ISMS Copilot
DORA avec l'IA

Comment mettre en œuvre le reporting d'incidents DORA à l'aide de l'IA

Aperçu

Vous apprendrez comment mettre en œuvre les exigences de reporting des incidents liés aux TIC de DORA au titre des articles 17 à 23 à l'aide de l'IA. Ce guide couvre les critères de classification des incidents, les délais de reporting obligatoires (4 heures / 72 heures / 1 mois), les modèles de notification, les procédures d'analyse des causes racines et l'intégration à vos processus de gestion d'incidents existants, avec des prompts ISMS Copilot spécifiques pour générer chaque composant.

À qui s'adresse ce guide

Ce guide est destiné aux :

  • Responsables de la réponse aux incidents et leaders SOC chargés de la détection et de la classification des incidents liés aux TIC

  • Responsables de la conformité gérant les notifications réglementaires d'incidents

  • CISO supervisant les programmes de gestion d'incidents dans les entités financières

  • Gestionnaires de risques évaluant l'impact des incidents et suivant les remédiations

  • Consultants mettant en œuvre le reporting d'incidents DORA pour des clients entités financières

Avant de commencer

Vous aurez besoin de :

  • Un compte ISMS Copilot (essai gratuit disponible)

  • Votre cadre de gestion des risques liés aux TIC établi selon le guide Comment construire un cadre de gestion des risques TIC DORA à l'aide de l'IA

  • Votre inventaire des actifs TIC avec classifications de criticité (nécessaire pour l'évaluation de l'impact des incidents)

  • Vos procédures de réponse aux incidents existantes et tout processus actuel de reporting réglementaire

  • La compréhension des canaux et formats de reporting de votre autorité compétente

  • L'accès à votre équipe de réponse aux incidents, au SOC et à la fonction conformité

Obligations temporelles critiques : DORA exige une notification initiale des incidents majeurs liés aux TIC dans les 4 heures suivant la classification. C'est l'un des délais de reporting les plus serrés de la réglementation financière de l'UE. Vos procédures de classification et de reporting d'incidents doivent être pré-construites, testées et comprises par tout le personnel concerné avant qu'un incident ne survienne.

Comprendre les exigences de reporting d'incidents de DORA

Décomposition article par article

Le chapitre III de DORA (articles 17 à 23) établit un régime complet de gestion et de reporting des incidents. Chaque article traite d'un aspect spécifique du processus :

Article

Titre

Exigences clés

Livrables clés

Art 17

Processus de gestion des incidents liés aux TIC

Établir un processus de gestion des incidents avec des indicateurs d'alerte précoce, des procédures et des rôles

Document de processus de gestion des incidents, matrice des rôles

Art 18

Classification des incidents liés aux TIC et des cybermenaces

Classer les incidents selon des critères prescrits (majeurs vs non majeurs)

Matrice de classification, critères de gravité, organigramme de décision

Art 19

Reporting des incidents majeurs liés aux TIC

Reporting en trois étapes : initial (4h), intermédiaire (72h), final (1 mois)

Modèles de rapports, procédures d'escalade, workflows de soumission

Art 20

Harmonisation du contenu et des modèles de reporting

Formats de rapports standardisés selon les RTS

Modèles de rapports complétés alignés sur les formats RTS

Art 21

Centralisation du reporting

Reporting via un hub unique de l'UE (exigence future)

Procédures des canaux de reporting

Art 22

Retour d'information des autorités de surveillance

Recevoir et donner suite aux commentaires de supervision

Processus d'intégration des retours

Art 23

Notification des cybermenaces significatives

Notification volontaire des cybermenaces significatives

Procédures de notification des menaces

Le calendrier de reporting en trois étapes

Comprendre le calendrier de DORA est crucial pour construire vos procédures :

Étape du rapport

Délai

Déclencheur

Contenu requis

Défi clé

Notification initiale

Dans les 4 heures suivant la classification comme majeur

Incident classé comme majeur

Résumé de l'incident, justification de la classification, évaluation initiale de l'impact, services affectés

