Un guide pratique en deux parties destiné aux responsables informatiques de la région EMEA

20mai, 2026
Kaseya
cybersécurité

La perspective que votre entreprise puisse être la cible d'attaques malveillantes n'est malheureusement plus un cas isolé, mais une réalité quotidienne à laquelle toute entreprise moderne est confrontée. Quels que soient votre taille ou votre profil, les cybercriminels ne manqueront pas de saisir la moindre occasion pour prendre votre entreprise en otage à des fins lucratives.

Dans la première partie, nous avons vu commentla législation NIS2 accorde une grande importance à la continuité des activités[AF1]et comment des processus et des outils de sauvegarde adaptés peuvent aider à faire face aux attaques par ransomware et à d'autres incidents de cybersécurité.

Il existe toutefois un autre aspect essentiel de toute réponse en matière de sécurité : la nécessité éventuelle de signaler la violation aux autorités. Nous examinons ici certaines de ces obligations.

Même s’il peut être tentant de donner la priorité à la résolution de la faille, le compte à rebours commence souvent dès que vous vous rendez compte que vos systèmes ont été compromis. Les délais peuvent être très serrés ; ce n’est donc pas quelque chose qui peut être réglé au cours de l’intervention. Cela doit être intégré à vos processus, avec des attentes claires quant aux personnes chargées d’effectuer les signalements requis.

Le temps presse — il est temps de signaler la violation

Il est important de garder à l'esprit que, dans certains cas, vous devez signaler l'incident à l'organisme compétent dans les 24 heures suivant sa découverte, voire dans les quatre heures seulement dans certains cas.

Voici les principales mesures législatives susceptibles d'avoir une incidence sur votre organisation.

RGPD/RGPD britannique – 72 heures

Qui : Tout responsable du traitement exerçant ses activités au sein de l'UE ou du Royaume-Uni, respectivement.

Si vous constatez une violation susceptible de compromettre la sécurité des données à caractère personnel, vous devez en informer l'autorité compétente dans les 72 heures suivant la découverte du problème.

Il peut s'agir d'une violation intentionnelle de vos systèmes ayant permis l'accès aux données des clients, ou d'un incident accidentel, tel que la perte d'un disque dur contenant ces données. L'élément déterminant est de savoir si des personnes sont susceptibles d'être lésées par les conséquences de cet incident.

Si vous n'êtes pas certain que votre incident atteigne le seuil de notification, il vaut mieux lancer la procédure dès maintenant et privilégier la prudence. Veillez à consigner toutes les mesures que vous prenez dans le cadre de votre intervention, puis assurez-vous de prendre contact avant l'expiration du délai de 72 heures.

NIS2 – 24 heures

Qui : La directive NIS 2 est une législation européenne qui vise les entreprises jugées « critiques » ou « importantes », afin de limiter au maximum les perturbations dans les secteurs et les infrastructures vitaux. Toutefois, vous pourriez être indirectement concerné si vous occupez une place clé dans la chaîne d'approvisionnement d'une entreprise soumise à la directive NIS 2.

En cas de violation de données importante, une notification initiale doit être adressée dans les 24 heures au CSIRT (équipe d'intervention en cas d'incident de sécurité informatique) de l'État membre concerné. Une notification complète de l'incident doit ensuite être transmise dans les 72 heures, et un rapport complet dans un délai d'un mois.

Si vous êtes un fournisseur faisant partie de la chaîne d'approvisionnement d'une entreprise relevant du règlement NIS 2, vous n'êtes pas tenu de signaler un incident aux autorités, mais vous devez en informer votre client ; le délai dans lequel vous devez le faire peut être précisé dans votre contrat.

Le Royaume-Uni dispose également de sa propre réglementation en matière de sécurité des systèmes d'information (NIS), qui impose de signaler à l'ICO, dans un délai de 72 heures, tout incident ayant un impact significatif sur la fourniture des services d'une entreprise.

DORA – 4 heures

Qui : toutes les entités financières exerçant leurs activités au sein de l'UE. Cela inclut (sans s'y limiter) les banques, les assureurs et les établissements de paiement. Toutefois, tout comme la directive NIS2 peut s'étendre au-delà des entreprises relevant de son champ d'application, la directive DORA inclut également les prestataires informatiques tiers essentiels dans son champ d'application.

