Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 5 : Incident, signalement et responsabilités

Module 5 : Incident 18 min de lecture

5.2 Signalement interne, CERT-FR, CNIL : les bons réflexes et les délais légaux

Selon la nature de l'incident, les obligations de signalement diffèrent : DSI interne, ANSSI, CERT-FR, CNIL, ACPR, police judiciaire. Comprendre la cartographie des destinataires et leurs délais légaux est crucial pour l'entreprise.

Hiérarchie des signalements selon la gravité
N1
DSI / RSSI interne
Tout incident, même mineur · Immédiat
Immédiat
N2
CERT-FR (ANSSI)
Incidents techniques, demande d'assistance · 24/7
24/7
N3
CNIL
Violation de données personnelles · 72 h max
72 h
N4
ANSSI / NIS2
Entités essentielles et importantes · 24 h alerte précoce
24 h
N5
Police / Procureur
Plainte pénale · Pas de délai mais utile rapidement
Plainte
1

Le signalement interne : la première brique

Tout commence par le signalement interne à la DSI ou au RSSI. Selon la taille de l'entreprise :

  • PME < 50 salariés : souvent un seul interlocuteur informatique, parfois externalisé. Email + appel téléphonique en cas d'urgence.
  • ETI / Grande entreprise : équipe DSI dédiée + équipe SOC + RSSI. Souvent un email dédié ([email protected]) ou un portail de signalement, voire un numéro de téléphone d'astreinte 24/7.
  • Grand groupe : SOC interne 24/7, équipe CERT interne (« CSIRT » — Computer Security Incident Response Team), outils de ticketing dédiés.

Bonnes pratiques côté entreprise pour faciliter le signalement :

  • Un canal unique connu de tous : email dédié, bouton dans le client mail, numéro d'urgence affiché dans les open spaces
  • Réponse rapide à tout signalement, même mineur, pour entretenir la motivation
  • Retour vers le signaleur sur l'analyse effectuée (« voici ce qu'on a fait de votre signalement »)
  • Politique no-blame documentée dans la charte informatique
  • Communication régulière des incidents évités grâce aux signalements (anonymisée si nécessaire)
2

Le CERT-FR : centre national de réponse aux incidents

Le CERT-FR (Computer Emergency Response Team France), rattaché à l'ANSSI, est le point d'entrée national pour les incidents cyber affectant les entreprises françaises. Ses missions :

  • Veille permanente sur les menaces et publications d'alertes
  • Assistance technique aux victimes (analyse forensique, conseils de remédiation)
  • Coordination avec les CSIRT sectoriels (santé, finance, énergie) et internationaux
  • Diffusion de bulletins (CERTFR-2024-XXX) pour partager les indicateurs de compromission

Contact : portail cert.ssi.gouv.fr, email [email protected], ligne 01 71 75 84 50 (24/7 pour incidents majeurs touchant entités essentielles). Pour les particuliers, le service est Cybermalveillance.gouv.fr.

Cas typiques où contacter le CERT-FR :

  • Ransomware actif sur le SI
  • Détection d'une intrusion confirmée (indicateurs de compromission)
  • Attaque DDoS perturbant l'activité
  • Compromission d'un compte à privilèges
  • Demande de soutien technique en cas de doute
3

La CNIL : 72 heures pour notifier une violation de données

L'article 33 du RGPD impose au responsable de traitement de notifier toute violation de données personnelles à la CNIL dans les 72 heures de la prise de connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

Une « violation de données personnelles » est définie par l'article 4(12) du RGPD : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles, ou l'accès non autorisé à de telles données ». Concrètement : ransomware (atteinte à la disponibilité), fuite de base de données (divulgation), vol d'ordinateur non chiffré contenant des données personnelles, envoi par erreur d'un fichier sensible.

Contenu de la notification à la CNIL (formulaire en ligne notifications.cnil.fr) :

  • Nature de la violation
  • Catégories et nombre approximatif de personnes concernées
  • Catégories et volume approximatif de données touchées
  • Conséquences probables
  • Mesures prises ou envisagées pour remédier
  • Coordonnées du DPO ou du référent

Si le risque pour les personnes est élevé (atteinte à la vie privée, usurpation d'identité, conséquences financières), l'article 34 impose en plus l'information directe des personnes concernées dans les meilleurs délais. Forme : email, courrier, communication publique selon les cas.

Sanctions : défaut de notification = amende administrative jusqu'à 10 M€ ou 2 % du CA mondial (article 83.4 RGPD). La CNIL a déjà sanctionné plusieurs entreprises pour notification tardive, indépendamment de la gravité de la violation elle-même.
Publicité
4

NIS2 : 24 h, 72 h, 1 mois — un triple délai

Pour les entités essentielles et importantes au sens NIS2, la notification d'incident à l'autorité compétente (ANSSI en France) suit un triple délai :

  • 24 heures après prise de connaissance : alerte précoce succincte (l'incident est-il malveillant ? a-t-il un impact transfrontalier ?)
  • 72 heures : notification d'incident avec évaluation initiale (gravité, indicateurs de compromission, mesures prises)
  • 1 mois : rapport final détaillé (description complète, causes profondes, impact, mesures pérennes de remédiation)
  • Optionnel : rapport intermédiaire à la demande de l'ANSSI selon l'évolution

Concrètement, ces délais doivent être anticipés avant qu'un incident ne survienne : préparer les contacts ANSSI, les modèles de rapport, les responsabilités dans l'organisation. Les entreprises qui découvrent ces obligations le jour de l'incident notifient mal et risquent des sanctions cumulables (10 M€ ou 2 % CA mondial NIS2 + 10 M€ ou 2 % RGPD = potentiellement 4 % du CA).

Pour le secteur financier, DORA impose des délais encore plus courts : 4 heures pour les incidents classifiés « majeurs », notification à l'ACPR ou à l'AMF selon le périmètre.

5

Déposer plainte : police et procureur

En cas d'incident grave (ransomware, fraude au virement, vol de données massif), déposer plainte est recommandé pour plusieurs raisons :

  • Obligation de l'employeur dans certains cas (vol, fraude organisée)
  • Possibilité d'enquête pénale par la police judiciaire (OCLCTIC — Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication, ou C3N — Centre de lutte contre les criminalités numériques de la gendarmerie)
  • Démarches d'indemnisation par l'assurance cyber : la plupart des polices exigent un dépôt de plainte préalable
  • Récupération éventuelle des fonds via le programme Financial Fraud Kill Chain (BEC) ou opérations internationales (ransomware)
  • Statistiques nationales : alimenter les chiffres officiels pour mieux dimensionner les politiques publiques

Modalités : plainte au commissariat / brigade de gendarmerie le plus proche, ou directement au procureur de la République via courrier recommandé. Pour les fraudes en ligne, le portail Pharos (signalement) et THESEE (plainte en ligne) facilitent les démarches. Pour les particuliers, cybermalveillance.gouv.fr oriente vers les bons interlocuteurs.

6

Communication externe : prudence et coordination

Un incident grave nécessite une communication externe coordonnée : clients, fournisseurs, partenaires, voire grand public et médias. Mauvaise communication = double dommage (incident technique + crise réputationnelle). Bonnes pratiques :

  • Un seul porte-parole désigné (DG, communication, ou conseil externe)
  • Message factuel : ce que l'on sait, ce que l'on ne sait pas encore, ce que l'on fait
  • Pas de minimisation ni de promesse intenable. Si on dit « aucune donnée personnelle n'a fuité » et qu'on découvre 3 semaines plus tard que si, la crédibilité est détruite.
  • Coordination avec les avocats et le DPO sur les obligations légales (notification clients selon RGPD article 34, info Conseil d'État pour les administrations, etc.)
  • Communication interne avant externe : les salariés ne doivent jamais apprendre l'incident par les médias
  • Surveiller les réseaux sociaux et préparer des éléments de réponse aux questions fréquentes

Modèle à privilégier : communication transparente, factuelle, respectueuse des victimes. Les entreprises qui communiquent bien lors d'incidents (cas TVO, OVH 2021 incendie Strasbourg) en sortent souvent renforcées en confiance. Les entreprises qui cachent ou minimisent (cas Yahoo 2014-2016 sur la fuite de 3 milliards de comptes) sont sanctionnées durablement.

Délais légaux de notification — récapitulatif
4 h
DORA — Incident majeur secteur financier
Banques, assurances, fonds · Vers ACPR / AMF / BCE
24 h
NIS2 — Alerte précoce
Entités essentielles et importantes · Vers ANSSI
72 h
RGPD — Violation de données personnelles
Tout responsable de traitement · Vers CNIL · Article 33
72 h
NIS2 — Notification d'incident
Évaluation initiale détaillée · Vers ANSSI
1 mois
NIS2 — Rapport final
Description complète, causes, mesures pérennes
À retenir
  • 5 niveaux de signalement : DSI/RSSI → CERT-FR → CNIL → ANSSI/NIS2 → Police.
  • CNIL : 72 h pour violation de données personnelles (RGPD article 33). Sanction jusqu'à 10 M€ ou 2 % CA.
  • NIS2 : 24 h alerte précoce, 72 h notification, 1 mois rapport final. Sanction 10 M€ ou 2 % CA.
  • DORA : 4 h pour incident majeur secteur financier. Vers ACPR / AMF.
  • CERT-FR = point d'entrée national, 24/7, conseil technique.
  • Communication externe : transparente, factuelle, coordonnée. Pire = minimiser ou cacher.
Sommaire de la formation
Progression : 86%