Vitesse de classification et de soumission

Rapport intermédiaire

Dans les 72 heures suivant la notification initiale

Enquête en cours

Impact mis à jour, analyse des causes racines (initiale), mesures de confinement, état de la récupération

Fournir une analyse pertinente alors que l'incident peut être en cours

Rapport final

Dans un délai d'un mois après la notification initiale

Résolution de l'incident

Causes racines complètes, impact total (financier, opérationnel, réputationnel), actions de remédiation, leçons apprises

Analyse complète et preuves de remédiation

Le délai de 4 heures court à partir du moment de la classification comme incident majeur, et non à partir du moment de la détection. Cependant, DORA exige également des processus de détection et de classification rapides. Si votre classification est retardée de manière injustifiée, les régulateurs pourraient considérer cela comme non conforme à l'esprit de l'obligation de reporting.

Étape 1 : Établir votre processus de gestion des incidents (Article 17)

Processus de gestion des incidents de base

L'article 17 exige un processus complet de gestion des incidents liés aux TIC. Ce processus doit être intégré à vos capacités de détection (article 10) et à votre cadre de gestion des risques TIC plus large.

  1. Ouvrez votre espace de travail DORA dans ISMS Copilot

  2. Générer le processus de gestion des incidents :

    "Créer un processus complet de gestion des incidents liés aux TIC pour une [type d'entité] satisfaisant à l'article 17 de DORA. Inclure : l'objectif, le périmètre et les objectifs du processus, les phases du cycle de vie de l'incident (détection, triage, classification, confinement, éradication, récupération, revue post-incident), les rôles et responsabilités (commandant d'incident, responsable technique, responsable communication, conformité/reporting réglementaire, liaison avec l'organe de direction), les indicateurs d'alerte précoce et déclencheurs de détection (liés au monitoring de l'article 10), une matrice d'escalade par gravité d'incident, les protocoles de communication (équipes internes, organe de direction, clients, autorité compétente), l'intégration aux processus de gestion des services IT (ITSM) existants, les exigences de documentation et de conservation des preuves, les critères d'activation du processus et arbres de décision, et les métriques de performance du processus. Fournir le processus sous un format prêt pour un organigramme avec des points de décision clairs."

  3. Définir la structure de l'équipe de réponse aux incidents :

    "Définir la structure de l'équipe de réponse aux incidents TIC (IRT) pour une [type d'entité] de [nombre] employés. Inclure : composition de l'équipe (équipe de base, équipe étendue, astreintes), critères de sélection du chef d'équipe et niveaux d'autorité, procédures d'activation (heures ouvrées et hors heures ouvrées), canaux et outils de communication, modèle d'annuaire des membres de l'équipe, exigences de formation et d'exercice, et intégration avec les parties externes (régulateurs, forces de l'ordre, prestataires forensiques, fournisseurs de TIC tiers). Aborder les exigences de couverture 24/7 pour respecter le délai de notification de 4 heures."

Conseil d'expert : Le compte à rebours de 4 heures commence à la classification, donc votre processus de triage vers la classification est critique. Concevez-le pour qu'il s'achève en 1 à 2 heures maximum, laissant 2 à 3 heures pour la préparation et la soumission du rapport. Pré-remplissez les modèles de rapport avec les données organisationnelles permanentes pour réduire le temps de préparation sous pression.

Étape 2 : Construire votre matrice de classification des incidents (Article 18)

Critères de classification des incidents majeurs

L'article 18 établit des critères pour classer les incidents liés aux TIC comme majeurs. Les normes techniques de réglementation (RTS) fournissent des seuils de matérialité détaillés. Votre matrice de classification doit opérationnaliser ces critères pour une prise de décision rapide pendant un incident.

  1. Générer la matrice de classification :

    "Créer une matrice de classification des incidents liés aux TIC pour une [type d'entité] qui satisfait à l'article 18 de DORA. Inclure les critères de classification suivants issus du règlement et des RTS : nombre de clients/contreparties financières affectés (fournir des seuils spécifiques pour notre type d'entité), durée de l'incident, étendue géographique de l'incident, pertes de données (confidentialité, intégrité, disponibilité), criticité des services affectés (mappée à notre classification des actifs TIC), impact économique (pertes financières directes et indirectes), évaluation de l'impact réputationnel. Pour chaque critère, définir : les seuils quantitatifs spécifiques qui déclenchent la classification 'majeur', la méthodologie de mesure, les sources de données pour une évaluation rapide, et des exemples. Créer une matrice de score permettant une classification dans les 1 à 2 heures suivant la détection de l'incident. Inclure un organigramme de décision : si un seul critère atteint le seuil majeur, l'incident est classé comme majeur."

