4. Gouvernance et responsabilités
4.1. Implication de la direction
Info
La gouvernance DORA repose sur une implication active des organes de direction.
Les dirigeants doivent :
- valider les stratégies de résilience TIC,
- superviser leur mise en œuvre,
- être informés des incidents et risques majeurs.
4.2. Rôles et responsabilités
Les rôles doivent être définis et documentés :
- RSSI / CISO : stratégie de sécurité, mise en œuvre, reporting
- DSI : gestion opérationnelle du SI
- Direction générale : gouvernance, validation des budgets et plans
- Comité des risques : pilotage, arbitrages, suivi
- Utilisateurs : respecter les politiques internes
Tip
Une matrice RACI est recommandée pour clarifier les responsabilités.
4.3. Politique de résilience TIC
Chaque entité doit formaliser une politique interne de résilience comportant :
- objectifs clairs,
- plan de gestion des risques TIC,
- procédures d’audit et de test,
- plan de communication de crise.
4.4. Documentation et traçabilité
- Toutes les décisions, validations et processus doivent être documentés,
- Les actions doivent être traçables et auditées.
Warning
L’absence de documentation est assimilée à une non-conformité.