Gestion des incidents
Les délais de notification d'incident DORA : 4h, 24h, et après — le compte à rebours
Notification initiale, rapport intermédiaire, rapport final : comment fonctionne le compte à rebours DORA en cas d'incident majeur, et pourquoi la classification change tout.
En matière d'incident, DORA ne laisse pas de place à l'improvisation. Dès qu'un incident lié aux TIC est qualifié de majeur, une horloge se déclenche, et le régulateur attend des notifications à échéances fixes. Or c'est précisément ce pilier — la gestion des incidents — que l'ACPR a placé en tête de ses priorités de contrôle pour 2026. Comprendre le compte à rebours n'est donc pas un luxe : c'est une exigence de premier ordre.
Le point de départ : la classification, pas la détection
C'est la subtilité la plus lourde de conséquences. Le délai ne court pas à partir du moment où vous détectez un incident, mais à partir du moment où vous le classifiez comme majeur. Encore faut-il classifier vite : DORA encadre aussi ce délai amont.
En pratique, en France, l'entité doit notifier l'incident majeur à l'ACPR dans un délai de 4 heures après l'avoir classé comme majeur — et, dans tous les cas, au plus tard 24 heures après sa découverte. Autrement dit, vous ne pouvez pas retarder indéfiniment la classification pour repousser la notification : la borne des 24 heures depuis la détection ferme cette porte.
Les trois étapes de la notification
Le signalement s'articule en trois temps distincts :
La notification initiale. Dans les 4 heures suivant la classification (et au plus tard 24 heures après la découverte). Ce n'est pas un rapport complet : c'est une alerte. Elle donne les faits de base — quand, où, quel type d'incident, quels services affectés, l'impact préliminaire, un point de contact. Le message important : mieux vaut notifier avec des informations partielles dans les délais que d'attendre un tableau complet.
Le rapport intermédiaire. À mesure que la situation évolue, l'entité transmet une mise à jour : cause racine préliminaire, chronologie du confinement, données d'impact affinées, tiers impliqués. C'est le moment où l'on complète et corrige le tableau initial.
Le rapport final. Une fois l'analyse des causes terminée et les mesures correctives engagées : analyse racine complète, écart de contrôle identifié, actions correctives, enseignements tirés et actions prospectives (par exemple, intégrer le scénario dans le prochain programme de tests).
Les erreurs à ne pas commettre
Les retours du régulateur pointent plusieurs pièges récurrents :
- Attendre d'avoir toutes les informations. La notification initiale est une alerte, pas une enquête. Retarder pour « être complet » fait manquer le délai.
- Sous-classifier pour éviter de notifier. Tentation compréhensible, mais dangereuse : si le régulateur découvre a posteriori qu'un incident aurait dû être qualifié de majeur, les conséquences sont bien plus lourdes qu'une notification « par précaution ».
- Négliger les mesures compensatoires. Un incident doit être classifié indépendamment des mesures compensatoires mises en place après sa détection. On ne « rattrape » pas une classification en corrigeant après coup.
- Oublier les incidents survenus chez un prestataire. Une panne chez votre hébergeur cloud qui affecte vos services est un incident au sens de DORA — c'est vous qui notifiez.
Le cas particulier des paiements
Pour les établissements de crédit, établissements de paiement, prestataires de services d'information sur les comptes et établissements de monnaie électronique, DORA prévoit en plus la notification des incidents opérationnels ou de sécurité liés au paiement (article 23). Ces acteurs ont donc un double périmètre de vigilance : les incidents TIC majeurs et les incidents de paiement.
Articulation avec le RGPD
Si l'incident implique une violation de données personnelles, une double notification s'applique : DORA vers l'ACPR ou l'AMF, RGPD vers la CNIL. Les deux peuvent être menées en parallèle, mais leurs contenus diffèrent : le RGPD se concentre sur l'impact sur les personnes concernées, DORA sur l'impact opérationnel et la résilience du service.
Pourquoi un processus outillé change tout
Tenir ces délais suppose de savoir, en pleine crise, qualifier l'incident, identifier les fonctions et actifs impactés, retrouver les tiers concernés, et produire la notification au bon format. Les entités qui disposent d'un processus rodé et de gabarits prêts gagnent un temps décisif. Les autres découvrent les formulaires du régulateur au pire moment.
Le rôle d'Axenia. Axenia structure le parcours réglementaire de chaque incident : qualification, échéances de notification affichées, actifs et fonctions impactés, tiers concernés, chronologie — et prépare les éléments de déclaration. Le compte à rebours devient un processus maîtrisé plutôt qu'une course contre la montre.
Cet article a une vocation pédagogique et ne constitue pas un avis juridique. Les délais et modalités précis figurent dans les textes officiels (règlement DORA, règlements délégués et d'exécution) et la FAQ de votre autorité compétente. Sujet sensible : en cas d'incident réel, appuyez-vous sur vos procédures internes validées.
Voir comment Axenia pilote vos notifications d'incident. Réserver une démo →