  2. Créer l'organigramme de décision de classification :

    "Concevoir un organigramme de décision étape par étape pour la classification des incidents selon l'article 18 de DORA. L'organigramme doit être utilisable par des gestionnaires d'incidents d'astreinte à 3 heures du matin avec des informations limitées. Commencer par : les détails initiaux de l'incident (ce qui s'est passé, quand, ce qui est affecté). Évaluer ensuite séquentiellement chaque critère d'incident majeur : clients affectés (seuil : [X]), durée (seuil : [X] heures), impact sur les données (toute violation de données confirmée), services critiques affectés (tout service sur notre liste critique), impact économique (estimé au-dessus de [X] EUR). Si un critère est rempli, classer comme MAJEUR et déclencher le reporting sous 4 heures. En cas de doute, escalader vers [rôle] pour la décision de classification. Si aucun critère n'est rempli, classer comme non majeur et suivre le processus d'incident standard. Fournir des conseils pour les situations avec des informations incomplètes."

Classification en cas d'incertitude : Pendant les premières heures d'un incident, vous disposez rarement d'informations complètes. DORA s'attend à ce que vous classiez sur la base des informations disponibles et que vous mettiez à jour si la classification change. Concevez votre processus pour classer de manière conservatrice (en cas de doute, classez comme majeur) et rétrogradez plus tard si nécessaire. Le sous-reporting est un risque réglementaire plus grand que le sur-reporting.

Suivi des incidents non majeurs

Bien que seuls les incidents majeurs nécessitent une notification réglementaire, DORA vous oblige à suivre et analyser tous les incidents liés aux TIC :

"Créer une procédure de suivi et d'analyse des incidents TIC non majeurs pour la conformité DORA. Inclure : les exigences d'enregistrement pour tous les incidents TIC (modèle de registre d'incidents), la méthodologie d'analyse des tendances (identifier les schémas qui pourraient indiquer des problèmes systémiques), les critères d'escalade (quand l'accumulation d'incidents non majeurs suggère un problème majeur), le reporting périodique à la direction (fréquence, format, contenu), et l'intégration au processus d'amélioration continue au titre de l'article 13. Fournir un modèle de rapport trimestriel sur les tendances des incidents."

Étape 3 : Créer les modèles de notification réglementaire (Articles 19-20)

Modèle de notification initiale (4 heures)

La notification initiale doit être soumise à votre autorité compétente dans les 4 heures suivant la classification d'un incident comme majeur. Construisez des modèles pré-remplis pour respecter ce délai :

  1. Générer le modèle de notification initiale :

    "Créer un modèle de notification initiale d'incident pour l'article 19 de DORA (délai de 4 heures). Pré-remplir avec les données organisationnelles permanentes. Inclure des champs pour : l'identification de l'entité déclarante (nom, LEI, type d'entité, autorité compétente), identifiant de l'incident et date/heure de classification, description de l'incident (ce qui s'est passé, chronologie initiale), justification de la classification (quels critères majeurs sont remplis, avec preuves), services affectés et évaluation initiale de l'impact, nombre de clients potentiellement affectés (estimation si le nombre exact n'est pas connu), portée géographique, premières mesures de confinement prises, durée estimée si connue, coordonnées pour le suivi, et indicateur d'impact transfrontalier. Concevoir le modèle pour qu'il puisse être complété en moins de 60 minutes avec les informations disponibles au moment de la classification. Inclure des notes d'orientation pour chaque champ."

