P.I.L.O.T.E

3 min de lecture

4. Gouvernance et responsabilités

Info

La gouvernance DORA place la responsabilité ultime au niveau du conseil d’administration et de la direction générale. Les décisions doivent être documentées, traçables et démontrer une véritable accountability.
Dernière mise à jour : 25 août 2025

4.1. Implication de la direction et du Conseil

Les dirigeants et le conseil d’administration doivent :

  • définir et valider la stratégie de résilience TIC,
  • approuver les politiques de gestion des risques et de continuité,
  • suivre les indicateurs de résilience (KPI/KRI) en comité,
  • superviser la mise en œuvre et contrôler l’efficacité,
  • être informés des incidents et risques majeurs,
  • engager leur responsabilité personnelle en cas de négligence ou manquement.

Warning

Les superviseurs européens peuvent envisager des sanctions personnelles contre les administrateurs ou dirigeants si la gouvernance DORA est jugée défaillante (principe d’accountability).

4.2. Rôles et responsabilités

Les rôles doivent être définis et documentés :

  • Conseil d’administration / COMEX : valide la stratégie, suit les indicateurs, assume la responsabilité ultime.
  • Direction générale : gouvernance, budgets, plans de mise en conformité.
  • RSSI / CISO : stratégie de sécurité, mise en œuvre opérationnelle, reporting vers le Conseil.
  • DSI : gestion opérationnelle du SI et coordination avec RSSI.
  • Comité des risques : arbitrages, suivi transversal, validation des plans PRA/PCA.
  • Utilisateurs et métiers : application des politiques internes, remontée des incidents.

Tip

Une matrice RACI est recommandée pour clarifier les responsabilités et les preuves attendues par rôle.

4.3. Politique de résilience TIC

Chaque entité doit formaliser une politique interne de résilience, comportant :

  • des objectifs clairs,
  • un plan de gestion des risques TIC validé par le Conseil,
  • des procédures d’audit et de test,
  • un plan de communication de crise multi‑acteurs.

Preuves d’audit : politique validée en Conseil/COMEX, procès‑verbaux, registres risques et incidents, plans PRA/PCA, clauses contractuelles mises à jour.

4.4. Documentation et traçabilité

Toutes les décisions, validations et processus doivent être documentés.
Les actions doivent être traçables et auditées.

Warning

L’absence de documentation ou la non‑traçabilité sont assimilées à une non‑conformité lors d’un audit.

4.5. Cas concrets

  • Banque systémique : un incident de core banking non communiqué au Conseil → sanction potentielle pour les dirigeants pour défaut d’accountability.
  • Assureur : PRA non validé en comité → plan rejeté par le régulateur, exigence de remédiation sous délai.
  • Fintech : gouvernance concentrée sur le fondateur → obligation de formaliser un comité de suivi et des décisions documentées.

4.6. Checklist RSSI – Gouvernance

  • Vérifier que la stratégie de résilience TIC est validée au niveau Conseil/COMEX.
  • S’assurer que les procès‑verbaux consignent les décisions et arbitrages liés à DORA.
  • Tenir à jour la matrice RACI couvrant direction, RSSI, DSI, achats, métiers.
  • Vérifier l’existence d’une politique de résilience documentée et alignée sur DORA.
  • Outiller la traçabilité (registres, dossiers d’escalade, rapports, KPI/KRI suivis).
  • Former les administrateurs et dirigeants sur leur responsabilité personnelle et sur les risques de sanction.

4.7. Objectifs pédagogiques

À l’issue de ce chapitre, le lecteur :

  • comprend le rôle central du conseil d’administration dans la gouvernance DORA,
  • identifie les responsabilités personnelles des dirigeants et le principe d’accountability,
  • sait documenter et tracer les décisions (preuves d’audit),
  • peut mettre en place une gouvernance complète (politique, comité, RACI, KPI/KRI).

Vue Graphique