Processus de gestion des incidents liés aux TIC

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

1. Les entités financières définissent, établissent et mettent en œuvre un processus de gestion des incidents liés aux TIC afin de détecter, de gérer et de notifier les incidents liés aux TIC.

2. Les entités financières enregistrent tous les incidents liés aux TIC et les cybermenaces importantes. Les entités financières mettent en place des procédures et des processus adéquats pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents liés aux TIC, pour veiller à ce que les causes originelles soient identifiées et documentées et qu’il y soit remédié pour éviter que de tels incidents ne se produisent.

3. Le processus de gestion des incidents liés aux TIC visé au paragraphe 1:

a)	met en place des indicateurs d’alerte précoce;

b)	instaure des procédures destinées à identifier, suivre, consigner, catégoriser et classer les incidents liés aux TIC en fonction de leur priorité et de leur gravité et en fonction de la criticité des services touchés, conformément aux critères fixés à l’article 18, paragraphe 1;

c)	attribue les rôles et les responsabilités qui doivent être activés pour différents types et scénarios d’incidents liés aux TIC;

établit des plans pour la communication à l’intention du personnel, des parties prenantes externes et des médias, conformément à l’article 14, et pour la notification aux clients, les procédures internes de remontée des informations, y compris les plaintes des clients liées aux TIC, ainsi que pour la fourniture d’informations aux entités financières qui agissent en tant que contreparties, le cas échéant;

permet de notifier au minimum les incidents majeurs liés aux TIC aux membres de la direction concernés et de communiquer à l’organe de direction au minimum des informations sur les incidents majeurs liés aux TIC, expliquant leurs incidences, la réponse à leur apporter et les contrôles supplémentaires à mettre en place à la suite de tels incidents;

f)	définit des procédures de réponse en cas d’incident lié aux TIC, afin d’en atténuer les effets et de garantir que les services redeviennent opérationnels et sécurisés en temps utile.

Spécificité Luxembourg

Circulaire CSSF 24/847 du 5 août 2024 relative à la notification des incidents TIC

Au Luxembourg, la CSSF est l'autorité compétente DORA pour la quasi-totalité des entités financières (banques, PSF, fonds, gestionnaires, EME, établissements de paiement), tandis que le CAA supervise les entreprises d'assurance et de réassurance. La circulaire CSSF 24/847 précise depuis 2024 le cadre de notification des incidents TIC et remplace l'ancien régime de notification CSSF, en s'alignant sur les RTS DORA. Toute entité financière luxembourgeoise doit notifier les incidents majeurs via le portail eDesk de la CSSF selon le calendrier en trois étapes (notification initiale, intermédiaire, finale).

Pratique Luxgap : nous préconfigurons le connecteur eDesk CSSF dans le Incident Forensics Vault pour que la notification initiale parte automatiquement dans le délai de 4 heures après classification majeure, avec pré-remplissage des champs du formulaire CSSF à partir des données techniques déjà collectées.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 17 est l'un des plus contrôlés par la CSSF lors des inspections DORA. Le piège : avoir un processus de gestion d'incidents documenté sur papier, mais incapable de produire la chronologie minute par minute d'un incident réel, ni de démontrer que la root cause analysis a été conduite, documentée et que des contrôles correctifs ont été mis en place. La CSSF sanctionné moins l'incident lui-même que l'incapacité de l'entité à prouver qu'elle a détecté, classé, escaladé au management body et remédié dans les délais. Les amendes DORA peuvent atteindre 1% du chiffre d'affaires journalier moyen mondial, appliquées quotidiennement jusqu'à mise en conformité.

Les 6 piliers du processus exigé par l'article 17(3)

Indicateurs d'alerte précoce : seuils techniques (CPU, latence, échecs d'authentification, anomalies SIEM) déclenchant une investigation avant que l'incident ne devienne majeur.
Procédures de classification alignées sur les critères de l'article 18(1) : nombre de clients affectés, durée, étendue géographique, pertes de données, impact économique, criticité du service.
Matrice RACI par scénario : ransomware, fuite de données, panne d'un prestataire TIC critique, attaque DDoS, fraude interne.
Plans de communication coordonnés avec l'article 14 : staff, clients, contreparties, médias, et procédures d'escalade interne incluant les plaintes clients TIC.
Reporting management body : tout incident majeur doit remonter à la direction avec impact, réponse et contrôles additionnels.
Root cause analysis documentée : la CSSF exige la traçabilité du diagnostic causal et de la remédiation, pas seulement de la résolution opérationnelle.

Le piège opérationnel : la plupart des entités financières luxembourgeoises ont un ITSM (ServiceNow, Jira Service Management, GLPI) qui gère les tickets, mais ne produit pas la preuve DORA attendue. Les timestamps ne sont pas horodatés de manière opposable, la classification article 18 n'est pas automatisée, et la RCA est rédigée en texte libre sans lien aux contrôles correctifs.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Forensics Vault transforme votre ITSM existant en machine à produire des preuves DORA opposables à la CSSF. L'outil ne remplace pas ServiceNow ou Jira : il s'y branche en API et reconstruit en temps réel la chronologie cryptographiquement scellée de chaque incident TIC, depuis le premier signal SIEM jusqu'à la clôture de la RCA, avec horodatage qualifié eIDAS.

Connecte nativement Microsoft Sentinel, Splunk, CrowdStrike Falcon, Wazuh et Defender XDR pour capturer les indicateurs d'alerte précoce avant qu'un humain n'ouvre un ticket.
Classifie automatiquement chaque incident selon les 7 critères de l'article 18(1) en interrogeant vos systèmes (nombre de clients impactés via CRM, durée via monitoring, criticité via CMDB) sans saisie manuelle.
Déclenche la matrice RACI préconfigurée par scénario et notifié les rôles concernés via Teams ou Slack, avec accusé de lecture horodaté pour démontrer l'activation effective.
Génère le rapport au management body en un clic pour tout incident classé majeur, incluant impact, réponse, contrôles additionnels et lien aux preuves techniques.
Scelle cryptographiquement la chronologie complète (logs, décisions, communications, RCA) dans un coffre eIDAS, opposable lors d'une inspection CSSF ou d'une notification ESAs au titre de l'article 19.
Détecte les RCA incomplètes (cause racine non identifiée, contrôle correctif non assigné, délai de remédiation dépassé) et alerte le CISO avant que la CSSF ne le fasse.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos incidents réels des 90 derniers jours, avec un audit blanc gratuit sous 48h pour mesurer l'écart entre votre processus actuel et l'attendu CSSF.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Processus de gestion des incidents liés aux TIC

Ils nous font confiance

Avant de discuter