Incident majeur en cybersécurité : définition, exemples et gestion
Dans le contexte de la directive NIS2 et des obligations réglementaires croissantes, comprendre ce qui constitue un incident majeur de cybersécurité devient essentiel pour toutes les entreprises.
Un incident mal évalué, non notifié ou mal géré peut entraîner des sanctions financières importantes, une perte de confiance des clients et des partenaires, voire la fermeture de l’entreprise.
Cet article détaille la définition d’un incident majeur, les critères de classification, les exemples concrets et les procédures de gestion conformes aux exigences de l’ANSSI et de la directive NIS2.
Temps de lecture : 10 minutes
Sommaire
- Qu’est-ce qu’un incident de cybersécurité ?
- Qu’est-ce qu’un incident majeur ?
- Les critères de l’ANSSI
- 5 exemples concrets d’incidents majeurs
- Procédure de gestion en 4 phases
- Obligations de notification NIS2
- Comment prévenir les incidents majeurs ?
- Incident, incident majeur et crise : les différences
- Rôle du RSSI dans la gestion
- FAQ
Qu’est-ce qu’un incident de cybersécurité ?
Définition générale
Un incident de cybersécurité est tout événement qui compromet la sécurité des systèmes d’information d’une organisation. Il peut affecter :
- La confidentialité : accès non autorisé à des données sensibles
- L’intégrité : modification ou destruction de données
- La disponibilité : interruption des services ou systèmes
Selon l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), un incident de sécurité est « tout événement ayant ou pouvant avoir un impact négatif sur la sécurité du système d’information ».
Types d’incidents de cybersécurité
Les incidents de cybersécurité se déclinent en plusieurs catégories :
Incidents techniques
- Intrusion dans le système d’information
- Infection par malware (virus, ransomware, spyware)
- Déni de service (DDoS)
- Exploitation de vulnérabilités
Incidents liés aux données
- Fuite de données (data breach)
- Vol de données confidentielles
- Destruction ou altération de données
Incidents liés aux utilisateurs
- Compromission de comptes (phishing réussi)
- Usage frauduleux d’identifiants
- Erreur humaine ayant des conséquences sécuritaires
Incidents organisationnels
- Défaillance de sous-traitant
- Non-respect des procédures de sécurité
- Sabotage interne
Qu’est-ce qu’un incident majeur de cybersécurité ?
Définition d’un incident majeur
Un incident majeur de cybersécurité se distingue d’un incident ordinaire par son impact significatif sur l’organisation, ses clients, ses partenaires ou la société dans son ensemble.
Selon la directive NIS2, un incident est considéré comme majeur (ou « significatif ») lorsqu’il répond à au moins un de ces critères :
- Impact opérationnel important : perturbation grave des activités essentielles
- Pertes financières substantielles : pour l’entité ou ses clients
- Atteinte aux personnes : risque pour la santé, la sécurité ou les droits des personnes
- Effet de propagation : impact sur d’autres entités ou services (effet domino)
Critères de classification selon NIS2
La directive NIS2 établit des critères précis pour qualifier un incident de majeur :
Critère 1 : Durée de l’interruption de service
- Interruption totale ou partielle d’un service essentiel pendant plus de 2 heures
- Indisponibilité prolongée d’un système critique pour l’activité
- Blocage des processus métier fondamentaux
Critère 2 : Volume de données compromises
- Fuite ou vol de données sensibles en quantité significative
- Compromission de données personnelles au sens du RGPD
- Exposition de données confidentielles (secrets commerciaux, propriété intellectuelle)
Critère 3 : Nombre d’utilisateurs ou clients impactés
- Pourcentage élevé d’utilisateurs ou clients affectés
- Plus de 500 000 utilisateurs impactés pour certains secteurs
- Atteinte à des données de personnes vulnérables (patients, mineurs)
Critère 4 : Étendue géographique
- Impact sur plusieurs États membres de l’UE
- Perturbation d’infrastructures critiques à échelle régionale ou nationale
- Effet domino sur la chaîne d’approvisionnement
Critère 5 : Pertes matérielles et immatérielles
- Dommages financiers supérieurs à 100 000€
- Atteinte grave à la réputation de l’organisation
- Perte de confiance des clients et partenaires
- Impact sur la continuité d’activité à moyen terme
Les critères de l’ANSSI pour qualifier un incident majeur
L’ANSSI, autorité nationale compétente pour NIS2 en France, a précisé les critères de notification des incidents majeurs.