Si une entreprise soumise à la législation DORA détecte une violation, elle doit effectuer un premier signalement dans les 24 heures suivant sa détection. Toutefois, si, à l'issue de l'enquête, l'incident est classé comme grave, le délai de signalement est ramené à seulement quatre heures (ou au temps restant dans le délai de 24 heures).

Un rapport intermédiaire doit ensuite être remis dans les 72 heures, et un rapport complet dans un délai d'un mois.

Autres textes législatifs

Il existe d'autres exigences régionales, des pays tels que les Émirats arabes unis et l'Arabie saoudite disposant chacun de leur propre loi sur la protection des données à caractère personnel (PDPL). Cela souligne la nécessité de bien comprendre la législation en vigueur dans tous les pays où vous exercez vos activités, et le fait que les réponses peuvent varier en fonction du lieu.

Le trio gagnant potentiel en matière de reporting

Certaines entreprises peuvent être tenues de signaler une violation aux autorités compétentes en vertu du RGPD, de la directive NIS 2 et de la directive DORA. Chacune de ces autorités dispose d'une procédure de notification distincte et applique des délais différents.

Cela met en évidence la nécessité bien réelle de disposer de procédures claires, avec des responsabilités bien définies précisant qui fait quoi et quand. Ne pas le faire pourrait avoir des conséquences coûteuses.  

N'oubliez pas que les autorités sont là pour vous aider

Même si elles peuvent infliger de lourdes amendes en cas d'infractions graves et de grande ampleur, il est important de ne pas considérer les autorités compétentes uniquement comme des organes chargés de faire respecter la loi. En les informant rapidement, celles-ci peuvent vous aider à gérer les conséquences potentielles et à limiter les dommages. Pour les pays de l'Union européenne, les organismes compétents peuvent également faciliter la coordination transfrontalière.

Comme l'explique l'ICO à propos des violations du RGPD : « Il est tout à fait normal que vous vous demandiez ce qui va se passer maintenant. Mais nous sommes là pour vous aider à comprendre ce qui s'est passé et pour éviter que cela ne se reproduise. »

Tout cela fait partie de la gestion des incidents

Toutes ces exigences en matière de reporting constituent le fondement d'une gestion efficace des incidents. Elles permettent à tous les membres de l'équipe d'être sur la même longueur d'onde, facilitent la prise de décision rapide et aident à suivre l'avancement de la résolution des incidents.

Si une violation est signalée à une autorité, vous pourriez être amené à rendre compte, étape par étape, de toutes les mesures que vous avez prises pour identifier le problème et y remédier. On pourrait également vous demander de fournir des preuves des mesures que vous avez prises au cours des mois qui ont précédé l'incident.

C'est pourquoi vous devez disposer des outils adéquats pour documenter vos processus et vos systèmes — non seulement pour prouver que vous disposez des données requises, mais aussi pour montrer comment vous les utilisez pour gérer les risques au sein de votre entreprise. Découvrez comment IT Glue, grâce à ses solides fonctionnalités de documentation, peut vous aider à gérer efficacement votre réponse en cas d'incident

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Qu'est-ce que le SecOps ? Explications sur les opérations de sécurité

La plupart des entreprises comptent deux équipes qui devraient travailler main dans la main, mais qui évoluent souvent dans des mondes à part : les opérations informatiques,

Lire l'article de blog

Passer des signaux à l'action avec Kaseya

Avec Kaseya, transformez le bruit de la cybersécurité en informations exploitables. Améliorez la visibilité, réduisez le nombre d'alertes et réagissez plus rapidement aux menaces pesant sur les solutions SaaS et les identités.

Lire l'article de blog

L'IA dans la cybersécurité : les risques liés à la sécurité des solutions SaaS que vous ne pouvez pas vous permettre d'ignorer

L'IA est en train de transformer les menaces de cybersécurité. Découvrez comment la surcharge de signaux, la prolifération des solutions SaaS et les attaques ciblant les identités renforcent la nécessité d'une solution intégrée de détection et de réponse dans le cloud.

Lire l'article de blog