Réglementation

Incident cyber : votre chronologie légale — alerte à 24 h, notification à 72 h, rapport à 1 mois

Publié le 25 mai 2026 · L’équipe Expert NIS2 (BKube)

Vendredi, 17 h 40. Un utilisateur signale que ses fichiers portent une extension bizarre. À 18 h 15, le constat est posé : rançongiciel, propagation en cours. À partir de cet instant, deux crises démarrent en parallèle : la crise technique — et le compte à rebours réglementaire. Sous NIS2, voici ce qu’il impose.

H+24 : l’alerte précoce

Dans les 24 heures après avoir eu connaissance de l’incident, vous devez transmettre à l’ANSSI une alerte précoce : l’incident est-il vraisemblablement d’origine malveillante ? Peut-il avoir un impact au-delà de vos frontières ? Quelques lignes suffisent — mais réfléchissez à ce que ces quelques lignes exigent, un samedi matin, en pleine gestion de crise : savoir que l’obligation existe, savoir qui rédige, savoir par quel canal transmettre, et avoir un début de qualification de l’incident.

L’alerte précoce n’est pas un aveu de faute. C’est l’inverse : ne pas la faire en est une. Dans le doute sur la gravité, alertez.

H+72 : la notification

Sous 72 heures, vous devez compléter par une notification d’incident : évaluation initiale de la gravité et de l’impact, indicateurs de compromission si vous en avez. C’est là que la préparation technique paie ou se paie : pour évaluer l’impact, il faut savoir quels systèmes sont touchés et de quoi ils sont les dépendances. Une entreprise qui dispose d’une cartographie à jour répond en heures ; une entreprise qui découvre son réseau pendant la crise répond au hasard.

Rappel important : si des données personnelles sont compromises, la notification CNIL (RGPD, 72 heures aussi) court en parallèle — et votre assureur cyber a généralement ses propres délais de déclaration. Un même incident, trois compteurs.

M+1 : le rapport final

Un mois après la notification, le rapport final : description détaillée de l’incident, gravité et impacts, cause probable, mesures d’atténuation prises et en cours. Si l’incident dure encore, un rapport d’avancement, puis le rapport final un mois après la fin du traitement. Ce document restera : il sera lu par l’ANSSI, potentiellement par votre assureur, et il documentera — ou non — le sérieux de votre gestion.

Ce qui sépare ceux qui tiennent les délais des autres

Après des années d’incidents vécus aux côtés de nos clients, la différence tient à quatre préparatifs, tous réalisables au calme :

  1. Une procédure d’incident écrite — qui décide, qui rédige, qui notifie, avec suppléants ;
  2. des modèles de déclaration pré-remplis — l’alerte de 24 h ne doit demander que 30 minutes ;
  3. un registre des incidents tenu dès le premier jour — l’horodatage de vos actions est votre meilleure défense ;
  4. une cartographie à jour — pour qualifier l’impact sans deviner.

C’est exactement ce que le module incidents de notre plateforme outille : compte à rebours automatique des trois échéances, modèles prêts, journal horodaté. Et en amont, la box SKube raccourcit le seul délai que la loi ne fixe pas mais qui conditionne tout : le temps entre la compromission et le moment où vous l’apprenez.

Par où commencer ?

En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.