IT et Physique

  • Préparer les listes de vérification pour chaque phase

Mois 3 : Validation

  • Faire une simulation réaliste

  • Ajuster selon les apprentissages

  • Former l'équipe

Après : Récurrent

  • Simulation trimestrielle

  • Mise à jour selon évolutions

  • Intégration des nouveaux collaborateurs


À retenir

L'article 23 établit un calendrier clair pour signaler les incidents significatifs. Se préparer en avance—en définissant les critères, en nommant les responsables, et en structurant une vraie convergence sûreté physique et cybersécurité—rend cette obligation gérable et transforme la gestion d'incident en une force pour l'organisation.

Les organisations qui réussissent cette transition sont celles qui ont préparé systématiquement, bien avant le premier incident, en assurant que toutes les dimensions (IT, Physique, Opérationnelle) sont intégrées dans le processus.


Prochaines étapes

Vous pensez qu'il est temps de structurer votre processus de signalement NIS2 avec une vraie convergence sûreté physique et cybersécurité ?

Nous proposons un diagnostic rapide (2-3 heures) pour évaluer votre situation actuelle et identifier vos priorités.

CARINEL accompagne les organisations essentielles et importantes dans la mise en place d'une gouvernance convergente de la sûreté et de la sécurité, y compris dans la réponse et le signalement des incidents.


📞 Échange téléphonique découverte (30 min) : - Prenez rendez-vous pour un premier diagnostic téléphonique gratuit au 01 89 71 59 06 - nous vous rappelons sous 48h.

Contact expert : Envoyez-nous votre contexte au info@carinel.com ou https://www.carinel.com/contact


 
 
 

Commentaires

bottom of page