Circulaire abrogée
Attention : la circulaire CSSF 11/504 a été abrogée le 1er avril 2024 et remplacée par la circulaire CSSF 24/847 sur le cadre de notification des incidents liés aux TIC. Le contenu ci-dessous est conservé à titre historique. Pour vos obligations actuelles, référez-vous à la CSSF 24/847.
Le piège classique
L'article 1 de la circulaire CSSF 11/504 pose un seuil de déclaration qui semble simple mais que les entités surveillées interprètent systématiquement de travers : dès qu'une attaque externe a abouti (système corrompu, tentative de détournement avérée), elle doit être rapportée à la CSSF, même sans perte financière. La CSSF sanctionné deux comportements récurrents : les non-déclarations d'incidents techniques jugés à tort « sans impact », et les déclarations tardives qui empêchent le régulateur de corréler les attaques sectorielles. Avec l'arrivée de DORA et de NIS 2, ce périmètre déclaratif s'est durci : la CSSF croise désormais ses canaux de notification et détecte les omissions a posteriori.
La frontière exacte entre incident déclarable et phishing exclu
Le piège opérationnel est de qualifier correctement chaque événement. La circulaire exclut le phishing pur (simple courriel frauduleux non suivi d'effet), mais inclut tout ce qui découle d'une compromission technique réussie. En pratique, les zones grises où la CSSF attend une déclaration :
- Phishing ayant abouti à une compromission de credentials et à une connexion non autorisée au SI (déclarable, car attaque effective aboutie).
- Ransomware bloqué par l'EDR mais ayant chiffré un poste isolé avant containment (déclarable : système corrompu).
- Détournement de virement tenté via Business Email Compromise, identifié avant exécution du paiement (déclarable : tentative avérée).
- Exploitation d'une vulnérabilité externe (Citrix, Fortinet, Exchange) avec exécution de code, même sans exfiltration prouvée.
- Intrusion sur un sous-traitant critique impactant la confidentialité de vos données régulées.
Le réflexe défensif consistant à classer un incident en « phishing » pour éviter la déclaration est l'erreur la plus coûteuse en cas de contrôle CSSF : l'autorité reconstitue la chronologie via les logs et requalifie ex post.
Comment Luxgap automatise ce risque
Notre Luxgap Incident Qualifier élimine la subjectivité de la qualification d'incident en s'interposant entre votre SOC et la CSSF. L'outil ingère en temps réel les alertes de Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh et de votre EDR, puis un agent LLM spécialisé applique la grille de décision CSSF 11/504 croisée avec DORA RTS 2024/1772 pour statuer en moins de 90 secondes : déclarable, phishing exclu, ou zone grise à arbitrer DPO/CISO.
- Détecte automatiquement chaque incident de sécurité remonté par votre stack SOC et le qualifié au regard du périmètre exact de la circulaire 11/504.
- Distingue le phishing pur (exclu) du phishing ayant abouti à une compromission technique (déclarable) en corrélant les logs Azure AD, Defender et proxy.
- Pré-remplit le formulaire de déclaration CSSF avec la chronologie, les indicateurs de compromission et les mesures de containment extraits automatiquement de vos systèmes.
- Alerte le responsable conformité par Teams ou email dès qu'un incident franchit le seuil déclaratif, avec horloge de décompte intégrée.
- Produit un journal cryptographiquement scellé de chaque décision de qualification, opposable lors d'un contrôle CSSF pour démontrer la diligence.
- Synchronise la déclaration CSSF 11/504 avec les obligations parallèles DORA (registre incidents TIC majeurs) et NIS 2 le cas échéant, pour éviter les déclarations divergentes.
Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos alertes SOC réelles, avec un audit blanc gratuit sous 48h pour mesurer votre exposition déclarative avant tout engagement.
