Comprendre NIS2 · Incidents
Incident de sécurité : votre chronologie légale
Sous NIS2, un incident important déclenche un compte à rebours réglementaire en trois temps. Ces délais courent pendant que vous gérez la crise elle-même — ils ne se tiennent que si tout est préparé avant.
| Échéance | Obligation | Contenu attendu |
|---|---|---|
| 24 heures | Alerte précoce | Signaler l'incident à l'ANSSI : suspicion d'origine malveillante ? Possible impact transfrontière ? Quelques lignes suffisent — mais il faut les émettre. |
| 72 heures | Notification d'incident | Évaluation initiale : gravité, impact, indicateurs de compromission connus. Mise à jour de l'alerte précoce. |
| Sur demande | Rapport intermédiaire | Point de situation si l'ANSSI le demande pendant le traitement. |
| 1 mois | Rapport final | Description détaillée : gravité, impacts, cause probable, mesures d'atténuation appliquées et en cours. Si l'incident dure encore : rapport d'avancement, puis rapport final un mois après la fin du traitement. |
Pourquoi ces délais changent votre organisation
Ces obligations paraissent administratives ; elles sont en réalité structurantes. Pour émettre une alerte fiable en 24 heures, il faut : détecter l'incident (donc surveiller son réseau), le qualifier (donc savoir quels actifs sont touchés et de quoi ils dépendent), savoir qui décide et qui rédige (donc une procédure), et disposer des modèles de déclaration (donc les avoir préparés). Chaque maillon manquant se paie en heures — et les heures sont comptées.
- Détecter — la box SKube surveille les comportements anormaux sur votre réseau : mouvement latéral, communications malveillantes, exfiltration de données.
- Qualifier — la cartographie et l'inventaire disent immédiatement quels services dépendent d'un équipement compromis.
- Déclarer — le registre d'incidents de la plateforme intègre la chronologie NIS2 : compte à rebours, modèles de déclaration, historique horodaté pour l'audit.
- Reprendre — le PRA encadre la restauration ; les sauvegardes saines font la différence entre un incident et une catastrophe.
Questions fréquentes
Quels incidents faut-il notifier ?
Les incidents « importants » : ceux qui causent (ou peuvent causer) une perturbation opérationnelle grave de vos services ou des pertes financières, ou qui affectent d'autres personnes physiques ou morales par des dommages considérables. En cas de doute dans les premières heures, mieux vaut émettre l'alerte précoce : elle n'est pas un aveu de faute.
À qui notifie-t-on en France ?
À l'ANSSI, qui est le point de contact national. La notification ne remplace pas les autres obligations éventuelles : CNIL en cas de violation de données personnelles (72 h, RGPD), dépôt de plainte, information de votre assureur cyber.
Peut-on tenir 24 heures sans préparation ?
Honnêtement, non. En pleine crise — systèmes chiffrés, équipes mobilisées, direction sous pression — rédiger une alerte structurée en 24 heures ne s'improvise pas. La seule approche réaliste : des procédures et des modèles prêts à l'avance, un registre d'incidents tenu à jour, et des responsabilités claires. C'est précisément ce que le module incidents de notre plateforme outille.
Seriez-vous prêt demain matin ?
Nous testons votre capacité de réponse lors de l'audit : détection, qualification, procédures, modèles. Et le module incidents de la plateforme tient le compte à rebours pour vous.