Gestion des incidents (Article 21 NIS2) — Détection, traitement, notification et retour d'expérience

La gestion des incidents constitue la pierre angulaire opérationnelle de la conformité NIS2. Les entités essentielles et importantes doivent démontrer leur capacité à détecter, analyser, contenir, traiter et surmonter un incident de sécurité, tout en assurant la continuité de leurs services critiques. Cette mesure exige un dispositif structuré autour de quatre piliers : détection permanente, traitement coordonné, notification dans des délais stricts et retour d'expérience documenté. Pour les organisations soumises à NIS2, l'enjeu dépasse le simple aspect technique ; l'ANSSI a traité 3 586 événements de sécurité en 2025, avec 2 209 signalements et 1 366 incidents concentrés sur l'éducation (34 %), les ministères et collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %).

Ce que dit l'article 21 §2 de la directive NIS2

L'article 21 paragraphe 2, point (b) de la directive (EU) 2022/2555 impose aux entités essentielles et importantes de mettre en œuvre « des politiques et procédures pour traiter les incidents ». Cette formulation générique englobe l'ensemble du cycle de vie de l'incident : la détection, l'analyse, le confinement, l'éradication, la récupération et la notification. Le texte s'articule directement avec l'article 23, qui fixe les obligations de notification en trois étapes : une alerte précoce dans les 24 heures suivant la prise de connaissance de l'incident significatif, une notification détaillée dans les 72 heures avec une évaluation initiale de la sévérité et de l'impact, puis un rapport final dans un délai d'un mois.

La directive considère comme « incident significatif » tout événement ayant ou pouvant avoir un impact significatif sur la fourniture de services. Le ReCyF, publié le 17 mars 2026 par l'ANSSI, liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. La conformité NIS2 impose une organisation structurée, une supervision de sécurité performante, une procédure de gestion des incidents, une procédure de gestion des crises et des exercices réguliers, avec une traçabilité complète des actions menées et un retour d'expérience structuré après chaque incident.

Référentiels et standards applicables

ISO/IEC 27035 : le socle méthodologique

L'ISO/IEC 27035 présente des concepts de base, des principes et un processus avec des activités clés de gestion des incidents de sécurité de l'information, offrant une approche structurée pour préparer, détecter, signaler, évaluer et répondre aux incidents, puis appliquer les leçons apprises. La série ISO 27035, composée de trois parties, couvre la préparation (ISO 27035-2) et les opérations de réponse (ISO 27035-3). Elle structure tout le cycle : de la préparation jusqu'aux leçons tirées, en passant par l'identification, l'analyse et la réaction.

NIST SP 800-61 Revision 3 : l'approche américaine alignée sur CSF 2.0

En avril 2025, le NIST a finalisé la Special Publication 800-61 Revision 3, qui intègre les recommandations de réponse aux incidents de cybersécurité dans les activités de gestion des risques décrites par le NIST Cybersecurity Framework (CSF) 2.0. Le modèle de cycle de vie repose sur six fonctions : Govern (établir la stratégie), Identify (comprendre les risques), Protect (utiliser des mesures de protection), Detect (trouver et analyser les attaques), Respond (agir face à un incident détecté), et Recover (restaurer les actifs et opérations affectés).

ReCyF (ANSSI) : le référentiel opérationnel français

Le ReCyF liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS2, avec un niveau de sécurité adapté pour protéger les entités contre la menace cybercriminelle de masse. À travers les objectifs 16 à 19 du référentiel ANSSI, la France précise les moyens acceptables de conformité pour la gestion des incidents.

Articulation avec ISO 27001

La gestion des incidents de sécurité dans un délai court et leur prise en compte dans la gestion des risques est imposée par la norme ISO 27001, et le processus de gestion des incidents est fondamental au succès d'une bonne organisation de la sécurité des systèmes d'information.

Mise en œuvre opérationnelle

1. Préparation et mise en place de l'organisation

Politique et plan d'incident : documenter une politique de gestion des incidents validée par la direction, définir les rôles et responsabilités (incident manager, équipes techniques, référent juridique, porte-parole communication), et formaliser les procédures d'escalade. Les processus et procédures doivent être basés sur la politique et le plan de réponse aux incidents, avec des procédures documentées expliquant comment les processus techniques et opérationnels doivent être exécutés.

Outils de détection : déployer une capacité de surveillance continue (SIEM, EDR/XDR, SOAR) pour identifier les événements suspects en temps réel. Les organisations doivent disposer de systèmes de détection capables d'identifier les anomalies significatives en temps réel, avec des pistes d'audit précises enregistrant le moment de la première détection pour prouver la conformité avec la fenêtre de 24 heures.

Canaux de notification CSIRT : établir les contacts avec le CSIRT national (en France, via MonEspaceNIS2) avant qu'un incident ne survienne, tester les canaux de communication et préparer des modèles de notification pour chaque étape.

2. Détection et classification

La détection repose sur la collecte et la corrélation d'événements de sécurité. La fenêtre de 24 heures exige une visibilité centralisée sur les réseaux, terminaux et applications cloud ; une piste d'audit unique corrélant les événements d'accès, les violations de politiques et les alertes de sécurité permet de passer de la détection à la classification en quelques minutes plutôt qu'en heures.

Critères de qualification : définir en amont les seuils pour caractériser un incident comme « significatif » selon les critères NIS2 (perturbation opérationnelle sévère, perte financière pour l'entité, dommage considérable pour d'autres personnes, impact transfrontalier potentiel). Seuls les incidents significatifs déclenchent l'obligation de notification — ceux causant une perturbation opérationnelle sévère, une perte financière ou un dommage considérable à autrui.

3. Traitement et confinement

Mobiliser l'équipe de réponse aux incidents, isoler les systèmes compromis, collecter les preuves numériques (journaux, dumps mémoire, images disque), lancer l'analyse forensique si nécessaire, identifier la cause racine et mettre en œuvre les mesures de confinement (blocage d'accès, modification de mots de passe, application de patchs).

Le NIST recommande d'élargir la portée des employés impliqués dans le processus de réponse aux incidents pour inclure la direction, les équipes juridiques, les professionnels de la technologie, les équipes de relations publiques et les ressources humaines, avec un modèle de « responsabilité partagée » permettant d'externaliser partiellement ou totalement les opérations de cybersécurité à des tiers spécialisés, avec des responsabilités clairement délimitées par contrat.

4. Notification dans les délais NIS2

J + 24 heures (alerte précoce) : soumettre l'alerte précoce au CSIRT ou à l'autorité compétente dans les 24 heures suivant la prise de connaissance de l'incident significatif ; cette notification initiale alerte rapidement les autorités pour coordonner les efforts de réponse et avertir d'autres entités potentiellement affectées, sans nécessiter d'analyse détaillée à ce stade. Indiquer la nature de l'incident, si un acte malveillant est suspecté, et tout impact transfrontalier potentiel.

J + 72 heures (notification détaillée) : transmettre une notification détaillée incluant l'évaluation de l'impact, les mesures prises et les données affectées, puis un rapport final décrivant la cause, les conséquences et les mesures correctives.

J + 30 jours (rapport final) : si l'incident est encore en cours à la marque d'un mois, un rapport de progrès intermédiaire est requis à la place, avec le rapport final dû dans le mois suivant la résolution.

Le non-respect de ces délais constitue en lui-même un manquement sanctionnable, indépendamment de la gravité de l'incident.

5. Récupération et retour d'expérience

Restaurer les systèmes à partir de sauvegardes sécurisées testées, vérifier l'intégrité des données, documenter l'ensemble du traitement (timeline, actions, décisions) et organiser une analyse post-incident (« lessons learned ») avec toutes les parties prenantes. Les leçons tirées de toutes les activités dans toutes les fonctions sont intégrées dans la fonction Amélioration, puis analysées, priorisées et utilisées pour informer toutes les fonctions, reflétant que les organisations peuvent apprendre de nouvelles leçons à tout moment.

Intégrer les enseignements dans la mise à jour de la politique de sécurité, des procédures, de l'analyse de risques et des contrôles techniques. Cette phase doit déboucher sur des actions concrètes intégrées dans la politique de sécurité ; ne pas la mener, c'est s'exposer à revivre le même incident.

6. Exercices réguliers

Planifier des exercices de simulation (tabletop, exercice de crise cyber) au moins annuellement pour tester le plan de réponse aux incidents, la coordination des équipes, la notification CSIRT et la communication de crise. Les procédures peuvent être testées ou exercées périodiquement pour vérifier leur exactitude et former le nouveau personnel, et les organisations devraient envisager de documenter les procédures pour répondre aux types d'incidents et de menaces les plus courants.

Prestataires ANSSI à mobiliser

PDIS (Prestataire de Détection des Incidents de Sécurité)

La qualification PDIS de l'ANSSI garantit que les prestataires de services de détection d'incidents de sécurité disposent des compétences et des moyens nécessaires pour fournir des services de qualité et aider les entreprises à faire face aux incidents de sécurité informatique de manière efficace. Les PDIS interviennent dans la phase amont : surveillance continue, corrélation d'événements, analyse comportementale et remontée d'alertes qualifiées. Mobiliser un PDIS qualifié permet d'accélérer la détection et de réduire le temps moyen de découverte d'une compromission (MTTD).

Liste consultable : cyber.gouv.fr/prestataires-de-detection-dincidents-de-securite-pdis

PRIS (Prestataire de Réponse aux Incidents de Sécurité)

La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : recherche d'indicateurs de compromission, investigation numérique, analyse de codes malveillants, pilotage et coordination des investigations. Les PRIS sont mobilisés dès la confirmation d'un incident significatif pour conduire l'investigation forensique, identifier la cause racine, contenir la menace et éradiquer la compromission. Recourir à un PRIS qualifié assure une réponse experte et conforme aux exigences de traçabilité NIS2.

Liste consultable : cyber.gouv.fr/prestataires-de-reponse-aux-incidents-de-securite-pris

PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information)

Les PASSI interviennent en amont pour auditer l'efficacité du dispositif de gestion des incidents (tests d'intrusion, audits de configuration, revue de la détection). L'audit de sécurité informatique constitue un levier essentiel pour vérifier l'efficacité du dispositif de gestion des incidents et identifier les axes d'amélioration. Programmer des audits PASSI après chaque exercice de crise ou incident majeur.

PACS (Prestataire d'Accompagnement et de Conseil en Sécurité)

Un PACS accompagne la rédaction de la politique de gestion des incidents, la définition des procédures, la formation des équipes et l'animation des retours d'expérience. Utile lors de la structuration initiale du dispositif ou après un incident complexe pour capitaliser les enseignements.

Outils techniques recommandés

Un dispositif de gestion des incidents performant s'appuie sur une chaîne d'outils intégrés :

• SIEM (Security Information and Event Management) : centralisation des logs et corrélation des événements (ex. Splunk, QRadar, Elastic SIEM, Microsoft Sentinel)
• EDR / XDR (Endpoint / Extended Detection and Response) : détection comportementale sur les postes de travail et les serveurs, réponse automatisée
• SOAR (Security Orchestration, Automation and Response) : orchestration des workflows de réponse, automatisation des tâches répétitives, gestion des playbooks
• Plateforme CTI (Cyber Threat Intelligence) : enrichissement des alertes avec des indicateurs de compromission externes, contextualisation des menaces
• Outils forensiques : capture et analyse de preuves numériques (FTK, EnCase, Volatility, Autopsy)
• Plateforme de ticketing / case management : suivi structuré des incidents, traçabilité des actions, communication équipe (JIRA Service Management, TheHive, ServiceNow Security Operations)
• Outils de communication de crise : canaux sécurisés hors SI principal (téléphonie satellite, plateformes de messagerie chiffrée dédiées)

L'intégration entre SIEM, EDR et SOAR conditionne directement le respect du délai de 24 heures de notification NIS2.

Cas d'incidents documentés

Compromission par rançongiciel — CHU de Lyon (mars 2026)

En mars 2026, une attaque contre le CHU de Lyon a paralysé ses services pendant 48 heures, entraînant le report de 1 200 consultations. L'absence d'une détection centralisée a retardé la prise de conscience initiale ; la notification ANSSI a été envoyée au-delà du délai de 24 heures. L'investigation a révélé une compromission via une vulnérabilité non patchée sur un VPN. Ce cas illustre l'impact d'un défaut de détection et d'une procédure d'escalade non testée.

Attaques sur infrastructures électriques polonaises (2025)

L'Agence de sécurité intérieure polonaise a documenté cinq intrusions dans les systèmes industriels (ICS) de stations de traitement d'eau polonaises, les attaquants ayant obtenu la capacité de modifier les paramètres de fonctionnement des équipements, présentant un risque direct pour la salubrité de l'eau distribuée. Ces incidents montrent les conséquences potentiellement graves d'une gestion d'incidents tardive ou défaillante sur les infrastructures critiques.

Multiples compromissions de données — France Travail (2024-2025)

En 2025, l'incident s'est répété deux fois, à l'été 2025 et en octobre, avec l'exposition des informations de plus de 30 000 inscrits lors de l'incident le plus récent, l'attaque ayant été revendiquée par le groupe criminel Stormous, qui aurait agi en déployant des malwares de vol de données sur des ordinateurs personnels de demandeurs d'emploi. La répétition des incidents chez France Travail met en lumière une réalité désormais bien identifiée : la cybersécurité ne peut plus être traitée comme un chantier ponctuel déclenché après chaque crise.

Bouygues Telecom (août 2025)

L'attaque informatique qui a touché Bouygues Telecom début août 2025 a entraîné l'exposition de données personnelles appartenant à 6,4 millions de comptes clients, soit près de 30 % du parc d'abonnés de la société. L'opérateur a été contraint de notifier la CNIL et le CSIRT ; la gestion de crise interne a mobilisé les équipes juridiques, techniques et communication pendant plusieurs semaines.

Volume global d'incidents en France (2024-2025)

L'ANSSI a traité 4 386 événements de sécurité (dont 3 004 signalements et 1 361 incidents) en 2024, soit une hausse de 15 % par rapport à 2023, les attaques par rançongiciel restant très mobilisatrices et l'exploitation de vulnérabilités sur équipements de bordure (pare-feu, VPN) ayant fortement pesé dans les intrusions. En 2024, 47 % des entreprises françaises ont subi au moins une cyberattaque majeure ; les conséquences de ces attaques se sont aggravées, le vol de données touchant désormais 42 % des entreprises victimes, soit 11 points de plus qu'en 2023.

Sanctions et risques en cas de non-conformité

Sanctions administratives

Pour les entités essentielles, les sanctions peuvent atteindre jusqu'à 10 millions d'euros ou 2 % du CA mondial annuel ; pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4 % du CA mondial. Le simple retard de notification constitue un manquement autonome sanctionnable, même si l'incident est traité techniquement.

Responsabilité personnelle des dirigeants

Au-delà des amendes, les dirigeants peuvent engager leur responsabilité personnelle (interdiction temporaire d'exercer). Leur responsabilité peut être directement engagée en cas d'incident majeur ou de contrôle par l'ANSSI.

Suspension d'activité

L'autorité nationale (ANSSI en France) peut aussi suspendre certaines activités en cas de manquement majeur. Le défaut répété de notification ou l'absence de dispositif structuré de gestion des incidents peut justifier une mesure de suspension temporaire, avec impact direct sur la continuité de service.

Impact réputationnel et économique

Les incidents mal gérés engendrent des coûts directs (remédiation, investigation forensique, notification aux clients, mise en conformité forcée) et indirects (perte de clients, chute du chiffre d'affaires, dépréciation de la réputation, contentieux). Le coût moyen mondial d'une violation s'élevait à 4,44 millions de dollars en 2025, soit une baisse de 9 % par rapport à 2024 attribuée à une détection et un confinement plus rapides grâce à l'automatisation, l'IA et des équipes de sécurité mieux outillées. 60 % des entreprises victimes ferment dans les 18 mois suivant une attaque.

---

Liens utiles :

• ANSSI — Directive NIS2
• MonEspaceNIS2 — service de pré-enregistrement
• Annuaire des prestataires qualifiés ANSSI
• Directive NIS2 (texte officiel EUR-Lex)
• ISO/IEC 27035-1:2023
• NIST SP 800-61 Rev. 3

Mesures connexes : Analyse de risques · Continuité d'activité · Chaîne d'approvisionnement · Évaluation de l'efficacité · Cyber-hygiène et formation

Secteurs particulièrement visés : Santé · Énergie · Administration publique · Infrastructure numérique

Prestataires qualifiés : PDIS · PRIS · PASSI · PACS