ISGroup Conseil en Cybersécurité

Taxonomie des incidents ACN : guide de classification selon la Loi 90/2024

Avec la Détermination du 9 février 2026, publiée au Journal officiel, l’Agence pour la cybersécurité nationale (ACN) a défini la taxonomie des incidents que les entités identifiées à l’art. 1, alinéa 1, de la Loi du 28 juin 2024, n° 90, doivent signaler ou notifier. Cette classification standardise les modalités de communication des événements de sécurité et s’intègre aux obligations prévues par la directive NIS2.

Les trois catégories de la taxonomie ACN

La taxonomie identifie trois types d’incidents nécessitant un signalement ou une notification formelle :

  • IS-1 – Perte de confidentialité vers l’extérieur : concerne la compromission de données numériques appartenant à l’entité ou sur lesquelles elle exerce un contrôle, même partiel. Cela inclut les violations de données personnelles, d’informations confidentielles ou de propriété intellectuelle.
  • IS-2 – Perte d’intégrité avec impact externe : couvre les altérations non autorisées de données appartenant à l’entité ou sous son contrôle, même partiel, qui produisent des effets envers des tiers ou sur l’opérabilité externe.
  • IS-3 – Violation des niveaux de service attendus : se réfère aux interruptions ou dégradations des services et des activités par rapport aux niveaux de service (SL) établis par l’entité elle-même, avec un impact sur la continuité opérationnelle.

Intégration avec la discipline NIS2

La Détermination de l’ACN rappelle explicitement la cohérence avec la discipline NIS2, qui a déjà fait l’objet d’une détermination précédente de la part de l’Agence. Un aspect opérationnel pertinent est que la pré-notification et la notification effectuées conformément au décret NIS remplissent également l’obligation prévue par la Loi 90/2024, évitant ainsi les duplications procédurales.

Cette intégration simplifie la gestion des obligations de notification pour les entités relevant des deux périmètres réglementaires, réduisant la charge administrative et favorisant une approche unifiée de la gestion des incidents de sécurité. Pour les organisations qui doivent encore structurer leur parcours de mise en conformité, le programme de conformité NIS2 d’ISGroup couvre à la fois les obligations de notification et la gouvernance globale requise par la directive.

[Callforaction-NIS2]

Comment appliquer la taxonomie dans la pratique

L’adoption de la taxonomie nécessite un processus structuré de classification des événements de sécurité. Les organisations doivent :

  • Définir des procédures internes pour identifier et classer les incidents selon les trois catégories IS-1, IS-2 et IS-3
  • Établir des seuils clairs pour déterminer quand un événement nécessite un signalement ou une notification formelle
  • Intégrer la taxonomie dans les processus de réponse aux incidents et dans les plans de gestion de crise
  • Former le personnel technique et les responsables de la sécurité sur les modalités d’application de la classification
  • Documenter les décisions de classification pour garantir la traçabilité et la cohérence dans le temps

Un Virtual CISO peut accompagner l’organisation dans la mise en œuvre de ces processus, en garantissant que la classification des incidents soit alignée à la fois sur les exigences réglementaires et sur les spécificités opérationnelles de l’entreprise. Pour les opérateurs économiques autorisés, l’intégration avec les exigences de gouvernance et de sécurité AEO représente un niveau de complexité supplémentaire nécessitant des compétences spécialisées.

Impact sur la gestion des risques

La taxonomie ACN ne se limite pas à définir des catégories d’incidents, mais influence directement les activités d’ évaluation des risques. Les organisations doivent prendre en compte :

  • La probabilité que surviennent des événements classables dans les trois catégories
  • L’impact potentiel de chaque type d’incident sur les opérations et la réputation
  • Les mesures de prévention et d’atténuation spécifiques à chaque catégorie
  • Les délais de détection et de réponse nécessaires pour contenir les effets des incidents

Intégrer la taxonomie dans les processus d’évaluation des risques permet d’aligner les priorités de sécurité sur les obligations réglementaires, optimisant ainsi les investissements en prévention et en réponse aux incidents. Un système de surveillance SOC et de réponse aux incidents efficace permet de détecter rapidement les événements classables selon la taxonomie ACN et d’activer les procédures de notification dans les délais prévus.

Entrée en vigueur et obligations

La taxonomie est entrée en vigueur à la date de sa publication au Journal officiel. Les entités concernées doivent adapter immédiatement leurs procédures de gestion des incidents pour garantir la conformité aux obligations de signalement et de notification prévues par la Loi 90/2024. Pour vérifier si votre organisation entre dans le périmètre et connaître les échéances opérationnelles, il est utile de consulter le guide sur qui est inclus dans la liste ACN des entités NIS2 et les échéances correspondantes.

  • Quelles entités doivent appliquer la taxonomie ACN ?
  • La taxonomie s’applique aux entités identifiées à l’art. 1, alinéa 1, de la Loi du 28 juin 2024, n° 90. Celles-ci incluent les opérateurs de services essentiels, les fournisseurs de services numériques et d’autres entités critiques identifiées par la réglementation. Il est nécessaire de vérifier votre inclusion dans le périmètre réglementaire par une analyse spécifique de votre activité et de votre secteur d’appartenance.
  • La notification selon NIS2 couvre-t-elle également les obligations de la Loi 90/2024 ?
  • Oui, la Détermination de l’ACN précise explicitement que la pré-notification et la notification effectuées conformément au décret NIS remplissent également l’obligation prévue par la Loi 90/2024. Cela évite les duplications procédurales pour les entités relevant des deux périmètres réglementaires, simplifiant ainsi la gestion des obligations.
  • Comment déterminer si un incident relève de la catégorie IS-1, IS-2 ou IS-3 ?
  • La classification dépend de la nature de l’impact : IS-1 concerne la compromission de la confidentialité des données vers l’extérieur, IS-2 couvre les altérations de l’intégrité avec des effets externes, IS-3 se réfère aux violations des niveaux de service attendus. Il est nécessaire d’évaluer l’événement par rapport à ces critères et de documenter la décision de classification pour garantir la cohérence et la traçabilité.
  • Quels sont les délais pour le signalement des incidents ?
  • Les délais de signalement suivent ce qui est prévu par la Loi 90/2024 et, pour les entités NIS2, par la discipline correspondante. En général, une pré-notification rapide est requise, suivie d’une notification complète dans des délais définis. Il est fondamental de définir des procédures internes garantissant le respect de ces délais, en tenant compte du temps nécessaire à la classification et à la collecte des informations pertinentes.
  • Comment intégrer la taxonomie dans les processus de réponse aux incidents existants ?
  • L’intégration nécessite la mise à jour des procédures de gestion des incidents pour inclure la phase de classification selon les trois catégories ACN. Il est nécessaire de former l’équipe de réponse aux incidents, de définir des critères décisionnels clairs et d’intégrer la taxonomie dans les outils de ticketing et de documentation. Une approche structurée prévoit également des tests périodiques pour vérifier l’efficacité de la classification dans des scénarios réalistes.

[Callforaction-NIS2-Footer]

In

, ,

Leave a Reply

Your email address will not be published. Required fields are marked *