VORN°clarity before control
Retour aux ressources
Cheat Sheet

DORA — Gestion des incidents ICT

L'essentiel en 1 page — Qualifier, escalader, notifier, prouver

DORA — Gestion des incidents ICT

L'essentiel en 1 page — Qualifier, escalader, notifier, prouver

VORN°

Idée clé

Sous DORA, un incident n'est pas un événement :
c'est une suite de décisions à qualifier, escalader, notifier et prouver.

➡️ Objectif : passer vite du « signal » à une qualification traçable.

1. Périmètre

Incident ICT = événement affectant la confidentialité / intégrité / disponibilité des systèmes d'information (SI), de données ou d'un service.

À distinguer : Incident (événement) ≠ Problème (cause racine) ≠ Crise (pilotage élargi)

2. Chaîne de gestion (end-to-end)

1Détection / alerte (SOC, IT, métiers, prestataires)
2Triage (vrai incident ? périmètre ? premières hypothèses)
3Décision : majeur / non majeur + escalade + déclenchements
4Réponse (confinement, contournements, éradication)
5Restauration (retour au nominal + surveillance renforcée)
6Post-incident : RCA + plan d'actions + re-test

3. Rôles & gouvernance (RACI simple)

IT / Opérations

Stabiliser, restaurer, collecter preuves techniques

SOC / SecOps

Détecter, qualifier, tenir la chronologie, IoC

RSSI

Arbitre sécurité / containment

Risques / Conformité

Qualifie « majeur » et valide la traçabilité

Direction

Tranche continuité / communication / acceptation

Tiers critiques

Fournir faits, délais, preuves, actions côté fournisseur

4. Est-ce un « incident majeur » ? (la règle simple)

Étape 1 Un service critique est-il touché ?

Service critique = service qui soutient une fonction critique ou un service financier régulé.

Ex. : paiement, exécution d'ordres, tenue de registre, reporting réglementaire…

Si NON → l'incident n'est pas « majeur » au sens DORA.
Si OUI → passer à l'étape 2.

Étape 2 MAJEUR si : intrusion confirmée OU ≥ 2 impacts

Intrusion confirmée

Intrusion confirmée : accès malveillant non autorisé réussi (SI/réseaux).

(ex : compte admin compromis, accès persistant, prise de contrôle…)

OU
Impact significatif

Majeur si ≥ 2 impacts parmi :

  • clients / transactions impactés
  • risque réputationnel significatif
  • interruption significative (durée / indisponibilité)
  • étendue géographique significative
  • perte de données
  • impact économique significatif

Résumé : Service critique touché + (intrusion confirmée OU 2 impacts significatifs) = incident majeur.

Réfs : règlement (UE) 2022/2554 — Art. 6, Art. 9, Art. 19(1)

5. Evidence pack (preuves minimales)

  • Chronologie horodatée : alerte → décisions → actions → rétablissement
  • Décisions clés : qui décide quoi, quand, pourquoi (sur quelle base)
  • Périmètre & impacts : ce qu'on sait / ce qu'on suppose / ce qu'on confirme (horodaté)
  • Actions & résultats : containment, contournements, correctifs, re-test
  • Communication : qui a été informé, quand, avec quel message

6. Délais de notification (DORA — jalons clés)

Objectif : notifier vite sans bloquer l'investigation → on commence « léger », puis on complète.

Notification initiale
  • Le plus tôt possible
  • ≤ 4h après la classification « incident majeur » et au plus tard ≤ 24h après la prise de connaissance de l'incident
Rapport intermédiaire
  • ≤ 72h après la notification initiale
  • Puis mise à jour sans délai en cas d'évolution significative, et au plus tard quand l'activité normale est rétablie
Rapport final
  • ≤ 1 mois après le rapport intermédiaire (ou ≤ 1 mois après le dernier rapport intermédiaire, si plusieurs mises à jour)
Déclassement (requalification)

Après une notification initiale, un incident peut être déclassé si les faits montrent qu'il ne répond finalement pas aux critères « incident majeur ». À faire : tracer la décision (qui / quand / pourquoi) et envoyer une mise à jour à l'autorité indiquant le déclassement.

Cas pratiques

Si tu ne peux pas tenir un délai : prévenir l'autorité avant l'échéance et expliquer la raison. Si l'échéance tombe week-end / jour férié : envoi possible jusqu'à midi le prochain jour ouvré.

7. Livrables utiles

  • Grille « majeur / non majeur » (règle ci-dessus + définitions internes)
  • Matrice d'escalade (seuils, décideurs, astreinte, délais)
  • Playbooks (ransomware, fuite de données, indisponibilité, compromission admin…)
  • Checklist preuves (tickets, logs, captures, décisions, communications)
  • Modèles : journal de crise, fiche incident, compte-rendu post-incident / RCA

8. Points de contrôle (où ça casse)

  • Décision « majeur / non majeur » trop tard ou pas justifiée
  • Pas de requalification : hypothèses implicites, pas de mise à jour horodatée
  • Tiers : infos partielles, délais, preuves indisponibles côté fournisseur
  • Preuves reconstruites après coup (au lieu de preuves natives — tickets, logs)
  • Remédiation : actions non priorisées, pas suivies, pas re-testées
  • Remédiation non clôturée (actions lancées mais sans preuve de fin / re-test)

Besoin d'accompagnement sur DORA ?

VORN° accompagne les entités dans la gestion des incidents ICT et la conformité DORA.

Prendre contact