Cheat Sheet

DORA — Cartographie des Livrables

Vue systémique des livrables DORA en 3 niveaux : Pilotage & Gouvernance → Opérationnel → Preuve

DORA — Cartographie des Livrables

Vue systémique : Gouvernance → Opérationnel → Preuve

VORN°

Cartographie systémique des livrables DORA organisée en 3 niveaux : Pilotage & Gouvernance (décision), Opérationnel (exécution), Preuve (traçabilité). Les flèches indiquent les dépendances et la logique de résilience.

Niveau 1 : Pilotage & Gouvernance

Décision, arbitrage, redevabilité

Stratégie DORA

Art. 6(6) avec Art. 5(2)(b)

Comité Risques TIC

Pilotage direction

✓ Approuve stratégie DORA, politique risques TIC, plan d'audit TIC

Comité Résilience

Arbitrage PCA/PRA

✓ Valide scénarios de tests, arbitre niveaux de service dégradé

Comité Incidents Majeurs

Crise & communication

✓ Statue sur qualification incidents majeurs, activation PCA/PRA

Comité Tiers Critiques

TPRM stratégique

✓ Statue sur criticité, plans de sortie, multi-fourniture

RACI Direction / RSSI / RCCI / DSI

Rôles & responsabilités

✓ Définit qui décide, qui exécute, qui contrôle, qui informe

Mécanismes d'arbitrage

Acceptation risque, priorisation

✓ Revoit et statue sur acceptation risques, priorisation remédiations

Niveau 2 : Opérationnel

Exécution, processus, procédures

Socle Fondationnel : Identification

Tout part de là

Inventaire fonctions métier critiques

Art. 8(1) et (6)

Inventaire processus dépendants tiers

Art. 8(5) à (6)

Inventaire actifs TIC critiques

Art. 4 RTS RMF

Owners des inventaires / règles de mise à jour

Rôles, responsabilités, fréquence

Protection & Prévention

Art. 9 DORA

Politique sécurité information (Art. 9(4)(a))

Politique gestion actifs TIC (Art. 4 RTS RMF)

Politique chiffrement (Art. 6-7 RTS RMF)

Politique gestion identité (Art. 20 RTS RMF)

Détection

Art. 10 DORA

Politique de surveillance / monitoring (Art. 10 avec Art. 23 RTS RMF)

Mécanismes détection activités anormales (Art. 10 avec Art. 23 RTS RMF)

Gestion Incidents TIC

Ch. III DORA

Politique gestion incidents (Art. 22-23 RTS RMF)

Processus gestion incidents (Art. 17 avec RTS CCL)

Critères qualification incident majeur (Fonctions critiques / Impact / Durée)

Réponse & Récupération

Art. 11 DORA

Politique continuité TIC (Art. 11 avec Art. 5(2)(c))

Plans continuité (ICT BCP) (Art. 11(6)(a), Art. 24-25 RTS RMF)

Plans réponse/récupération (Art. 11(3) avec Art. 5(2)(e))

Apprentissage

Art. 13 DORA

Programmes sensibilisation (Art. 13(6) avec Art. 5(2)(g))

Formation résilience (Art. 13(6) avec Art. 5(2)(g))

Post-incident review (RCA / leçons / plan d'actions) (Art. 17 avec Art. 13 DORA)

Pilier Stratégique : Gestion Risques Tiers TIC

Enjeu de stabilité systémique

Stratégie risques tiers TIC (Art. 28(2))

Politique services TIC critiques/importants (Art. 28(2) et (10), Art. 1-11 RTS TPPR)

Registre d'information (RoI) – obligation structurante (Art. 28(3) avec RTS RoI)

Plans de sortie (Art. 28(8), Art. 10 RTS TPPR)

Niveau 3 : Éléments de Preuve DORA

Traçabilité, historisation, vérifiabilité

Preuves Réglementaires

Registre incidents TIC (Art. 17(2) avec RTS CTIR)

Registre d'information tiers (Art. 28(3) avec RTS RoI)

Journaux d'activité (logging) (Art. 12 RTS RMF)

Notifications incidents majeurs (RTS CCL)

Rapport revue cadre risques TIC (Art. 6(5) avec Art. 27 RTS RMF)

Plan d'audit TIC (Art. 6(6) avec Art. 5(2)(d))

Preuves de Pilotage

CR Comité Risques TIC (Décisions, arbitrages)

CR Comité Résilience (Validation scénarios, arbitrages)

CR Comité Tiers Critiques (Statuts criticité, plans sortie)

Revues politiques/procédures (Mises à jour suite tests/incidents)

Décisions acceptation risques (Traçabilité arbitrages)

Documentation tests ICT BCP (Art. 25(5) RTS RMF)

Légende

Stratégie

Politique

Procédure / Document

Élément de preuve

Besoin d'accompagnement sur DORA ?

VORN° accompagne les entités financières dans leur préparation à DORA et la structuration de leurs livrables.

Prendre contact