Objectif : Aider les responsables SSI, DSI et Risk Managers à organiser concrètement la mise en conformité avec le règlement européen DORA (Digital Operational Resilience Act), en vigueur dès janvier 2025.
Voir notre article sur le sujet : "Mise en conformité DORA : comprendre les enjeux, organiser vos actions"
✅ 1. Identifier les périmètres concernés
Qui est concerné ?
- Établissements financiers (banques, assurances, fintechs)
- Prestataires IT critiques : fournisseurs cloud, sécurité managée, hébergeurs
- Intermédiaires : services de paiement, sociétés de gestion, etc.
💡 Exemple : votre prestataire cloud qui héberge votre core banking doit désormais répondre à des exigences formalisées de résilience, sous peine de vous exposer à un risque de non-conformité.
🧭 2. Cartographier les actifs critiques
Pourquoi ? DORA impose une connaissance fine de votre infrastructure numérique pour assurer une continuité d’activité robuste.
À faire :
- Lister les applications et systèmes critiques (production, paiement, authentification, etc.)
- Identifier les dépendances externes (SaaS, IaaS, API, services tiers)
- Associer chaque actif à un niveau de criticité (MAO, RTO, RPO, etc.)
💡 Utilisez un outil comme CMDB ou créez une matrice Excel croisant actifs / services / impacts métiers.
🧑💼 3. Structurer la gouvernance des risques IT
Objectif DORA : clarifier les rôles, politiques et procédures autour de la gestion des risques TIC.
Actions recommandées :
- Nommer un référent opérationnel DORA (RSSI ou Risk Manager)
- Mettre à jour les chartes et politiques internes (sécurité, PRA, gestion des fournisseurs)
- Intégrer la cybersécurité dans la gouvernance d’entreprise (comité des risques, board, etc.)
💡 Un tableau de bord cybersécurité mensuel présenté en comité de direction est un bon levier pour démontrer l’engagement.
🚨 4. Formaliser la gestion des incidents IT
DORA impose :
- Une détection rapide
- Une réponse coordonnée
- Une notification aux autorités dans un délai de 24h
Checklist :
- Procédure de gestion d’incidents à jour
- Communication interne et externe formalisée
- Outil de ticketing et journalisation centralisée
💡 Un incident de type ransomware ayant impacté les accès clients doit être notifié à l’autorité nationale (ex. : ACPR, CNIL si données perso), dans les temps.
🧪 5. Tester régulièrement la résilience numérique
Ce que dit DORA : vos systèmes critiques doivent être testés régulièrement pour valider leur robustesse.
Tests recommandés :
- Tests de PRA / PCA (scénarios défaillance serveur, coupure réseau)
- Tests de pénétration (interne, externe)
- Simulations d’attaques avancées (ex. TIBER-EU pour banques)
💡 Un test de restauration de vos sauvegardes critiques tous les 6 mois est un bon point de départ.
🤝 6. Gérer les risques liés aux tiers
DORA insiste fortement sur la dépendance aux prestataires IT.
À faire :
- Évaluer la maturité cybersécurité de vos fournisseurs
- Intégrer des clauses spécifiques DORA dans les contrats : reporting, testabilité, auditabilité, notification
- Maintenir un registre des tiers critiques
💡 Si votre prestataire d’infogérance ne vous communique pas ses indicateurs de sécurité, c’est un drapeau rouge dans le cadre DORA.
🔁 7. Créer une démarche continue d’amélioration
Ne pas se contenter d’un projet unique. DORA impose une vision dans le temps.
Conseils :
- Créez un plan d’action pluriannuel
- Mettez en place des revues trimestrielles
- Alignez-vous sur un référentiel (ISO 27001, NIST CSF, etc.)
💡 Pensez à mutualiser vos efforts avec la mise en conformité NIS2 si vous êtes multi-réglementés.
📌 Résumé des outils utiles
| Besoin | Outils recommandés |
|---|---|
| Cartographie | Excel / CMDB / GLPI |
| Incident IT | Outil de ticketing, playbooks SOAR |
| Tests techniques | Pentests, PRA, outils TIBER-like |
| Gestion des tiers | Registre fournisseurs, clauses juridiques DORA |
| Suivi global | Trello / Confluence / Plan de remédiation |
📎 Ressources utiles
- Texte officiel DORA (FR)
- Guide d’application EBA sur la résilience numérique
- Schéma TIBER-EU – Tests d’intrusion pilotés par la menace
🎯 À retenir
DORA, ce n’est pas une case à cocher, c’est une posture à adopter.
Anticipez, structurez et formez vos équipes. En étant prêt, vous ne vous contentez pas de respecter la loi : vous renforcez la confiance et la robustesse de votre organisation face aux crises cyber.
