← Tous les articles

consultant

CSSF 25/893: notifier un incident majeur en 4h grâce à l’EDR/XDR

La circulaire CSSF 25/893 formalise le reporting DORA des incidents TIC majeurs et cybermenaces significatives. Une pile EDR/XDR bien réglée accélère détection, qualification et notification en 4h/72h/1 mois.

Excerpt — Le 28 mai 2025, la CSSF a publié la circulaire 25/893 qui formalise le signalement des incidents TIC majeurs et des cybermenaces significatives sous DORA. En mai 2026, la CSSF en fait une priorité de supervision. Une pile EDR/XDR bien réglée permet de détecter vite, qualifier et notifier dans les délais.

Les faits

Le 28 mai 2025, la CSSF publie la Circulaire CSSF 25/893 qui fixe, pour les entités financières soumises à DORA, les modalités pratiques de déclaration des incidents TIC majeurs et de notification des cybermenaces significatives (canaux, gabarits, délais). La CSSF a depuis martelé ces exigences : rappel sectoriel le 25 juillet 2025 et, surtout, inscription explicite dans ses priorités de supervision 2026 (« prise en compte des incidents majeurs notifiés selon la circulaire 25/893 »). Autrement dit : en 2026, respecter ce cadre devient un sujet d’examen concret par le superviseur.

Dans le même temps, l’actualité rappelle la criticité opérationnelle : le 7 février 2026, le prestataire de paiements BridgePay confirme une attaque ransomware ayant provoqué une panne étendue de services pour des clients, illustrant la vitesse à laquelle un incident peut impacter les flux financiers et la confiance des usagers (BleepingComputer).

Le cadre légal qui s’applique

DORA (Règlement (UE) 2022/2554) impose une gestion des incidents TIC robuste (art. 17–20) et un reporting harmonisé des incidents majeurs et des cybermenaces. Les autorités européennes (ESAs) ont publié des normes techniques qui verrouillent le contenu et les délais : notification initiale dans les 4 heures après classification (avec garde‑fou à 24 h après détection), rapport intermédiaire sous 72 h, rapport final dans le mois. Voir la page de l’EBA sur les normes communes (« Joint Technical Standards on major incident reporting ») qui récapitule ces jalons et modèles normalisés (EBA). Pour une vue d’ensemble locale, consultez notre page dédiée à DORA et la résilience opérationnelle.

Au Luxembourg, la Circulaire CSSF 25/893 précise les modalités de mise en œuvre pour les entités DORA : processus de classification, canaux de soumission, données à fournir et articulation avec la notification des « significant cyber threats ». La CSSF annonce en outre que l’application de DORA par les gestionnaires et fonds sera monitorée en 2026, en tenant compte des incidents notifiés (priorités 2026).

La solution technique à déployer

EDR/XDR (Endpoint/Extended Detection & Response) fournit la détection en profondeur, la télémétrie et la chronologie nécessaires pour :

  • Détecter vite les comportements d’attaque (ransomware, « living‑off‑the‑land », vol de jetons SSO), réduire le « time‑to‑classify » et enclencher le compte à rebours DORA dans les temps.
  • Qualifier objectivement la matérialité via des métriques observables (nombre d’endpoints/clients affectés, indisponibilités, exfiltrations), utiles pour le seuil « incident majeur » et la complétion des formulaires normalisés.
  • Fournir les preuves forensiques (hash, PID, parent/child process, IOC/IOA, sessions réseau) demandées dans les rapports intermédiaires/final, tout en retraçant les mesures de confinement et de remédiation.

Concrètement, une pile XDR agrège l’EDR, les journaux authentifiés (Windows/Linux, SaaS, cloud), la télémétrie réseau (NDR), les signaux identité (IdP) et e‑mail, dans une corrélation temporelle unique. Les playbooks automatisent l’isolement d’endpoint, le blocage d’IOC et l’enrichissement des tickets (victimes, systèmes critiques, RTO/RPO), puis pré‑remplissent les champs du gabarit DORA (identification entité/LEI, classification, impacts, mesures prises). Pour accélérer ce volet opérationnel, l’appui d’un SOC managé centré sur l’EDR/XDR est déterminant.

Référentiels :
ISO/IEC 27001:2022 : A.8.15 (Journalisation), A.8.16 (Surveillance), A.5.24–A.5.25 (Gestion des incidents).
NIST CSF 2.0 : DE.CM (Surveillance), DE.DP (Détection), RS.AN (Analyse), RS.CO (Communication).
CIS Controls v8 : 8 (Audit Log Management), 13 (Network Monitoring & Defense), 17 (Incident Response Management).

Comment Luxgap déploie cela

  • Notre SOC managed 24/7 opère votre EDR/XDR, calibre les politiques anti‑ransomware (détection comportementale, « canaries », blocage LOLBins), orchestre l’isolement et horodate chaque étape pour nourrir vos rapports 4h/72h/1M. Nous tenons un registre de preuves horodatées, réutilisable pour la CSSF.
  • Notre gouvernance ISO 27001 structure votre processus de classification (seuils DORA), vos « runbooks » de notification et la traçabilité requise. Nous alignons la taxonomie d’incident sur les RTS/ITS et établissons les rôles d’escalade (CISO, compliance, communication).
  • Nos consultants DPO et CISO externalisés valident l’articulation DORA/RGPD/NIS 2 et évitent les double-signalisations incohérentes. Nous préparons les gabarits pré‑remplis (entité, LEI, contacts), prêts à être complétés dès la classification.

Cas concret au Luxembourg ou en UE

Une institution de paiement opérant dans la Grande Région a basculé en 6 semaines d’un antivirus « signature‑based » à une pile XDR managée (endpoints Windows, serveurs Linux, Microsoft 365, pare‑feu et proxy). Résultats : réduction du temps de détection d’heures à moins de 10 minutes sur des campagnes Emotet/loader, classification d’un incident avéré en 45 minutes (seuil DORA non atteint, documentation conservée), et un exercice de notification mené à blanc via les modèles DORA pour éprouver la chaîne 4h/72h/1M. La direction a reçu un tableau de bord de matérialité (clients, volumes, SLA) réutilisable pour la CSSF.

Premiers pas concrets

  1. Cartographiez vos journaux critiques (EDR, AD/Entra, mail, VPN, proxies, SaaS) et branchez‑les à un XDR/SIEM unique. Mettez en place des horodatages synchronisés (NTP) : c’est indispensable pour les rapports.
  2. Établissez des seuils DORA de classification « incident majeur » fondés sur vos volumes (clients, transactions, indisponibilités) et faites‑les valider par la direction/conformité.
  3. Pré‑remplissez les gabarits DORA (entité/LEI, points de contact, périmètre, systèmes critiques) et entraînez‑vous en table‑top sur un scénario ransomware : viser une notification prête en 4 h après classification.
  4. Activez les playbooks XDR : isolement automatique, quarantine de fichiers, rotation de secrets, bascule vers modes dégradés ; consignez chaque action pour le rapport 72 h. Pour l’angle continuité (RTO/RPO, modes dégradés), voyez nos capacités en plan de continuité et DORA résilience.
  5. Briefez votre COMEX : qui décide de la classification, qui signe l’envoi, qui parle aux clients ? Répétez le circuit sur un créneau « week‑end/jour férié ».

Sources officielles

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →