N2
Nis2You
Se connecter Démarrer gratuitement
Les incidents

Un incident est un événement qui a réellement eu lieu — pas juste un risque potentiel. Les déclarer permet de comprendre, corriger, prouver, et sous NIS2, de notifier les autorités dans les délais légaux.

Risque vs Incident
Risque

"Ce qui pourrait arriver." Probabilité × Impact, traité avec des contrôles.

Incident

"Ce qui est arrivé." Date précise, conséquences réelles, post-mortem.

Un incident révèle souvent un risque que vous aviez sous-estimé — ou un contrôle qui ne fonctionnait pas. La revue post-incident est précieuse : reliez l'incident aux risques concernés et faites une revue de ces risques.
Les niveaux de gravité
Faible
Impact mineur, contenu. Pas de données touchées. Ex. tentative DDoS bloquée par Cloudflare, faux positif EDR.
Moyenne
Impact contenu mais visible. Indisponibilité courte, dégradation. Ex. erreur d'envoi e-mail RGPD limitée, panne ERP de quelques heures.
Élevée
Impact significatif. Risque de notification autorité. Ex. compromission de compte M365, accès non révoqué à un ex-collaborateur.
Critique
Compromission majeure. Notification obligatoire au CCB (NIS2) ou à l'APD (RGPD). Ex. rançongiciel, fuite de données massive, vol de laptop non chiffré.
Les délais NIS2 / RGPD à connaître
24h
Notification précoce CCB

Pour les incidents NIS2 significatifs : alerte initiale au CCB dans les 24h après en avoir pris connaissance. Format minimal (qui, quoi, type).

72h
Notification détaillée

Évaluation initiale complète : ampleur, impact, mesures prises. Pour le RGPD aussi : 72h pour notifier l'APD si données personnelles touchées.

1 mois
Rapport final

Description complète, cause racine, mesures correctives, leçons apprises.

Important : NIS2YOU ne transmet pas automatiquement vers les autorités — c'est une responsabilité humaine et légale qui ne peut pas être déléguée à un outil. NIS2YOU vous aide à tracer et documenter votre incident pour préparer la notification dans les délais.
Qui notifier selon votre pays

Les autorités compétentes varient d'un pays à l'autre. Voici les points de contact pour les pays cibles de NIS2YOU.

Pays Incident NIS2 (24h / 72h / 1 mois) Fuite de données RGPD (72h) Aide en cas d'incident
🇧🇪 Belgique CCB

via Safeonweb@work

 APD / GBA CERT.be
🇫🇷 France ANSSI

MonEspaceNIS2

 CNIL CERT-FR · cybermalveillance
🇱🇺 Luxembourg ILR

+ HCPN

 CNPD CIRCL
🇳🇱 Pays-Bas NCSC-NL

CSIRT-DSP pour fournisseurs numériques

 AP DTC
Si vos clients sont dans plusieurs pays UE, la règle générale RGPD est de notifier l'autorité du pays où votre établissement principal est situé (mécanisme du guichet unique). Pour NIS2, vous notifiez l'autorité du pays où vous êtes enregistré comme entité essentielle/importante.
Le cycle de vie d'un incident
Ouvert En investigation Résolu Fermé
  • Ouvert — vient d'être déclaré, pas encore traité.
  • En investigation — l'équipe enquête : ampleur, cause, périmètre touché.
  • Résolu — la cause racine est traitée, l'incident est sous contrôle.
  • Fermé — post-mortem fait, leçons documentées (champ "Leçons apprises"), notifications réglementaires effectuées.
Bonnes pratiques
  • Déclarez d'abord, investiguez ensuite. Ne perdez pas de temps à tout comprendre avant de tracer — vous pouvez toujours mettre à jour.
  • Tracez aussi les "presque" incidents. Ils révèlent des contrôles défaillants avant qu'il ne soit trop tard.
  • Reliez chaque incident aux risques qu'il a concrétisés — c'est précieux pour la revue post-mortem.
  • Distinguez bien cause racine (ce qui a permis l'incident) de symptôme (ce qu'on a observé). C'est la cause racine qui informe les contrôles à mettre en place.
Retour à l'index Suivant : Glossaire