  2. Générer le modèle de rapport intermédiaire (72 heures) :

    "Créer un modèle de rapport d'incident intermédiaire pour l'article 19 de DORA (délai de 72 heures). Inclure des champs pour : la référence à la notification initiale, la chronologie mise à jour de l'incident, l'évaluation mise à jour de l'impact (clients affectés, impact financier, impact sur les données), l'analyse des causes racines (résultats préliminaires), les mesures de confinement et d'atténuation mises en œuvre, l'état de la récupération et le délai estimé, toute modification de la classification de l'incident, les actions de communication entreprises (clients, contreparties, public), l'implication de parties externes (forces de l'ordre, prestataires forensiques), l'évaluation des risques mise à jour, et toute action de supervision demandée. Inclure des conseils sur la manière de fournir une analyse des causes racines pertinente même lorsque l'enquête est en cours."

  3. Générer le modèle de rapport final (1 mois) :

    "Créer un modèle de rapport d'incident final pour l'article 19 de DORA (délai d'un mois). Inclure des sections complètes pour : la chronologie complète de l'incident (de la détection à la résolution), l'analyse confirmée des causes racines (techniques et organisationnelles), l'évaluation de l'impact total (pertes financières quantifiées, clients affectés, services perturbés, données compromises), la description complète des actions de confinement, d'éradication et de récupération, l'évaluation de l'efficacité des contrôles existants, le plan de remédiation (actions, responsables, délais, statut), les leçons apprises et améliorations du cadre, la notification et les décisions de l'organe de direction, le respect du calendrier de reporting réglementaire, et les références croisées à tout incident connexe. Ce rapport doit être adapté à l'examen par les autorités de contrôle et servir de base au processus de revue post-incident au titre de l'article 13."

Conseil d'expert : Pré-remplissez la section d'identification organisationnelle des trois modèles avec vos données permanentes (nom de l'entité, LEI, détails de l'autorité compétente, contact principal). Stockez ces modèles pré-remplis dans un endroit accessible pour votre équipe de réponse aux incidents. Lors d'un incident réel, chaque minute gagnée sur les champs administratifs est une minute gagnée pour l'analyse de fond.

Procédures de soumission

Établir des procédures claires pour la soumission des rapports à votre autorité compétente :

"Créer une procédure de soumission de rapport d'incident pour les notifications réglementaires DORA. Inclure : l'identification de notre autorité compétente et de leur canal de reporting (portail, e-mail, API), l'autorisation de soumission (qui peut autoriser la soumission et à quel moment de la journée), une checklist de revue de qualité avant soumission (complétude, exactitude, cohérence avec les rapports précédents), la confirmation et le suivi de la soumission, les procédures pour soumettre en dehors des heures ouvrées (pour le délai de 4 heures), les méthodes de soumission de secours si le canal principal est indisponible, les exigences de tenue de dossiers (copies de toutes les soumissions avec horodatage), et les procédures pour gérer le retour d'information de l'autorité de contrôle au titre de l'article 22. Aborder le scénario où l'incident lui-même affecte notre capacité à soumettre des rapports."

Étape 4 : Construire les procédures d'escalade et de communication

Matrice d'escalade interne

Une escalade efficace est essentielle pour respecter les délais serrés de DORA. Définissez des chemins d'escalade clairs pour chaque scénario :

  1. Générer la matrice d'escalade :

    "Créer une matrice d'escalade d'incident TIC pour une [type d'entité] couvrant les exigences de reporting DORA. Définir les niveaux d'escalade : Niveau 1 (SOC/Opérations IT) : détection initiale et triage, Niveau 2 (Équipe de réponse aux incidents) : enquête et confinement, Niveau 3 (CISO/CRO) : décision de classification de l'incident majeur, Niveau 4 (Organe de direction) : notification des incidents majeurs, approbation de la communication réglementaire. Pour chaque niveau, spécifier : les critères d'escalade (ce qui déclenche l'escalade au niveau suivant), le délai d'escalade (temps maximum à chaque niveau avant escalade), la méthode de notification et les coordonnées, les informations à fournir lors de l'escalade, et l'autorité de décision à chaque niveau. Inclure des procédures d'escalade hors heures ouvrées et des contacts de secours. Concevoir pour garantir que la classification puisse intervenir dans les 2 heures suivant la détection."

  2. Créer des procédures de notification aux clients :

    "Développer des procédures de notification aux clients pour les incidents TIC majeurs sous DORA. Inclure : les critères déterminant quand les clients doivent être notifiés, le moment de la notification par rapport au reporting réglementaire, le contenu de la notification (ce qu'il faut divulguer, ce qu'il faut retenir pendant l'enquête), les canaux de communication (e-mail, portail, téléphone pour les clients critiques), des modèles de notification aux clients pour les types d'incidents courants (panne de service, violation de données, dégradation du système), la cadence de suivi des communications, et les exigences de tenue de dossiers. Aborder les scénarios où l'incident affecte notre capacité à communiquer avec les clients."

L'article 19(3) de DORA exige que les entités financières informent leurs clients des incidents majeurs liés aux TIC qui affectent leurs intérêts financiers. Vous devez également communiquer sur les mesures correctives prises. Intégrez cette communication client dans votre processus de réponse aux incidents dès le départ.

Notification de l'organe de direction

L'article 5 exige que l'organe de direction soit informé des incidents TIC. Définissez comment cela se passe pendant les incidents :

"Créer une procédure de notification des incidents à l'organe de direction pour la conformité à l'article 5 de DORA. Inclure : les déclencheurs de notification (tous les incidents majeurs, les incidents non majeurs significatifs), le calendrier de notification (dans les [X] heures suivant la classification), le format de notification (modèle de briefing structuré), le contenu (résumé de l'incident, évaluation de l'impact, actions de réponse, état du reporting réglementaire, impact client, risque médiatique), les points de décision nécessitant l'avis de l'organe de direction (communications publiques, indemnisation des clients, engagement réglementaire), la cadence de reporting de suivi pendant les incidents en cours, et la présentation du briefing post-incident et des leçons apprises. Fournir le modèle de briefing d'incident pour l'organe de direction."

Étape 5 : Intégration avec la gestion des incidents existante

Mappage des exigences DORA sur vos processus actuels

La plupart des entités financières disposent déjà de processus de gestion d'incidents. Utilisez ISMS Copilot pour intégrer les exigences DORA dans votre cadre existant plutôt que de créer des processus parallèles :

"Nous utilisons actuellement les processus de gestion d'incidents [ITIL/NIST/personnalisé] avec [décrire les outils actuels : ServiceNow, Jira, PagerDuty, etc.]. Mapper les exigences des articles 17 à 23 de DORA sur notre processus existant. Identifier : là où notre processus actuel satisfait déjà à DORA (détection, triage, confinement, récupération), là où nous devons ajouter des étapes spécifiques à DORA (classification d'incident majeur, reporting réglementaire, notification client), les modifications de processus nécessaires (compression des délais, amélioration de l'escalade), les changements d'outillage requis (automatisation de la classification, génération de rapports, suivi des soumissions), et les mises à jour de documentation nécessaires. Fournir une analyse d'écarts avec des actions de remédiation spécifiques."

Automatisation de la classification et du reporting

Compte tenu du délai de 4 heures, envisagez les opportunités d'automatisation :

"Identifier les opportunités d'automatiser la classification et le reporting des incidents DORA pour une [type d'entité]. Considérer : la collecte automatisée des points de données de classification (nombre de clients affectés via les systèmes de monitoring, métriques de disponibilité de service, impacts sur le volume de transactions), le pré-remplissage automatisé des modèles de rapport à partir des outils de gestion d'incidents, le calcul automatisé des seuils de critères d'incident majeur, l'automatisation du workflow pour l'escalade et les notifications, l'intégration entre le SIEM/plateforme d'incident et le workflow de reporting, le suivi automatisé des délais et alertes de rappel, et la compilation automatisée des métriques d'incidents pour l'analyse des tendances. Fournir des recommandations de mise en œuvre prioritaires selon l'impact sur le délai de 4 heures."

Conseil d'expert : Même si vous ne pouvez pas automatiser entièrement la classification, automatisez la collecte de données qui éclaire les décisions de classification. Si vos systèmes peuvent rapporter automatiquement combien de clients sont affectés, quels services sont dégradés et pour combien de temps, votre décision de classification devient beaucoup plus rapide et défendable face aux régulateurs.

Étape 6 : Procédures d'analyse des causes racines

Méthodologie structurée d'analyse des causes racines

DORA exige une analyse des causes racines (RCA) dans le cadre des rapports intermédiaires (72 heures) et finaux (1 mois). Établissez une méthodologie standardisée :

  1. Générer la méthodologie RCA :

    "Créer une méthodologie d'analyse des causes racines (RCA) pour le reporting d'incidents TIC DORA. Inclure : les critères et le moment du déclenchement de la RCA (commencer dans les 24 heures suivant la classification de l'incident majeur), les méthodes d'investigation (5 Pourquoi, Ishikawa/arête de poisson, analyse par arbre de défaillances, analyse de chronologie), les procédures de collecte et de conservation des preuves, les étapes de l'enquête technique (analyse de logs, forensique, examen des systèmes), les étapes de l'enquête organisationnelle (revue de processus, conformité aux politiques, adéquation de la formation), les catégories de causes racines (défaillance technique, erreur humaine, lacune de processus, défaillance d'un tiers, attaque externe, défaut de conception), le processus RCA préliminaire pour le rapport intermédiaire de 72 heures (structuré même avec des informations incomplètes), le processus RCA complet pour le rapport final d'un mois, la revue de qualité des conclusions de la RCA avant soumission, et le lien entre les causes racines et les actions de remédiation. Fournir un modèle de rapport RCA avec des exemples."

  2. Créer des procédures de suivi de remédiation :

    "Développer une procédure de suivi de remédiation post-incident pour la conformité DORA. Inclure : comment les actions de remédiation sont identifiées à partir des conclusions de la RCA, la méthodologie de priorisation des actions (critique, haute, moyenne selon le risque), l'attribution des actions (responsable, délai, ressources), le suivi et le reporting de l'avancement, la supervision par l'organe de direction de l'état d'avancement, la vérification de l'efficacité de la remédiation, les critères de clôture des actions, et l'intégration avec le registre des risques TIC (mise à jour des évaluations de risques basées sur les conclusions de l'incident). Fournir un modèle de registre de suivi de remédiation."

Étape 7 : Notification de cybermenaces (Article 23)

Reporting volontaire des menaces

L'article 23 encourage les entités financières à notifier les autorités compétentes des cybermenaces significatives, même si elles n'ont pas encore donné lieu à des incidents. Établissez des procédures pour ce reporting volontaire :

"Créer une procédure de notification de cybermenace significative pour l'article 23 de DORA. Inclure : les critères de ce qui constitue une 'cybermenace significative' justifiant une notification volontaire (attaques ciblées détectées mais contenues, renseignements sur des menaces imminentes, vulnérabilités zero-day affectant des systèmes critiques, schémas de menaces à travers le secteur), le processus d'évaluation et de décision interne (qui décide de notifier ou non), le modèle de notification pour les cybermenaces (différent des rapports d'incidents), les attentes en matière de délais (non imposés mais doivent être rapides), les considérations de confidentialité et les limitations de partage d'informations, et les avantages du reporting volontaire (bienveillance de la supervision, protection de l'ensemble du secteur, partage de renseignements). Fournir des critères de décision et un modèle de notification."

Étape 8 : Tester votre capacité de reporting d'incidents

Exercices sur table et simulations

Vos procédures de classification et de reporting d'incidents doivent être testées avant qu'un incident réel ne survienne. Utilisez ISMS Copilot pour concevoir des exercices réalistes :

  1. Concevoir des scénarios d'exercices sur table :

    "Concevoir trois scénarios d'exercices sur table pour tester nos procédures de classification et de reporting d'incidents DORA. Chaque scénario doit : être réaliste pour une [type d'entité], se dérouler sur plusieurs phases (détection initiale, escalade, confinement, reporting), tester la décision de classification de l'incident majeur, tester le processus de notification initiale de 4 heures de bout en bout, inclure des complications (informations incomplètes, détection hors heures ouvrées, plusieurs problèmes simultanés), tester les déclencheurs de communication client, et nécessiter la notification de l'organe de direction. Les scénarios doivent couvrir : (1) une attaque par ransomware affectant les systèmes bancaires/paiements critiques, (2) une panne de fournisseur cloud affectant plusieurs services, (3) une violation de données découverte via une notification externe. Pour chaque scénario, fournir un guide de l'animateur avec une chronologie des injections, les actions attendues des participants et les critères d'évaluation."

