- La gestion des incidents de l'ITIL est un processus structuré, et pas seulement une file d'attente. L'incident, le problème et le changement sont trois pratiques distinctes qui doivent être reliées.
- NIS2 exige un avis d'incident important dans les 24 heures et un rapport complet dans les 72 heures. La plupart des équipes ne peuvent pas produire cela à partir de chaînes de messagerie.
- Les données probantes prêtes à être vérifiées signifient : documents structurés, calendrier immuable, cause racine liée, actions documentées et propriétaires nommés. Un fil Slack n'a rien de tout ça.
- Un examen post-incident (PIR) n'est pas facultatif — c'est le document que les régulateurs demanderont en premier.
Voie d'achat HubSecure connexe
Guide du portail client sécurisé Guide du portail client sécurisé Module des chambres Comparaison de l'espace de travail Google Guide du portail client sécurisé
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Pourquoi "nous l'avons géré" ne suffit plus
Il y a dix ans, une résolution rapide était la preuve d'une équipe informatique compétente. Aujourd'hui, les entreprises réglementées — les services financiers, les services juridiques, les soins de santé, les infrastructures essentielles — opèrent dans un environnement où la preuve du processus importe autant que le résultat.
NIS2, DORA, ISO 27001 et SOC 2 exigent tous la même chose : non pas que les incidents aient été résolus, mais qu'ils aient été gérés de façon structurée et documentée, que les causes profondes aient été identifiées, que les bonnes personnes aient été avisées au bon moment et que les mesures aient été suivies jusqu'à leur achèvement.
Le problème pratique : la plupart des équipes informatiques résolvent les incidents dans les canaux Slack, se mettent à jour dans les discussions de groupe et ferment les tickets dans des outils qui ne saisissent pas pourquoi. Lorsqu'un vérificateur ou un organisme de réglementation demande l'échéancier de l'incident six mois plus tard, quelqu'un doit passer des jours à reconstruire ce qui s'est passé à partir de l'historique des messages, s'il peut y avoir accès.
L'horloge NIS2 commence à cocher la case au moment où vous prenez conscience d'un incident important — pas quand vous vous sentez prêt à le signaler. Vous avez 24 heures pour une alerte rapide, 72 heures pour une notification complète à votre autorité compétente, et un mois pour un rapport final. Si votre incident est enregistré en direct dans Slack, vous allez franchir ce délai.
Gestion des incidents de l'ITIL : les trois pratiques qui doivent travailler ensemble
L'ITIL 4 sépare la gestion des incidents en trois pratiques distinctes. Beaucoup d'équipes les consolident, et c'est pourquoi leurs dossiers ne restent pas sous contrôle.
Gestion des incidents
L'objectif est de rétablir le service normal le plus rapidement possible et de minimiser l'impact sur l'entreprise. Chaque incident a besoin d'une référence unique, d'une priorité (P1–P4), d'un propriétaire, d'un calendrier des mesures prises et d'un dossier de résolution. La résolution n'est pas la fin, c'est le début du processus de gestion des problèmes.
Gestion des problèmes
Un problème est la cause sous-jacente d'un ou de plusieurs incidents. La gestion des problèmes vise à réduire la probabilité et l'impact des incidents en identifiant les causes profondes et en prenant des mesures pour prévenir les récidives. Sans elle, les mêmes incidents réapparaissent — et les régulateurs remarquent les tendances.
Gestion du changement
Les incidents les plus importants sont causés par les changements ou en corrélation avec ces changements. La gestion du changement exige que chaque changement apporté à un système de production passe par un processus d'approbation documenté, qu'il comprenne une évaluation des risques et un plan de roulement, et qu'il soit lié à la DGCM. Lorsqu'un incident fait suite à un changement, le lien doit être visible dans l'enregistrement, et non reconstruit à partir de la mémoire.
| Pratique | Objectif principal | Produit | Quel contrôle des régulateurs |
|---|---|---|---|
| Gestion des incidents | Restaurer le service rapidement | Dossier d'incident résolu + chronologie | Délai de réponse, respect de l'ALS, notifications envoyées |
| Gestion des problèmes | Éliminer la cause racine | Analyse des causes profondes, enregistrement d'erreur connu | Cause racine documentée, récurrence évitée |
| Gestion du changement | Réduire les risques liés au changement | Changement avec approbation et retour | Chaîne d'approbation, évaluation des risques, lien avec les incidents |
Déclaration d'incident NIS2 : ce que la fenêtre de 72 heures exige réellement
NIS2 s'applique à des entités essentielles et importantes dans 18 secteurs, y compris les banques, l'infrastructure des marchés financiers, l'infrastructure numérique, les services gérés et les services professionnels qui gèrent des systèmes critiques. Si votre entreprise a une portée, l'exigence de notification de 72 heures n'est pas une ligne directrice.
- Heure 0 — Sensibilisation L'horloge commence lorsque votre équipe prend connaissance d'un incident important. « Nous n'étions pas sûrs que c'était important » n'est pas une raison valable de retard — les obligations d'alerte rapide s'appliquent même dans l'incertitude.
- Dans les 24 heures — Alerte rapide Prévenez votre autorité nationale compétente. L'alerte rapide doit indiquer : 1) qu'un incident s'est produit, 2) s'il a été causé par des actes illicites ou malveillants, et 3) s'il a un impact transfrontière. Vous n'avez pas besoin de l'image complète — mais vous avez besoin d'un enregistrement structuré que cette notification a été envoyée.
- Dans les 72 heures — Avis d'incident Une notification complète comprenant : l'évaluation initiale de l'incident, y compris la gravité et l'impact, la cause ou les causes probables (s'il est connu), les mesures d'atténuation appliquées et continues, et l'impact transfrontalier, le cas échéant.
- Dans un délai d'un mois — Rapport final Une description détaillée de l'incident, du type de menace en cause, de la cause profonde, des mesures d'atténuation appliquées et de tout impact transfrontalier. C'est le document que votre autorité compétente examinera de plus près — et celui qui doit s'aligner sur votre RIP interne.
L'implication pratique: votre outil de gestion des incidents doit être capable de produire un registre exportable, horodaté de chaque action, notification et décision — assez bien structuré pour que vous puissiez remplir un modèle réglementaire sans partir de zéro.
À quoi ressemble la preuve d'incident prête à être vérifiée
Les organismes de réglementation et les vérificateurs de la norme ISO 27001 posent un ensemble précis de questions lorsqu'ils examinent les dossiers des incidents. La plupart des outils informatiques — et certainement Slack — ne peuvent pas y répondre.
| Preuves requises | Slack + courriel | Outil de billetterie seulement | Plateforme d'incident structurée |
|---|---|---|---|
| Référence unique de l'incident | Numéro ✗ | ✓ Oui | ✓ Oui |
| Chronologie immuable et horodatée | Numéro ✗ | ~ Partielle | ✓ Oui |
| Classification des priorités avec justification | Numéro ✗ | - Parfois | ✓ Oui |
| Nommé propriétaire et chaîne d'escalade | Numéro ✗ | ~ Partielle | ✓ Oui |
| Cause racine liée (enregistrement du problème) | Numéro ✗ | ✗ habituellement non | ✓ Oui |
| Enregistrement de changement lié (le cas échéant) | Numéro ✗ | Numéro ✗ | ✓ Oui |
| Suivi de l'ALS avec alertes de brèche | Numéro ✗ | ~ Dépend de l'outil | ✓ Oui |
| Examen après incident et mesures à prendre | Numéro ✗ | Numéro ✗ | ✓ Oui |
| Exportable pour présentation par l'organisme de réglementation | Numéro ✗ | - limitée | ✓ Oui |
L'examen post-incident (RIP) : les organismes de réglementation demandent d'abord
Un examen post-incident est une analyse structurée effectuée après chaque incident important. Son but n'est pas la faute — c'est la preuve que votre équipe a compris ce qui s'est passé, pourquoi il s'est produit et ce qui a été fait pour éviter que cela ne se reproduise.
Un RIP aligné NIS2 devrait saisir les sections suivantes :
- Résumé de l'incident : Référence, dates, systèmes touchés, classification de la gravité
- Chronologie : relevé chronologique de détection, triage, escalade, atténuation et résolution – avec horodatage et acteurs nommés
- Analyse des causes profondes : Cause immédiate, facteurs contributifs, cause systémique sous-jacente
- Analyse d'impact: services touchés, nombre d'utilisateurs touchés, exposition aux données (le cas échéant), impact financier ou opérationnel
- Notifications réglementaires: qui a été notifié, quand, ce qui a été communiqué — avec la preuve des notifications envoyées
- Mesures correctives : Chaque action, propriétaire assigné, date d'échéance, état d'achèvement
- Enseignements tirés : Processus ou outillage des changements pour prévenir les récidives
L'échec le plus courant du RIP n'est pas le format — c'est que les éléments d'action sont énumérés mais jamais suivis. Un organisme de réglementation qui a examiné votre RIP l'an dernier demandera : « Montrez-moi l'état d'achèvement des cinq mesures d'assainissement énumérées ici. » Si vous ne pouvez pas répondre, le RIP devient une preuve d'inaction plutôt que de gouvernance.
Gestion sur appel : le problème qui provoque des ruptures avant le début de l'incident
De nombreuses violations de l'ALS ne se produisent pas parce que les incidents sont mal traités, mais parce que la bonne personne n'a pas été atteinte assez rapidement. La gestion sur appel est souvent le maillon le plus faible d'un processus d'incident autrement structuré.
Schémas d'échec courants : des chemins d'escalade existent dans un document que personne ne peut trouver à 2h du matin; les rotas sur appel sont maintenus dans un tableur qui ne s'intègre pas au système d'alerte; la mauvaise personne est bipé; l'escalade vers le niveau suivant nécessite un appel téléphonique à quelqu'un qui peut ou non répondre.