Seuils quantitatifs
Durée d’interruption
- Service critique indisponible pendant plus de 2 heures consécutives
- Dégradation majeure de performance pendant plus de 4 heures
- Impact sur la production ou la livraison de services
Données compromises
- Plus de 10 000 personnes dont les données personnelles sont affectées
- Toute compromission de données de santé ou données bancaires
- Exposition de secrets d’affaires ou données stratégiques
Impact financier
- Pertes directes ou indirectes supérieures à 100 000€
- Paiement de rançon (quel que soit le montant)
- Coûts de remédiation excédant 50 000€
Critères qualitatifs
Nature de l’attaque
- Attaque ciblée (APT – Advanced Persistent Threat) contre l’organisation
- Ransomware avec chiffrement de données ou exfiltration
- Compromission d’administrateur ou de comptes à privilèges
- Sabotage délibéré des systèmes
Sensibilité des systèmes affectés
- Systèmes de production industrielle
- Infrastructures critiques pour la sécurité
- Systèmes de santé (dossiers patients, équipements médicaux)
- Services financiers (transactions, paiements)
Effet de propagation
- Impact sur d’autres organisations (clients, fournisseurs, partenaires)
- Perturbation de la chaîne d’approvisionnement
- Risque de propagation de l’attaque vers d’autres victimes
Exemples concrets d’incidents majeurs de cybersécurité
Exemple 1 : Attaque par ransomware dans le secteur de la santé
Contexte
Un centre hospitalier de taille moyenne subit une attaque par ransomware un dimanche soir. Les systèmes informatiques sont progressivement chiffrés pendant la nuit.
Impact
- Lundi matin : impossibilité d’accéder aux dossiers patients électroniques
- Services d’urgence contraints de détourner les ambulances
- Opérations chirurgicales non-urgentes reportées
- Laboratoires d’analyse incapables de transmettre les résultats
- 3 000 patients potentiellement affectés sur une semaine
Qualification
Incident majeur car :
- Interruption de service critique (santé) pendant plus de 72 heures
- Risque pour la santé et la sécurité des personnes
- Compromission probable de données de santé (RGPD)
- Impact sur un service public essentiel
Obligation : Notification à l’ANSSI sous 24h, rapport intermédiaire sous 72h, signalement CNIL pour violation de données personnelles.
Exemple 2 : Fuite massive de données chez un opérateur télécom
Contexte
Un opérateur de télécommunications découvre qu’une base de données contenant les informations de ses clients a été exposée sur internet pendant plusieurs semaines.
Impact
- 2,5 millions de clients concernés
- Données exposées : nom, prénom, adresse, numéro de téléphone, email, IBAN
- Revente probable sur le dark web
- Risque accru de phishing et d’usurpation d’identité pour les clients
Qualification
Incident majeur car :
- Volume massif de données personnelles compromises
- Données sensibles (IBAN) exposées
- Impact potentiel sur 2,5 millions de personnes
- Atteinte grave à la confidentialité
Obligation : Notification ANSSI et CNIL sous 72h, information individuelle des personnes concernées, mesures correctives immédiates.
Exemple 3 : Compromission d’un fournisseur IT critique
Contexte
Un prestataire de services managés (MSP) subit une intrusion. Les attaquants obtiennent les accès aux systèmes de 50 clients PME via les outils d’administration à distance.
Impact
- 50 entreprises clientes potentiellement compromises
- Accès administrateur détourné pendant 3 semaines avant détection
- Exfiltration de données chez 12 clients
- Perte de confiance généralisée, rupture de contrats
Qualification
Incident majeur car :
- Effet domino : propagation à de multiples organisations
- Compromission d’accès à privilèges
- Durée prolongée de l’intrusion (persistance)
- Impact sur la chaîne d’approvisionnement IT
Obligation : Notification immédiate à l’ANSSI, information de tous les clients potentiellement affectés, audit forensique complet.
Exemple 4 : Attaque DDoS contre un service public en ligne
Contexte
Un service de déclaration fiscale en ligne subit une attaque DDoS massive pendant la période de déclaration obligatoire.
Impact
- Service indisponible pendant 8 heures
- 500 000 citoyens dans l’impossibilité de déclarer leurs revenus
- Report de la date limite, complications administratives
- Couverture médiatique négative
Qualification
Incident majeur car :
- Service public essentiel indisponible plus de 2 heures
- Nombre très élevé d’utilisateurs impactés
- Impact sur l’exercice de droits citoyens
- Perturbation d’un service régalien
Obligation : Notification ANSSI sous 24h, communication publique, mesures de mitigation DDoS renforcées.
Exemple 5 : Sabotage interne dans l’industrie
Contexte
Un administrateur système mécontent d’une entreprise industrielle supprime des données critiques et désactive les sauvegardes avant son départ.
Impact
- Perte de données de production des 6 derniers mois
- Plans de fabrication, spécifications techniques détruites
- Production arrêtée pendant 2 semaines
- Pertes estimées à 800 000€
Qualification
Incident majeur car :
- Interruption significative de la production
- Destruction intentionnelle de données critiques
- Pertes financières substantielles
- Compromission de l’intégrité des données
Obligation : Notification ANSSI, dépôt de plainte pénale, audit de sécurité complet, révision des politiques d’accès.
Que faire en cas d’incident majeur ? Procédure de gestion
Phase 1 : Détection et qualification (H0 à H2)
Actions immédiates
1. Identifier l’incident
- Analyser les alertes de sécurité
- Confirmer la nature de l’incident
- Évaluer le périmètre initial
2. Qualifier la gravité
- Appliquer la grille de criticité de l’organisation
- Vérifier les critères NIS2/ANSSI
- Déterminer s’il s’agit d’un incident majeur
3. Activer la cellule de crise
- Convoquer l’équipe de réponse aux incidents
- Désigner un responsable de crise
- Informer la direction générale
Livrables : Première évaluation documentée, classification de l’incident, déclenchement du plan de réponse.
Phase 2 : Confinement et notification (H2 à H24)
Actions de confinement
1. Isoler les systèmes compromis
- Déconnecter les machines infectées du réseau
- Bloquer les comptes utilisateurs compromis
- Activer les règles de filtrage d’urgence
2. Préserver les preuves
- Capturer les logs avant qu’ils ne soient écrasés
- Réaliser des images disques si nécessaire
- Documenter toutes les actions entreprises
3. Évaluer l’étendue
- Identifier tous les systèmes affectés
- Déterminer le vecteur d’attaque
- Évaluer les données potentiellement compromises
Notification obligatoire (sous 24h)
Si l’incident est qualifié de majeur, notification à l’ANSSI via :
- Email : cert-fr.cossi@ssi.gouv.fr
- Téléphone : 01 71 75 84 68
- Portail : https://www.cert.ssi.gouv.fr/
Contenu de la notification initiale :
- Identification de l’organisation
- Nature de l’incident
- Date et heure de détection
- Systèmes et services affectés
- Impact initial estimé
- Premières mesures prises
Phase 3 : Éradication et récupération (H24 à J+7)
Actions de remédiation
1. Éradiquer la menace
- Supprimer les malwares détectés
- Colmater les vulnérabilités exploitées
- Révoquer les accès compromis
- Réinitialiser les mots de passe
2. Restaurer les services
- Restaurer les données depuis les sauvegardes saines
- Reconstruire les systèmes compromis
- Tester le bon fonctionnement
