Introduction
La conformité DORA (Digital Operational Resilience Act) devient un sujet prioritaire pour les organisations du secteur financier et leurs écosystèmes. Au-delà d’un simple exercice de conformité, DORA impose une capacité démontrable à résister, répondre et se rétablir face aux incidents TIC, tout en maîtrisant les risques fournisseurs et en structurant une gouvernance solide.
Chez DEVFORMA, nous proposons un parcours progressif pour devenir expert DORA, articulé autour d’un socle gouvernance/SMSI, de la gestion des risques, de la résilience, de la gestion des incidents et de la maîtrise des actifs, jusqu’à la certification DORA Lead Manager.
Qu’est-ce que DORA ?
DORA est un règlement européen qui vise à renforcer la résilience opérationnelle numérique des entités financières. Il formalise des exigences structurantes sur :
● la gestion des risques TIC (cadre, politiques, contrôles, gouvernance)
● la gestion et déclaration des incidents (classification, reporting, preuves)
● les tests de résilience (programmes de tests, scénarios, TLPT selon contexte)
● la gestion du risque lié aux prestataires TIC (contrats, suivi, dépendances)
● le pilotage et la traçabilité (mesures, indicateurs, documentation, auditabilité)
Pourquoi devenir expert DORA ?
● Forte demande de profils capables de structurer un programme de conformité DORA de bout en bout.
● Positionnement à forte valeur : interface entre risque, sécurité, IT, continuité, conformité, achats, juridique et direction.
● Compétence transférable : DORA s’appuie sur des fondamentaux (gouvernance, risques, incidents, continuité, tiers) réutilisables sur d’autres cadres (ISO, NIST, exigences sectorielles).
Le rôle d’un expert DORA (DORA Lead Manager)
Un expert DORA est attendu sur des missions concrètes :
● Gouvernance & pilotage : comité, RACI, politiques, arbitrages, priorisation
● Gap analysis DORA : diagnostic, plan d’action, ouvernance des preuves
● Déploiement des contrôles : risques TIC, incidents, continuité, tiers, tests
● Auditabilité : production de livrables, traçabilité, indicateurs, reporting
● Conduite du changement : alignement IT/risques/conformité et sensibilisation
Compétences essentielles pour devenir expert DORA
● Gouvernance SSI & conformité : structurer un cadre, documenter, rendre auditable
● Gestion des risques : méthodologie, analyse d’impacts, traitement, suivi KRI
● Gestion d’incidents : organisation, classification, procédures, exercices, reporting
● Continuité / résilience : BIA, scénarios, plans, tests, RTO/RPO, retours d’expérience
● Gestion des actifs & dépendances : inventaire, criticité, cartographie des flux, tiers
● Culture cyber / référentiels : ISO 27001, ISO 27005, NIST CSF, etc.
Parcours recommandé pour devenir expert DORA (roadmap DEVFORMA)
Étape 1 - Structurer la gouvernance & le SMSI (socle conformité)
Formation : ISO/IEC 27001 Lead Implementer
Objectif : mettre en place une gouvernance sécurité, un SMSI, des politiques, des responsabilités, et un dispositif de pilotage robuste
–> base indispensable pour industrialiser la conformité DORA.
Étape 2 - Adopter un cadre cybersécurité structurant (référentiel opérationnel)
Formation : NIST Cybersecurity Professional
Objectif : structurer un programme cyber par fonctions (Identify/Protect/Detect/Respond/Recover)
→ utile pour organiser un plan de conformité DORA, faire du mapping et piloter des chantiers.
Étape 3 - Maîtriser la gestion des risques TIC
Formation : ISO/IEC 27005 Risk Manager
Objectif : identifier, analyser, évaluer et traiter les risques TIC ; construire une logique de preuve (registre des risques, plans de traitement, KRIs) directement exploitable pour DORA.
Étape 4 - Renforcer la résilience et la continuité
Formation : ISO 22301 Lead Implementer
Objectif : construire le dispositif de continuité, tester, améliorer, et démontrer la capacité de reprise.
