Conformité DORA, AMF, ACPR — le journal ITAIA

Le 3 juillet 2026, l’ANSSI, l’ACPR et la Banque de France ont renouvelé leur coopération, engagée dès 2018, dans un accord désormais cadré par la directive NIS 2 et le règlement DORA. La répartition des rôles est explicite : l’ANSSI conduit la réponse technique aux incidents touchant le secteur financier via le CERT-FR ; l’ACPR contrôle le respect de DORA par les entités financières ; la Banque de France veille à la résilience des infrastructures de marché.

L’occasion de remettre à plat une question que chaque RCCI devrait pouvoir trancher en quelques minutes : en cas d’incident, qui prévenir, dans quel ordre, avec quels délais.

Ce que dit l’accord

Quatre axes de coopération : le partage d’informations sur les incidents d’origine cyber et les cybermenaces, les contrôles et l’assistance mutuelle, la gestion de crise, et les tests d’intrusion fondés sur la menace (TLPT — nous en parlions la semaine dernière).

La conséquence pratique pour une entité régulée : ce que vous déclarez à votre superviseur circule désormais dans un cadre organisé entre le contrôleur prudentiel, le régulateur de marché et l’agence technique de l’État. La cohérence entre votre notification réglementaire et la réalité technique de l’incident sera de plus en plus facile à vérifier — dans les deux sens.

Qui prévenir, dans quel ordre

Pour une société de gestion, la séquence type d’un incident majeur :

  • Contenir d’abord. L’EDR et le SOC isolent, bloquent, tuent le processus. La notification n’a jamais la priorité sur la maîtrise de l’incident — mais l’horloge réglementaire tourne dès la détection.
  • Classifier. DORA impose des critères précis (clients affectés, durée, étendue géographique, pertes de données, impact économique) pour qualifier l’incident de majeur. C’est cette classification qui déclenche l’obligation de notifier.
  • Notifier l’AMF — votre autorité compétente DORA en tant que SGP : notification initiale sous 4 heures après classification (et au plus tard 24 h après détection), rapport intermédiaire sous 72 heures, rapport final sous un mois.
  • Notifier la CNIL sous 72 heures si des données personnelles sont compromises (RGPD, obligation distincte et cumulative).
  • Le CERT-FR peut être sollicité pour l’appui technique — c’est précisément le rôle que l’accord lui confie pour le secteur financier.
  • Vos clients et votre assureur cyber, selon vos obligations contractuelles et votre police.

Notre rôle

La notification réglementaire appartient au RCCI. Notre travail, c’est que le dossier tienne : une détection horodatée (EDR supervisé 24/7, SOC managé), une chronologie opposable — journaux, tickets, actions de confinement tracées —, et les éléments de classification (postes affectés, données touchées, durée d’indisponibilité) disponibles dans les délais DORA, pas trois semaines après. En aval, nous corrigeons et documentons la remédiation qui alimentera le rapport final.

Un incident se gère mal quand on découvre la procédure le jour J. La séquence ci-dessus se teste à froid — c’est un exercice d’une demi-journée.

Une question sur votre dispositif de notification ? Réservez un diagnostic de 60 minutes, sans engagement.

Sources


Toutes les actualités