GRC Cybersécurité · Conformité DORA

DORA : la résilience numérique
du secteur financier, pilotée.

Applicable depuis janvier 2025, DORA impose aux entités financières, et par ricochet à leurs prestataires TIC, un cadre complet de résilience opérationnelle numérique. Je pilote votre mise en conformité, du registre d'informations aux tests de résilience.

L'accompagnement

Ce que couvre la mission.

Registre d'informations

Recensement des contrats TIC, criticité des prestataires, fonctions supportées, clauses obligatoires : le pilier le plus structurant du règlement, et le meilleur point de départ.

Gestion des risques TIC

Cadre de gestion des risques documenté et approuvé par l'organe de direction, cartographie des actifs critiques, analyse de risques alignée sur vos fonctions essentielles.

Incidents et notification

Classification des incidents, processus de notification au régulateur dans les délais, articulation avec la gestion de crise.

Tests de résilience

Programme de tests proportionné à votre profil, de la revue régulière à la préparation aux tests de pénétration fondés sur la menace (TLPT) pour les entités concernées.

Cas particulier

Prestataires TIC : concernés sans être assujettis.

Si vos clients sont des entités financières, DORA arrive chez vous par le contrat : clauses d'audit, exigences de sécurité, réversibilité, localisation des données. Anticiper ces exigences, c'est transformer une contrainte subie en argument commercial face à vos concurrents. Et dans une opération M&A touchant le secteur financier, le dispositif DORA fait partie du périmètre de due diligence.

Un socle commun bien construit répond à la fois à DORA, NIS2 et ISO 27001 : l'accompagnement mutualise les exigences plutôt que de tripler l'effort. Voir le volet NIS2
Questions fréquentes

Ce qu'on me demande sur DORA.

Qui est concerné par DORA ?

Les entités financières au sens large : banques, assureurs, sociétés de gestion, établissements de paiement, entreprises d'investissement, notamment. Et par ricochet contractuel, leurs prestataires de services TIC, à qui les exigences sont répercutées via les clauses obligatoires.

Qu'est-ce que le registre d'informations ?

Le recensement structuré de tous les accords contractuels avec des prestataires TIC, avec leur criticité, les fonctions supportées et les clauses applicables. C'est le pilier le plus structurant du règlement au quotidien, exigible par le régulateur.

Par où commencer ?

Par le registre d'informations et la cartographie des prestataires : c'est l'exercice qui révèle l'écart réel. Puis une analyse d'écarts sur les cinq piliers du règlement, débouchant sur un plan d'action priorisé et piloté comme un programme.

Ressource gratuite

Testez gratuitement votre maturité DORA.

5 piliers, 32 questions, 7 minutes. Repartez avec un aperçu de votre exposition et de vos priorités.

Démarrer l'auto-évaluation

Votre résilience mérite un pilotage à la hauteur.

En un appel de 30 minutes, vous savez où vous en êtes face à DORA et à quelles conditions avancer.

Réserver un appel de qualification

Premier appel gratuit, sans engagement. Voir aussi la page GRC Cybersécurité.