AmorcAge

AnticiperDécrypterAppliquerQuestionner
← AmorcAge

DORA : construire votre plan de résilience opérationnelle en 6 étapes

Le règlement DORA s’applique depuis janvier 2025. Pour les établissements financiers non encore conformes, voici un protocole pas à pas pour combler les écarts prioritaires.

Étapes 1 & 2 — Périmètre et cartographie des actifs

DORA s’applique aux établissements de crédit, compagnies d’assurance, prestataires de services de paiement, gestionnaires de fonds et à leurs prestataires tiers critiques. La première étape consiste à confirmer votre assujettissement et à identifier les fonctions opérationnelles critiques.

La cartographie des actifs numériques couvre les systèmes d’information, les données critiques, les dépendances tierces (fournisseurs cloud, éditeurs logiciels) et les flux d’interconnexion. Elle constitue le socle de toutes les analyses de risque ultérieures.

Étapes 3 & 4 — Gestion des risques TIC et tests

Le cadre de gestion des risques TIC doit couvrir l’identification, la protection, la détection, la réponse et le rétablissement. Chaque organisation doit désigner un responsable de la gestion des risques TIC — généralement le RSSI ou le CTO — avec mandat formélisé.

Les tests de résilience opérationnelle numérique comprennent des tests de vulnérabilité annuels et, pour les entités significatives, des tests de pénétration avancés (TLPT) tous les 3 ans. Les résultats doivent être documentés et les écarts traités dans un plan de remédiation.

Étapes 5 & 6 — Gestion des tiers et notification

DORA impose un registre de tous les contrats de services TIC tiers avec classification des prestataires critiques. Les contrats existants doivent être mis à jour pour inclure les clauses DORA obligatoires : audit, sous-traitance, continuité, réversibilité. Délai réglementaire : 12 mois après entrée en application.

Le dispositif de notification des incidents TIC majeurs exige une alerte initiale en 4 heures, un rapport intermédiaire en 72 heures et un rapport final en 30 jours. Ce système doit être testé et opérationnel avant toute inspection ACE-ACPR.

Votre plan de résilience DORA prêt en 48h

Le Pack DORA Certitud couvre les 6 étapes : cartographie des actifs TIC, cadre de gestion des risques, modèles de clauses contractuelles, politique de notification des incidents et plan de tests de résilience. Documentation opérationnelle prête à soumettre à votre autorité de supervision.