- Remettre en production progressivement
3. Surveillance renforcée
- Monitoring intensif des systèmes restaurés
- Recherche d’indicateurs de compromission résiduels
- Vigilance accrue sur les tentatives de reconnexion
Rapport intermédiaire (sous 72h)
Transmission à l’ANSSI d’un rapport intermédiaire contenant :
- Analyse détaillée de l’incident
- Impact confirmé (systèmes, données, utilisateurs)
- Vecteur d’attaque identifié
- Mesures correctives déployées
- Estimation de la durée de remédiation
Phase 4 : Post-incident et rapport final (J+7 à J+30)
Actions post-incident
1. Analyse forensique approfondie
- Investigation technique complète
- Identification des causes profondes
- Reconstitution de la chronologie
- Documentation exhaustive
2. Retour d’expérience
- Réunion post-mortem avec toutes les parties prenantes
- Identification des points d’amélioration
- Validation des leçons apprises
3. Plan d’action correctif
- Mesures techniques à renforcer
- Procédures à améliorer
- Formations complémentaires à déployer
- Investissements de sécurité à planifier
Rapport final (sous 1 mois)
Transmission à l’ANSSI du rapport final comprenant :
- Description complète de l’incident
- Causes profondes identifiées
- Chronologie détaillée
- Impact final chiffré
- Mesures correctives mises en œuvre
- Actions préventives planifiées
- Leçons apprises
Les obligations de notification selon NIS2
Délais de notification stricts
La directive NIS2 impose un système de notification en trois temps :
| Délai | Type de notification | Contenu requis |
|---|---|---|
| 24 heures | Alerte précoce | Détection, nature, périmètre initial |
| 72 heures | Rapport intermédiaire | Impact, causes probables, mesures prises |
| 1 mois | Rapport final | Analyse complète, remédiation, prévention |
Sanctions en cas de non-notification
Le défaut de notification d’un incident majeur expose l’organisation à :
Sanctions administratives
- Amendes jusqu’à 10 millions d’euros ou 2% du CA mondial (OSE)
- Amendes jusqu’à 7 millions d’euros ou 1,4% du CA mondial (EI)
Sanctions complémentaires
- Contrôles renforcés de l’ANSSI
- Publication des manquements
- Responsabilité personnelle du dirigeant
Aggravation en cas de
- Dissimulation intentionnelle de l’incident
- Retard volontaire dans la notification
- Informations fausses ou trompeuses transmises
- Récidive
Comment prévenir les incidents majeurs ?
1. Mettre en place une détection efficace
Outils de surveillance
- SIEM (Security Information and Event Management) pour corréler les événements
- EDR (Endpoint Detection and Response) sur tous les postes
- IDS/IPS (Intrusion Detection/Prevention System) sur le réseau
- Monitoring des logs en temps réel
Indicateurs de compromission (IOC)
- Surveiller les connexions inhabituelles
- Détecter les modifications de fichiers critiques
- Identifier les comportements anormaux des utilisateurs
- Suivre les tentatives d’élévation de privilèges
2. Renforcer la posture de sécurité
Mesures techniques prioritaires
- Authentification multifacteur (MFA) généralisée
- Segmentation réseau pour limiter la propagation
- Chiffrement des données sensibles
- Gestion rigoureuse des correctifs (patch management)
- Sauvegardes régulières et testées (règle 3-2-1)
Mesures organisationnelles
- Politique de sécurité des SI (PSSI) à jour
- Procédures de gestion des incidents documentées
- Plans de continuité et de reprise d’activité (PCA/PRA)
- Gestion des accès et des privilèges (principe du moindre privilège)
3. Former et sensibiliser les équipes
Programme de sensibilisation
- Formation annuelle obligatoire pour tous les collaborateurs
- Campagnes de phishing simulé régulières
- Ateliers de gestion de crise pour les managers
- Culture de la sécurité partagée
Exercices de simulation
- Tests de réponse aux incidents (tabletop exercises)
- Simulations d’attaques (red team / blue team)
- Tests de restauration des sauvegardes
- Exercices de gestion de crise
4. Établir des relations de confiance
Partenaires clés
