Modèle de reporting DORA et articulation avec le RGPD

De la classification d’un incident majeur au rapport final : les étapes obligatoires pour rester conforme à DORA sans oublier les notifications RGPD.

Ce guide propose un modèle de reporting DORA adapté aux RTS 2024, des checklists de pièces justificatives, des points de vigilance pour la coordination CNIL/ACPR/BCE et la contribution de l’assurance cyber.

DORA : rappel du périmètre et des obligations

Depuis le 17 janvier 2025, les entités financières et certains prestataires TIC doivent reporter tout incident majeur aux autorités compétentes. Les templates de reporting communs (RTS/ITS publiés par l’EBA, ESMA et EIOPA) imposent un contenu précis, des délais serrés (4h/1j/20j) et une traçabilité complète.

L’enjeu : produire des rapports cohérents avec les notifications CNIL (et potentiellement NIS2) tout en préservant l’indemnisation assurance. Ce modèle fournit les rubriques indispensables et les questions clés à se poser pour chaque formulaire.

Important : la granularité varie selon la taille de l’entité. Les établissements significatifs (banques systémiques, PSI de grande taille) doivent aller plus loin (tests TLPT, reporting consolidé).

Étape 1 — Classifier l’incident majeur

Critères DORA

  • • Impact financier direct estimé > 250 000 € ou ratio spécifique (défini par RTS).
  • • Durée d’indisponibilité ou de dégradation significative > 2 heures pour les services critiques.
  • • Nombre de clients affectés, effets transfrontaliers, atteinte à la stabilité financière.
  • • Impact sur la confidentialité, l’intégrité ou la disponibilité des données.

Checkpoints opérationnels

  • • Fiche de déclaration interne complétée (date/heure, services, équipes impliquées).
  • • Validation par la direction des risques et le DSI/RSSI.
  • • Décision sur l’activation de la procédure DORA (oui/non + justification).
  • • Traçabilité des données chiffrées/exfiltrées pour articulation RGPD.

Étape 2 — Préparer la notification initiale (T + 4h)

La notification initiale sert à informer rapidement l’autorité compétente (ACPR, AMF, BCE, ESMA, EBA, etc.). Elle doit contenir :

Astuce : préparez un gabarit JSON/Excel pré-rempli avec vos informations statiques pour gagner du temps lors d’un incident réel.

Étape 3 — Rapport intermédiaire (T + 1 jour ouvré)

Ce rapport étoffe la notification initiale avec les premières analyses causales et impacts quantifiés.

Analyse préliminaire

  • • Vecteur d’attaque suspecté (phishing, exploitation vulnérabilité, tiers).
  • • Étendue probable (systèmes, données, zones géographiques).
  • • Indicateurs de compromission (hash, IP, signatures).

Conséquences business

  • • Nombre de clients impactés, canaux touchés.
  • • Pertes financières estimées (pertes directes, pénalités contractuelles).
  • • Impacts réglementaires (retards reporting, données sensibles).

Mitigation en cours

  • • Mesures techniques déployées (restauration, confinement).
  • • Communication interne/externe réalisée.
  • • Besoins d’assistance complémentaires (autorités, assureurs, prestataires).

Étape 4 — Rapport final (T + 20 jours ouvrés)

Le rapport final clôture la séquence de notification. Il doit démontrer la maitrise de l’incident et les leçons apprises.

  1. Description détaillée : chronologie complète (horodatée), systèmes impactés, services affectés, données compromises.
  2. Cause racine : chaîne d’évènements, vulnérabilités exploitées, défaillances organisationnelles.
  3. Conséquences : pertes financières, réclamations clients, sanctions, effectifs mobilisés.
  4. Mesures correctives : remédiations techniques, renforcements organisationnels, mise à jour de politiques.
  5. Suivi : actions en cours, délais, responsables, contrôles post-incident.
  6. Documents annexes : rapport forensic, notes de communication, preuves de notification.

Ce rapport est souvent demandé par l’assurance et peut être audité ultérieurement. Gardez un exemplaire signé par la direction.

Aligner DORA, RGPD et assurance cyber

Aspect DORA RGPD Assurance cyber
Délais Initiale 4h, intermédiaire 1j, finale 20j Notification CNIL sous 72h, personnes “sans délai excessif” Déclaration sinistre généralement sous 5 jours
Contenu Impact opérationnel, financier, mesures Nature des données, nombre de personnes, mesures de mitigation Chronologie, dépenses, justificatifs, mesures préventives
Preuves Rapport forensic, logs, plan de remédiation Registre traitements, DPIA, communications Factures, contrats, procès-verbaux, rapports experts
Responsable Responsable conformité/DORA officer DPO Risk manager / courtier / assureur

La clé : un référentiel unique de gestion d’incident, partagé entre RSSI, DPO, risk management et assurance.

Apport concret de l’assurance cyber dans un reporting DORA

Production des livrables

Financement du forensic, du juridique, de la communication pour alimenter le rapport DORA et les notifications RGPD.

Coordination avec les autorités

Assureur et partenaires aident à structurer le dossier (checklists, relecture) pour éviter les omissions qui pourraient conduire à des sanctions.

Plan d’amélioration

Budget pour audits complémentaires, tests TLPT, renforcement des contrats fournisseurs, répondant aux exigences DORA post-incident.

Télécharger le modèle

Nous mettons à disposition un modèle (format tableur) comprenant :

Pour le recevoir, contactez-nous : nous adaptons le modèle à votre taille et à votre périmètre réglementaire.

Demander le modèle personnalisé

Sécurisez votre reporting DORA & RGPD

Diagnostic conformité, rédaction du playbook reporting, accompagnement aux contrôles et intégration avec votre assurance cyber.

Construire mon dispositif