La gestion structurée sur appel exige : une rotation définie, des règles d'escalade automatisée liées à la priorité d'incident, l'intégration entre le système d'alerte et le dossier d'incident, et une chaîne de recul qui s'active automatiquement lorsqu'un répondant ne reconnaît pas dans la fenêtre SLA.
CMDB : le dossier d'infrastructure qui rend tout le reste possible
Une base de données de gestion de la configuration (CMDB) est l'enregistrement faisant autorité de ce que votre infrastructure consiste en - serveurs, services, applications, dépendances, et les relations entre eux. Sans cela, chaque incident commence par 20 minutes de "quels systèmes sont affectés?" et chaque changement porte un rayon de souffle inconnu.
Pour NIS2 et ISO 27001, le CMDB est également une preuve. Les vérificateurs s'attendent à ce que vous sachiez quels actifs vous avez, quelle est leur criticité et comment ils sont liés les uns aux autres. La mise à jour de la DGCM n'est pas facultative — c'est une condition préalable à une bonne gestion des risques.
Que rechercher dans les outils de gestion des incidents
Lors de l'évaluation des outils de gestion structurée des incidents dans un environnement réglementé, la liste de contrôle devrait comprendre :
- Couverture complète de la pratique ITIL — Incident, Problème, Changement et CMDB doivent être liés, et non des modules séparés
- Journal d'audit immuable — chaque action, changement d'état et mise à jour de champ enregistrée avec acteur et horodatage, non modifiable après le fait
- Configuration SLA par priorité — réponse et résolution SLAs avec escalade automatique en cas d'approche de rupture
- Modèles PIR structurés — pas un champ de notes en texte libre, mais un modèle guidé qui capture toutes les sections requises
- Déclarations exportables NIS2 — la capacité d'exporter un dossier d'incident structuré dans un format adapté à la présentation réglementaire
- Planning sur appel avec auto-escalade — gestion de rotation intégrée avec alerte incidente, pas un système séparé
- Contrôle d'accès fondé sur le rôle — différents niveaux d'accès pour les intervenants, les gestionnaires et les intervenants en lecture seule
- Intégration avec les communications de l'équipe — canaux d'incident chiffrés qui sont liés au dossier d'incident, pas un fil Slack séparé qui disparaît
Gestion des incidents ITIL pour les entreprises réglementées
HubSecure La gestion des incidents couvre l'incident, le problème, le changement, la DGCM, l'ALS, l'appel et le RIP, avec une piste de vérification complète et une exportation prête à NIS2. Réservez une démo pour la voir en action.
Réservez une démo → Module de gestion des incidentsQuelle est la différence entre un incident et un problème en ITIL?
Un incident est une interruption imprévue ou une réduction de la qualité d'un service. Un problème est la cause d'un ou plusieurs incidents. La gestion des incidents se concentre sur la restauration rapide du service; la gestion des problèmes se concentre sur la recherche et l'élimination de la cause fondamentale pour prévenir les incidents futurs. Ils sont liés — chaque incident important devrait déclencher un problème — mais ils ont des propriétaires différents et des délais différents.
La gestion de l'incident ITIL s'applique-t-elle aux petites équipes informatiques?
Oui — L'ITIL est un cadre, pas une bureaucratie. Pour les petites équipes, les pratiques clés sont simples : chaque incident obtient un record avec une priorité, un propriétaire et une note de résolution. Les causes profondes sont documentées. Les changements passent par une étape d'approbation légère. L'habitude structurée est plus importante que l'outil, mais l'outil doit pouvoir produire les preuves lorsque les régulateurs le demandent.
Comment NIS2 définit-il un « incident significatif »?
NIS2 définit un incident important comme ayant causé ou pouvant causer de graves perturbations opérationnelles, des pertes financières, ou qui a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou non matériels considérables. Dans la pratique : tout incident affectant des systèmes critiques, causant l'indisponibilité du service ou impliquant une exposition aux données est susceptible d'atteindre le seuil. En cas de doute, la notification tardive entraîne des peines plus lourdes qu'un avertissement précoce qui s'avère inutile.
Pouvons-nous utiliser Jira ou ServiceNow pour la gestion des incidents ITIL?
Les deux outils peuvent être configurés pour les processus ITIL, mais ils nécessitent une personnalisation importante pour produire les documents d'information structurés que les auditeurs NIS2 et ISO 27001 attendent. Les lacunes les plus courantes sont : pas de modèle PIR natif, pas d'escalade automatique SLA liée à l'appel, et pas d'exportation au format NIS2 intégré. Les plates-formes de gestion d'incidents conçues à cet effet les traitent hors de la boîte.
Lecture connexe :
- Liste de contrôle de conformité NIS2: 14 étapes pour les entreprises de l'UE
- Liste de contrôle de conformité de l'ARDO : Ce que les entreprises de services financiers doivent faire
- B03 vs Slack: Pourquoi les équipes réglementées ont besoin de plus que Slack
- ISO 27001 vs SOC 2: Quelle certification de sécurité votre entreprise a-t-elle besoin?
Examen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale