Contact

Accompagnement à la mise en conformité DORA

Face à la montée des cybermenaces et à la dépendance croissante aux technologies de l’information, le règlement DORA redéfinit les standards de résilience opérationnelle pour le secteur financier européen.

Depuis le 17 janvier 2025, DORA impose aux entités financières (établissements de crédit, établissements de paiement et de monnaie électronique, PSCA…) de renforcer leur capacité à prévenir, détecter et gérer les risques liés aux TIC. Leur dispositif de résilience doit être proportionné à leur taille, leur activité et leur niveau d’exposition aux risques. Cette mise en conformité implique des ajustements organisationnels, techniques et juridiques.

En tant que cabinet spécialisé, RegSharp Audit & Consulting vous accompagne dans l’intégration de ces nouvelles exigences au cœur de votre organisation. Grâce à notre connaissance approfondie du Règlement DORA et des normes RTS/ITS venant préciser certaines exigences opérationnelles du texte, nous vous aidons à comprendre et à appliquer les principes de DORA, qu’il s’agisse de la gestion des risques TIC, de la mise en conformité contractuelle avec vos prestataires et/ou de la réalisation des missions de contrôle périodique.  

Demander plus d'informations
Un rendez-vous avec nos experts

La démarche RegSharp

Mise en conformité DORA

Gouvernance et organisation

  • Structurer un cadre de gouvernance avec des rôles et responsabilités définis.
  • Assurer l’implication de l’organe de direction dans la gestion des risques TIC et l’allocation des ressources suffisantes.
  • Intégrer la gestion des risques TIC dans le cadre global de gouvernance de l’entité et assurer, le cas échéant, la cohérence des politiques TIC à travers toutes les entités du groupe.

Gestion des risques TIC

  • Cartographier vos risques TIC et établir des plans d’actions correctifs adaptés.
  • Mettre en place une politique de gestion des risques TIC.
  • Élaborer une politique de sécurité de l’information et un plan d’urgence pour assurer la reprise des activités en cas d’incidents.
  • Déployer un protocole d’authentification forte pour sécuriser les accès. 

Gestion des prestataires TIC

  • Analyser et évaluer la conformité des prestataires aux exigences DORA.
  • Négocier des contrats intégrant les clauses obligatoires sur la gestion des risques TIC.
  • Définir une stratégie pour éviter les risques de dépendance et de concentration et gérer les plans de sortie.
  • Mettre en place un dispositif de surveillance continue des prestataires stratégiques.

Gestion des incidents

  • Concevoir un programme de tests de résilience opérationnelle.
  • Élaborer une classification des incidents selon des critères précis et seuils de matérialité.
  • Assurer la communication des incidents aux autorités et parties prenantes.

Registre d’information et reporting TIC

  • Mettre en place et maintenir à jour le registre d’informations (ROI) au niveau consolidé et sous-consolidé.
  • Documenter et tracer les décisions et évolutions liées aux TIC.
  • Structurer le reporting des accords contractuels et incidents TIC selon les normes DORA.

Veille et formation

  • Former le personnel aux risques TIC et aux meilleures pratiques de sécurité.
  • Assurer une veille réglementaire active pour adapter vos processus.
Besoin d’un diagnostic DORA ?

RegSharp Audit & Consulting vous aide à structurer et sécuriser votre mise en conformité, du diagnostic initial à la mise en œuvre opérationnelle. Nos experts vous accompagnent dans le contrôle permanent : Formalisation ou mise à niveau du plan de contrôle permanent, analyse et optimisation des processus internes, formalisation des politiques, mise en conformité des contrats TIC.

En savoir plus

Externalisation du contrôle périodique DORA

Analyse des risques

Formalisation et restitution des rapports de contrôle périodique

Élaboration et formalisation d’un plan de contrôle périodique

Présentation orale des rapports aux dirigeants effectifs (et/ou à l’organe de surveillance)

Réalisation des missions de contrôle périodique

Rédaction de la partie relative au contrôle périodique du RACI (rapport annuel de contrôle interne)

L’entrée en vigueur du règlement DORA impose d’importants ajustements dans les dispositifs de contrôle périodique. RegSharp Audit & Consulting a formalisé un plan de contrôle intégrant des thématiques d’audit alignées sur les nouvelles obligations réglementaires.

Notre approche en deux étapes complémentaires :

1. Évaluation des politiques et procédures

Les experts de RegSharp examinent la pertinence des politiques et procédures en lien avec les thématiques DORA.

2. Analyse technique

Les experts de Cyber SSI by RegShap réalisent une analyse concrète de la mise en œuvre de ces politiques et des dispositifs techniques sous-jacents.

Thématiques couvertes par le plan de contrôle périodique

Gouvernance et gestion des risques TIC

  • Politique de gouvernance et de contrôle interne des risques TIC
  • Cartographie des risques et plan de contrôle
  • Classification et inventaire des risques métiers

Gestion des prestataires TIC

  • Politique de gestion des prestataires TIC critiques
  • Conformité des contrats avec les prestataires TIC
  • Registre TIC

Résilience et sécurité numérique

  • Stratégie de résilience opérationnelle numérique
  • Politique de sécurité TIC
  • Politique de cybersécurité
  • Politique de sécurité physique et environnementale
  • Gestion des accès, y compris les politiques d’authentification forte

Sécurité des actifs TIC et des opérations

  • Politique de gestion des actifs TIC
  • Politique de gestion des projets TIC
  • Procédures de gestion des opérations TIC, y compris la capacité et les performances
  • Politique de gestion des changements TIC
  • Politique d’acquisition, de développement et de maintenance des systèmes TIC

Protection de l’information et prévention des incidents

  • Politique de chiffrement et gestion des protocoles cryptographiques
  • Politique de sécurité des réseaux et des informations en transit
  • Procédure de gestion des dispositifs de journalisation (LOG)
  • Politique de détection et gestion des incidents (intrusions, anomalies, cybermenaces)
  • Gestion des vulnérabilités et correctifs

Gestion des ressources humaines et sensibilisation

  • Politique de ressources humaines, incluant la gestion des identités
  • Plan de veille, sensibilisation et retour d’expérience post-incident.

Continuité et reprise d’activité

  • Procédure de sauvegarde et de restauration des données
  • Plan de communication en cas d’incident majeur

Notre approche consiste à identifier les insuffisances et opportunités d’amélioration de vos politiques et procédures. Nous produisons un rapport d’audit structuré intégrant des recommandations concrètes afin d’optimiser votre dispositif.

Nous conatcter
Vous souhaitez être informé de notre actualité ?

Notre communication regroupe les nouveautés réglementaires, l'innovation dans le secteur, l'annonce de nos événements et nos analyses sur divers sujets d'actualité.

Cabinet spécialisé en conformité bancaire et des services et  moyens de paiement. La connaissance du fonctionnement des autorités de supervision couplée à l’expertise pointue de nos consultants sont des atouts garantissant la satisfaction de nos clients

Linkedin

Navigation

RegSharp Expertise & Consulting

Informations