P.I.L.O.T.E

4 min de lecture

10. Mise en conformité DORA

Info

La mise en conformité avec DORA nécessite une planification structurée, intégrant diagnostic, plan d’action et outils de suivi. Ce chapitre fournit une roadmap type 2024–2025 directement exploitable par un RSSI.
Dernière mise à jour : 25 août 2025

10.1. Étape 1 – Audit et gap analysis (2024)

Le point de départ est une gap analysis entre l’existant et les exigences DORA.

  • Objectifs : identifier les écarts, formaliser les preuves disponibles, classer les chantiers par criticité.
  • Livrables : registre des écarts, matrice de priorisation, premières recommandations.
  • Preuves d’audit : rapports internes ou externes, procès‑verbaux de comités, grilles de maturité.

10.2. Étape 2 – Plan de mise en conformité (2024–2025)

Sur la base du diagnostic, l’entité doit bâtir un plan de mise en conformité validé par le Conseil/COMEX :

  • Définir des jalons (Q4 2024, Q1–Q4 2025).
  • Prioriser les chantiers critiques : gouvernance, gestion des tiers, incidents, PRA/PCA, tests TLPT.
  • Allouer budgets, ressources et responsabilités (matrice RACI).
  • Intégrer les clauses contractuelles DORA dans les renégociations fournisseurs.

Preuves d’audit : plan approuvé, RACI, budgets votés, contrats amendés.

10.2.1. Étapes de mise en conformité recommandées

  1. Cadrage : diagnostic initial et cartographie
  2. Gouvernance : nommer un responsable DORA / SSI
  3. Documentation : politiques, processus, cartographies
  4. Outils : supervision, détection, gestion d’incident
  5. Fournisseurs : revue des contrats, audit des tiers TIC
  6. Sensibilisation : formation, procédures internes
  7. Tests : planification des TLPT / PRA / PCA
  8. Surveillance : indicateurs, tableaux de bord, reporting
  9. Audits internes : vérifier l’efficacité réelle

Tip

Une feuille de route DORA peut être pilotée comme un projet classique GRC (Gouvernance Risque Conformité).

10.3. Étape 3 – Outils de suivi et pilotage

La trajectoire doit être outillée pour assurer le suivi et la preuve de conformité :

  • Tableaux de bord KPI/KRI (disponibilité, incidents, tests, tiers).
  • Outils GRC (Governance, Risk & Compliance) pour centraliser registres et preuves.
  • Comités de pilotage trimestriels documentés.
  • Mécanisme de revue continue (audit interne, contrôles, post‑mortem).

Preuves attendues : tableaux de bord, minutes des comités, exports GRC, dossiers d’audit interne.

10.4. Roadmap type 2024–2025 (frise temporelle)

PériodeActions clésPreuves attendues
Q2–Q3 2024Audit initial, gap analysis, cartographie des actifs, registre risques TICRapport gap analysis, matrice des écarts, procès‑verbal comité
Q4 2024Validation plan en Conseil/COMEX, allocation budget, RACIPlan de mise en conformité approuvé, RACI validée
Q1 2025Renégociation contrats fournisseurs (clauses DORA), mise à jour PRA/PCA, gouvernance renforcéeContrats amendés, PRA/PCA validés, procès‑verbaux
Q2 2025Déploiement programme de tests (charge, PRA, TLPT si requis), mise en place tableau de bord KPI/KRIRapports de test, KPI/KRI collectés, plans de remédiation
Q3 2025Exercices de crise multi‑métiers, vérification procédures de notification incidentsPV d’exercice, registres incidents, preuves de communication
Q4 2025Audit interne de conformité, préparation inspections régulateur, remédiation finaleRapport d’audit interne, plans correctifs, preuves transmises

Tip

Cette roadmap est un modèle : elle doit être adaptée au profil, à la taille et aux dépendances de chaque entité.

10.5. Cas concrets

  • Banque paneuropéenne (2024) : gap analysis → 500 écarts recensés, priorisation sur PRA/PCA et gestion des tiers.
  • Assureur (2025) : renégociation contrats Cloud → ajout clause d’auditabilité et test de sortie.
  • PSP (2025) : mise en place tableau de bord KPI incidents → suivi MTTD/MTTR, reporting au régulateur.

10.6. Checklist RSSI – Mise en conformité

  • Réaliser une gap analysis et documenter les écarts (registre des risques TIC, incidents, tiers).
  • Soumettre et faire approuver un plan de mise en conformité au Conseil/COMEX.
  • Renégocier les contrats fournisseurs avec clauses DORA (audit, réversibilité, SLA/OLA).
  • Déployer un programme de tests (PRA/PCA, charge, TLPT si requis) et documenter les preuves.
  • Mettre en place un tableau de bord KPI/KRI et centraliser les preuves dans un outil GRC.
  • Réaliser un audit interne de conformité fin 2025, préparer la supervision des autorités.

10.7. Objectifs pédagogiques

À l’issue de ce chapitre, le lecteur :

  • sait construire une roadmap DORA 2024–2025 adaptée,
  • comprend les étapes clés : audit, plan, pilotage, preuves,
  • dispose d’outils (frise, checklist, cas concrets) pour piloter son projet,
  • est capable de démontrer au régulateur une trajectoire crédible et documentée.

Vue Graphique