Je dois mettre mon organisation luxembourgeoise en conformité à l'article 10 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 10

Détection

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Détection

1. Les entités financières mettent en place des mécanismes permettant de détecter rapidement les activités anormales, conformément à l’article 17, y compris les problèmes de performance des réseaux de TIC et les incidents liés aux TIC, ainsi que de repérer les points uniques de défaillance potentiellement significatifs.

Tous les mécanismes de détection visés au premier alinéa sont régulièrement testés conformément à l’article 25.

2. Les mécanismes de détection visés au paragraphe 1 permettent la mise en place de plusieurs niveaux de contrôle, définissent des seuils d’alerte et des critères de déclenchement et de lancement des processus de réponse en cas d’incident lié aux TIC, y compris des mécanismes d’alerte automatique destinés au personnel compétent chargé de la réponse aux incidents liés aux TIC.

3. Les entités financières consacrent des ressources et des capacités suffisantes pour surveiller l’activité des utilisateurs, l’apparition d’anomalies liées aux TIC et d’incidents liés aux TIC, en particulier les cyberattaques.

4. Les prestataires de services de communication de données disposent en outre de systèmes capables de vérifier efficacement l’exhaustivité des déclarations de transactions, de repérer les omissions et les erreurs manifestes et de demander une nouvelle transmission de ces déclarations.

Spécificité Luxembourg

Circulaire CSSF 24/847 sur la notification des incidents TIC

Au Luxembourg, la CSSF est l'autorité competente pour DORA et a publie en 2024 sa Circulaire CSSF 24/847 qui précisé les attentes en matiere de notification d'incidents TIC et, par extension, le niveau de détection attendu en amont. La CSSF attend une capacite de détection 24/7 pour les établissements significatifs et vérifié en inspection la coherence entre votre dispositif de détection (article 10) et votre processus de notification (article 19) : un incident majeur non detecte rapidement entraine automatiquement un retard de notification sanctionnable.

Pratique Luxgap : exigez de votre SOC (interne ou externalise via eBRC, POST Cyberforce ou Excellium) un SLA de détection contractuel avec MTTD cible sous 60 minutes pour les incidents majeurs, et conservez les preuves de tests trimestriels horodatees, opposables en cas de contrôle CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 10 sanctionné deux postures opposees mais aussi dangereuses : la banque qui n'a aucun SIEM (détection inexistante) et la banque qui a un SIEM mais sans seuils calibres (10 000 alertes par jour, personne ne les lit). La CSSF, en contrôle on-site, demande systématiquement la preuve de détection : combien d'incidents detectes, en combien de temps, par quel mécanisme, avec quels seuils, et surtout la preuve de test régulier exigee par l'article 25. Une détection théorique non testee equivaut a une absence de détection.

Les 5 exigences opérationnelles concretes de l'article 10

Détection rapide des activités anormales, incidents TIC et problemes de performance réseau (paragraphe 1).
Identification des points uniques de defaillance (SPOF) matériels : un seul firewall, un seul fournisseur cloud, une seule region AWS.
Plusieurs niveaux de contrôle (défense en profondeur) avec seuils d'alerte documentes et critères de déclenchement formalises.
Alertes automatiques vers le personnel competent (pas d'email perdu dans une boite générique).
Ressources suffisantes dediees au monitoring : la CSSF vérifié le ratio analystes SOC / volume d'alertes, et l'absence de single point of knowledge.

Pour les data reporting service providers (APA, ARM, CTP), l'exigence est renforcee : vérifier l'exhaustivite des déclarations de transactions, détecter omissions et erreurs manifestes, et demander la retransmission.

Comment Luxgap automatise ce risque

Notre Luxgap Détection Coverage Mapper transforme votre dispositif de détection en preuve opposable a la CSSF : l'outil cartographie en continu vos sources de logs (Microsoft Defender, Azure Sentinel, CrowdStrike Falcon, Wazuh, Splunk, AWS GuardDuty, M365 Audit, Active Directory) et calcule en temps reel le taux de couverture détection par actif TIC critique, en alignant chaque règle SIEM sur la matrice MITRE ATT&CK Financial Services et sur les articles 10 et 17 du DORA.

Detecte les angles morts en croisant votre inventaire d'actifs TIC (article 8) avec les sources de logs effectivement ingerees par votre SIEM, et alerte sur tout serveur, endpoint ou SaaS non monitore.
Calibre automatiquement les seuils d'alerte en analysant 90 jours de telemetrie historique, et propose des reglages anti faux-positifs adaptes au volume reel d'événements de votre entité.
Identifié les points uniques de defaillance par analyse de dependances (un seul DNS, une seule region cloud, un seul administrateur Tier-0) et produit une heatmap SPOF priorisée.
Teste régulièrement les règles de détection via injection d'événements synthetiques (purple teaming automatise aligne sur le framework TIBER-EU) et horodate chaque test pour l'article 25.
Genere un rapport trimestriel cryptographiquement scelle demontrant MTTD (mean time to detect), couverture MITRE, taux de tests reussis, et SPOF residuels, opposable lors d'une inspection CSSF.
Alerte Teams ou Slack instantanee auprès du personnel competent désigné, avec escalade automatique si non-acquittement sous 15 minutes.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre réglementaire. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre SIEM reel, avec un audit blanc gratuit sous 48h pour mesurer votre taux de couverture détection avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Détection

Ils nous font confiance

Avant de discuter