+49 155 609 62044contact@vamisec.com
Prendre rendez-vous
Règlement NCCS UE 2024/1366 | Article 37(8)

Classer la cyberattaque.
La signaler correctement.
Éviter la responsabilité.

L'ENTSO-E Cyber-Attack Classification Scale (CACS) oblige les fournisseurs d'énergie, les gestionnaires de réseau et les infrastructures critiques à classer et signaler systématiquement les cyberattaques. La méthodologie est en vigueur depuis le 13 juin 2025.

Les niveaux de Gravity High et Critical sont à signaler au titre de l'art. 38(4) NCCS — responsabilité personnelle de la direction.
Conseil initial CACS gratuitComprendre la méthodologie →
Valeri Milke – VamiSec
Valeri MilkeCEO & Founder, VamiSec GmbHISO 27001 Lead Auditor | Expert NCCS
Réserver un rendez-vous
5Niveaux de gravité (Gravity Levels)
En vigueurNCCS applicable depuis le 13 juin 2025
Art. 38(4)Obligation de signalement : High & Critical
TSO & DSOActeurs énergétiques concernés
Cadre réglementaire

Quatre règlements. Une obligation.

La méthodologie CACS s'inscrit dans un environnement réglementaire UE complexe. Tout acteur du secteur de l'énergie doit en comprendre toutes les couches.

Art. 37(8)

NCCS Règl. UE 2024/1366

Oblige les TSO et DSO à appliquer la méthodologie CACS. La méthodologie est en vigueur depuis le 13 juin 2025.

Art. 23

Directive NIS2 2022/2555

Obligations de signalement des incidents significatifs sous 24 heures (Early Warning) et 72 heures (Notification).

Art. 3(14)

DORA Règl. UE 2022/2554

Définition de la « cyberattaque » — CACS s'appuie sur cette définition pour distinguer malicious / not malicious.

Art. 19

Règl. Électricité UE 2019/943

L'évaluation des risques à l'échelle de l'Union identifie les processus High-Impact et Critical-Impact comme base de la classification des actifs.

Qui est concerné ?

Gestionnaires de réseau de transport (TSO)
Gestionnaires de réseau de distribution (DSO)
Bourses de l'électricité & systèmes de trading
Infrastructures IT/OT critiques du secteur de l'énergie
Opérateurs de systèmes SCADA et ICS
Prestataires cloud et IT pour fournisseurs d'énergie
Méthodologie | Art. 4–7 CACS

De l'événement à l'obligation de signalement

Chaque événement de sécurité passe par ce processus d'évaluation en 4 étapes. À chaque changement de paramètre, la classification doit être refaite (art. 7.3).

01
Art. 4

Root Cause

Déterminer la cause

L'origine de l'événement est-elle intentionnelle (malicious), non intentionnelle ou incertaine (uncertain) ? Seuls malicious ou uncertain sont qualifiés de cyberattaque.

  • Malicious → Cyberattaque
  • Uncertain → Cyberattaque
  • Not Malicious → Pas de signalement
02
Art. 5

Potential Impact

Périmètre concerné

Quels actifs sont concernés ? Appartiennent-ils au périmètre High-Impact ou Critical-Impact selon l'art. 26(4)(c) NCCS ?

  • Low PI : aucun actif High/Critical
  • High PI : actif High-Impact concerné
  • Critical PI : actif Critical-Impact concerné
03
Art. 6

Severity

Sévérité de l'attaque (MITRE)

Jusqu'où l'attaquant a-t-il progressé ? Sur la base de sa position dans MITRE ATT&CK Kill Chain (Enterprise & ICS).

  • Low : Recon, Resource Dev, Initial Access
  • High : Execution à Discovery
  • Critical : Lateral Movement à Impact
04
Art. 7

Gravity

Évaluation globale

La combinaison Potential Impact et Severity donne le niveau de gravité final. High et Critical doivent être signalés au titre de l'art. 38(4) NCCS.

  • To Follow / Medium / Important
  • High → À signaler
  • Critical → À signaler
Art. 4 : Not MaliciousNon à signaler
Art. 5 : Low Potential ImpactNon à signaler
Art. 7 : To Follow / Medium / ImportantNon à signaler
Art. 7 : High ou Critical GravityÀ signaler — Art. 38 NCCS
Annexe I – Méthodologie CACS

Matrice de gravité & MITRE Kill Chain

Potential Impact × Severity = Gravity Level. Les cellules marquées ★ sont à signaler au titre de l'art. 38(4) NCCS.

Matrice de gravité (Art. 7)

Low PI
High PI
Critical PI
Low Severity
To Follow
Medium
Important
High Severity
Medium
High★ Obligatoire
High★ Obligatoire
Critical Severity
Important
High★ Obligatoire
Critical★ Obligatoire
To Follow
Medium
Important
High ★
Critical ★

MITRE ATT&CK Kill Chain (Art. 6)

Low Severity

L'attaquant tente d'accéder à un ou plusieurs actifs.

ReconnaissanceResource DevelopmentInitial Access
High Severity

L'attaquant dispose d'un accès au moins limité à un ou plusieurs actifs.

ExecutionPersistencePrivilege EscalationDefense EvasionCredential AccessDiscovery
Critical Severity

Plus d'un actif est concerné par lateral movement ou l'attaquant peut interrompre des processus.

Lateral MovementCollectionCommand & ControlExfiltrationInhibit Response FunctionImpair Process ControlImpact
Conseil CACS VamiSec

Nous vous rendons CACS-ready.

De l'analyse d'écart au processus de signalement complet — VamiSec vous accompagne tout au long du parcours vers la conformité NCCS art. 37(8).

Classification des actifs

Identification et affectation de vos actifs aux périmètres High-Impact et Critical-Impact selon l'art. 26(4)(c) NCCS.

Cadre Root Cause

Mise en place de processus internes pour une évaluation rapide et conforme des causes des événements de sécurité.

Mapping MITRE ATT&CK

Intégration des frameworks MITRE ATT&CK Enterprise et ICS pour automatiser l'évaluation de la sévérité.

Analyse d'écart CACS

État des lieux : où en est votre organisation aujourd'hui ? Que manque-t-il pour une conformité NCCS art. 37(8) complète ?

Processus de signalement (Art. 38)

Mise en place de procédures de signalement conformes pour les incidents High et Critical Gravity auprès des autorités nationales et des CSIRT.

Formation & tabletop CACS

Formations pratiques et simulations d'incidents pour votre SOC, IT et direction — y compris exercices de classification CACS.

Contact direct

La conformité CACS commence par une conversation.

La méthodologie CACS est obligatoire depuis le 13 juin 2025. De nombreux fournisseurs d'énergie n'ont pas encore terminé l'implémentation — en particulier la classification des actifs et l'intégration MITRE.

Notre équipe connaît les exigences NCCS dans la pratique et a déjà accompagné plusieurs TSO et DSO dans l'implémentation. Certifié ISO 27001.

  • ISO 27001 Lead Auditor & Lead Implementer
  • Experts conformité NCCS & NIS2
  • MITRE ATT&CK Practitioner (Enterprise & ICS)
  • Expérience dans le secteur de l'énergie (projets TSO/DSO)
Réserver un conseil initialcontact@vamisec.com
Valeri Milke
Valeri MilkeCEO & Founder

Vos processus sont-ils CACS-ready ?

La méthodologie CACS est en vigueur. Demandez dès maintenant une analyse d'écart gratuite et assurez la conformité.

Réserver un conseil initial gratuit