- Relation établie avec l’ANSSI et le CERT-FR
- Contact avec des experts forensiques
- Partenariat avec un SOC (Security Operations Center)
- Assurance cyber adaptée
Communauté de partage
- Participation aux ISAC (Information Sharing and Analysis Centers) sectoriels
- Veille sur les menaces émergentes
- Partage d’expériences avec des pairs
Différence entre incident, incident majeur et crise
| Critère | Incident de sécurité | Incident majeur | Crise cyber |
|---|---|---|---|
| Impact | Local et limité | Significatif et circonscrit | Catastrophique potentiel |
| Durée | Quelques heures max | Plusieurs heures à jours | Plusieurs jours à semaines |
| Gestion | Équipe IT standard | Plan de réponse formalisé | Cellule de crise + COMEX |
| Notification | Interne uniquement | ANSSI obligatoire | ANSSI + communication publique |
| Exemples | Phishing bloqué, malware détecté | Ransomware, fuite de données | Paralysie totale, sabotage industriel |
Rôle du RSSI dans la gestion des incidents majeurs
Responsabilités du RSSI
Le Responsable de la Sécurité des Systèmes d’Information (RSSI) joue un rôle central dans la gestion des incidents majeurs :
Avant l’incident (préparation)
- Élaborer le plan de réponse aux incidents
- Définir les critères de classification des incidents
- Former les équipes de réponse
- Mettre en place les outils de détection et de surveillance
- Organiser des exercices de simulation
Pendant l’incident (gestion)
- Coordonner la réponse technique
- Évaluer la gravité et qualifier l’incident
- Gérer la notification à l’ANSSI
- Superviser les actions de confinement et d’éradication
- Faire le lien avec la direction générale
- Coordonner avec les partenaires externes (SOC, experts forensiques)
Après l’incident (post-mortem)
- Conduire l’analyse post-incident
- Rédiger le rapport final pour l’ANSSI
- Piloter le plan d’action correctif
- Capitaliser sur les leçons apprises
- Actualiser les procédures et les plans
Relation RSSI – Direction générale
La directive NIS2 impose une responsabilité partagée :
Le dirigeant est responsable de
- Approuver les budgets de cybersécurité
- Valider les politiques et procédures
- Superviser la mise en œuvre des mesures
- Être formé aux enjeux cyber
Le RSSI est responsable de
- Proposer la stratégie de sécurité
- Mettre en œuvre les mesures techniques et organisationnelles
- Alerter la direction sur les risques
- Gérer opérationnellement les incidents
En cas d’incident majeur, le RSSI et la direction générale doivent travailler en étroite collaboration pour assurer une gestion optimale et respecter les obligations de notification.
Conclusion : Anticiper pour mieux gérer
La qualification d’un incident comme « majeur » n’est pas une formalité administrative : elle déclenche des obligations légales strictes et reflète un impact réel sur l’organisation et son écosystème.
Les points clés à retenir
Un incident majeur se caractérise par
- Un impact significatif sur la disponibilité, l’intégrité ou la confidentialité
- Une durée d’interruption supérieure à 2 heures pour un service critique
- Une compromission de données sensibles ou personnelles en quantité importante
- Un effet de propagation vers d’autres organisations
Les obligations associées
- Notification à l’ANSSI sous 24h, 72h et 1 mois
- Documentation complète de l’incident et des actions menées
- Mise en œuvre de mesures correctives et préventives
- Responsabilité personnelle du dirigeant
La meilleure stratégie
- Préparer en amont : plan de réponse, outils de détection, équipes formées
- Détecter rapidement : surveillance continue, indicateurs de compromission
- Réagir efficacement : procédures claires, rôles définis, communication maîtrisée
- Améliorer en continu : retours d’expérience, ajustements, exercices réguliers
Les organisations qui investissent dans la préparation et la prévention sont celles qui gèrent le mieux les incidents majeurs lorsqu’ils surviennent. La cybersécurité n’est pas une dépense, c’est une assurance pour la continuité et la pérennité de l’entreprise.
FAQ : Questions fréquentes sur les incidents majeurs
Tous les incidents doivent-ils être notifiés à l’ANSSI ?
Non, seuls les incidents qualifiés de « majeurs » ou « significatifs » selon les critères NIS2 doivent être notifiés à l’ANSSI. Un incident mineur géré en interne sans impact notable ne nécessite pas de notification externe.
Que risque-t-on si on ne notifie pas un incident majeur ?
Le défaut de notification d’un incident majeur expose à des amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les Opérateurs de Services Essentiels (OSE). Le dirigeant peut également être tenu personnellement responsable.
Comment savoir si un incident est majeur ?
Appliquez la grille de criticité de votre organisation en vérifiant les critères NIS2 : durée d’interruption (supérieure à 2h), nombre de personnes affectées, volume de données compromises, pertes financières, effet de propagation. En cas de doute, contactez l’ANSSI pour qualification.
Faut-il communiquer publiquement sur un incident majeur ?
La communication publique n’est pas systématiquement obligatoire, sauf si l’incident impacte directement les utilisateurs ou clients. Dans ce cas, une information claire et transparente est recommandée. Pour les violations de données personnelles, l’information des personnes concernées est obligatoire selon le RGPD.
Peut-on être sanctionné même si on notifie l’incident ?
La notification en temps et en heure est une obligation qui, si respectée, démontre votre conformité. Les sanctions visent principalement les manquements graves : absence de mesures de sécurité de base, dissimulation, récidive, négligence manifeste. Une gestion diligente et transparente est valorisée.
Combien de temps faut-il pour gérer un incident majeur ?
La durée varie considérablement selon la nature et l’ampleur de l’incident : de quelques jours pour un incident contenu rapidement, à plusieurs semaines pour une compromission profonde nécessitant une reconstruction complète. La phase active de réponse dure généralement 1 à 2 semaines, suivie d’une phase d’amélioration sur plusieurs mois.
Qui doit être dans la cellule de crise ?
Une cellule de crise efficace réunit : le RSSI ou responsable sécurité (coordinateur technique), un représentant de la direction générale (prise de décision), le responsable IT (actions techniques), le responsable juridique (aspects légaux), le responsable communication (communication de crise), et selon les cas, des experts externes (forensique, assurance).
Dois-je déposer plainte en cas d’incident majeur ?
Le dépôt de plainte n’est pas obligatoire mais fortement recommandé, particulièrement en cas d’attaque criminelle (ransomware, vol de données). Il permet une investigation judiciaire et peut être nécessaire pour activer votre assurance cyber. L’ANSSI et le procureur peuvent également vous y encourager.
Article mis à jour en novembre 2025 – Conforme aux exigences de la directive NIS2 (UE) 2022/2555 et aux recommandations de l’ANSSI
Corinne Meynier est une personne passionnée par l’entrepreneuriat et la technologie. Elle a co-fondé Kabia en 2005, une entreprise proposant des services à haute valeur ajoutée axés sur les réseaux, la sécurité, l’hébergement internet à très haute disponibilité, le Cloud computing régional PACA et des solutions de mise en réseau et sécurité pour systèmes d’informations.
Elle prête sa voix au podcast Kabia
En plus de son rôle de co-fondatrice chez Kabia, Corinne Meynier est également engagée dans différentes organisations. Elle est membre du conseil d’administration d’EuroCloud depuis novembre 2022, une organisation qui promeut l’adoption du Cloud computing en Europe.
Corinne Meynier partage ses connaissances et son expérience à travers son podcast, qui a pour objectif de donner des clés simples pour comprendre le monde numérique que nous utilisons chaque jour. Elle est une entrepreneuse passionnée qui croit en l’importance de l’humain au centre de la technologie.