  2. Créer un cadre d'évaluation des exercices :

    "Créer un cadre d'évaluation pour les exercices sur table de reporting d'incidents DORA. Évaluer : le temps entre détection et classification (cible < 2 heures), le temps entre classification et soumission de la notification initiale (cible < 4 heures), l'exactitude de la décision de classification, la complétude de la notification initiale, la qualité de l'escalade et de la communication, l'efficacité de la notification de l'organe de direction, la pertinence de la communication client, la qualité de la documentation et la coordination de l'équipe. Fournir une grille de notation et un modèle de rapport post-exercice."

Attente d'audit : Les autorités compétentes attendent des preuves que vos procédures de reporting d'incidents ont été testées. Réalisez des exercices sur table au moins une fois par an (plus fréquemment au cours de la première année de mise en œuvre) et documentez les résultats, les leçons apprises et les améliorations apportées. Ces preuves démontrent aux régulateurs que votre capacité de reporting sous 4 heures est réelle et non théorique.

Prochaines étapes

Vous disposez maintenant d'une capacité complète de reporting d'incidents DORA :

  • Processus de gestion des incidents intégré aux capacités de détection

  • Matrice de classification avec seuils quantitatifs pour les incidents majeurs

  • Modèles de notification réglementaire en trois étapes (4h, 72h, 1 mois)

  • Matrice d'escalade avec autorités de décision et délais clairs

  • Méthodologie d'analyse des causes racines avec suivi de remédiation

  • Procédures de notification des cybermenaces

  • Procédures testées par des exercices sur table

Continuez avec les guides suivants de cette série DORA :

  • Comment planifier les tests de résilience DORA à l'aide de l'IA -- Concevez votre programme de tests, incluant des scénarios qui valident vos capacités de réponse aux incidents et de reporting

  • Comment gérer le risque TIC lié aux tiers DORA à l'aide de l'IA -- Assurez-vous que vos fournisseurs tiers peuvent soutenir vos obligations de reporting d'incidents avec des clauses de notification et des SLA adéquats

Pour la configuration de base, voir Comment débuter la mise en œuvre de DORA à l'aide de l'IA. Pour le cadre de risque TIC qui sous-tend la gestion des incidents, voir Comment construire un cadre de gestion des risques TIC DORA à l'aide de l'IA.

Pour des prompts prêts à l'emploi, consultez la Bibliothèque de prompts de conformité DORA. Pour l'aperçu réglementaire complet, reportez-vous au Guide de conformité DORA pour les entités financières.

Obtenir de l'aide

Pour un soutien supplémentaire lors de la mise en œuvre du reporting d'incidents DORA :

  • Demandez à ISMS Copilot : Utilisez votre espace de travail DORA pour générer des conseils de classification spécifiques aux scénarios et personnaliser les modèles de rapports pour votre type d'entité

  • Téléchargez vos procédures existantes : Obtenez une analyse d'écarts ciblée en téléchargeant votre plan de réponse aux incidents actuel pour comparaison avec les articles 17 à 23 de DORA

  • Simulez le reporting : Utilisez ISMS Copilot pour parcourir des scénarios d'incidents fictifs et vous entraîner à remplir les modèles de notification sous pression

  • Validez les résultats : Examinez tous les critères de classification et modèles de rapports par rapport au texte du règlement DORA et aux normes techniques de réglementation pertinentes avant adoption formelle

Construisez votre capacité de reporting d'incidents dès aujourd'hui. Ouvrez votre espace de travail DORA sur chat.ismscopilot.com et commencez par votre matrice de classification. Lorsque le prochain incident TIC surviendra, vous serez prêt à classer, rapporter et répondre dans les délais stricts de DORA.

Cela vous a-t-il été utile ?