→ Indispensable pour la résilience opérationnelle exigée par DORA.
Étape 5 - Consolider la gestion des actifs (inventaire, criticité, dépendances)
Formation : ISO 55001 Lead Implementer
Objectif : structurer un dispositif de gestion des actifs (Asset Management) aligné avec les exigences DORA : inventaire fiable, criticité, dépendances (SI, infrastructures, services), règles de pilotage, indicateurs et traçabilité.
→ Cela permet de mieux prioriser les protections, organiser la résilience et sécuriser la gestion des tiers sur les actifs critiques.
Étape 6 - Organiser la gestion des incidents & le reporting
Formation : ISO/IEC 27035 Lead Incident Manager
Objectif : mettre en place une chaîne de gestion d’incidents (détection → qualification → réponse → communication → REX) et structurer les éléments nécessaires au reporting.
Étape 7 - Aboutissement : Certification DORA Lead Manager
Formation : DORA Lead Manager
Objectif : savoir conduire un programme de conformité DORA complet : gouvernance, diagnostic, plan d’action, contrôles, preuves, reporting, amélioration continue.
Conformité DORA - la méthode DEVFORMA
1. Cadrage & gouvernance : sponsor, RACI, politiques, comités, calendrier de conformité
2. Diagnostic (gap analysis) : cartographie exigences DORA → état actuel → écarts → priorités
3. Risques TIC & contrôles : registre des risques, KRIs, plans de traitement, contrôles clés
4. Incidents & reporting : processus, classification, procédures, exercices, preuves
5. Résilience & tests : continuité, tests de résilience, scénarios, retours d’expérience
6. Tiers & dépendances : inventaire fournisseurs, criticité, exigences contractuelles, suivi
FAQ - Devenir expert DORA / DORA Lead Manager
1) À qui s’adresse un parcours DORA Lead Manager ?
Aux profils cybersécurité, GRC, risque, conformité, IT management, continuité, audit, ainsi qu’aux responsables sécurité et chefs de projets conformité.
2) Faut-il être très technique pour devenir expert DORA ?
Une culture technique aide, mais la compétence centrale est la capacité à structurer, piloter, documenter et rendre auditable un programme de résilience et de conformité.
3) Combien de temps pour devenir “expert DORA” ?
Selon votre point de départ : de quelques mois (si base GRC solide) à plusieurs trimestres pour consolider risques, continuité, incidents et gouvernance.
4) Comment valoriser ce parcours en entreprise ?
En le positionnant comme capacité à réduire le risque opérationnel, sécuriser l’activité, améliorer la préparation aux crises, et répondre aux attentes des régulateurs.
5) Quelles sont les preuves attendues pour démontrer la conformité DORA ?
DORA implique de pouvoir démontrer, documents à l’appui, la mise en œuvre et l’efficacité du dispositif : politiques et procédures, registre des risques TIC, plans de traitement, indicateurs (KPI/KRI), rapports de tests de résilience, gestion des incidents (dossiers/REX), dispositifs de continuité, et éléments de pilotage (comités, décisions, suivi d’actions).
6) Quelle est la différence entre DORA et NIS2 ?
DORA cible spécifiquement la résilience opérationnelle numérique du secteur financier (risques TIC, incidents, tests, tiers, gouvernance et auditabilité). NIS2 est une directive plus large, orientée cybersécurité et mesures de gestion des risques, applicable à de nombreux secteurs “essentiels” et “importants”. Les deux peuvent se compléter, mais le périmètre et les obligations ne sont pas identiques.
7) Je suis concerné(e) par NIS2 : le parcours DORA est-il utile, ou faut-il suivre un parcours NIS2 dédié ?
Le socle (gouvernance, gestion des risques, incidents, continuité, pilotage) est largement transférable. En revanche, NIS2 a un périmètre et des exigences spécifiques (secteurs, obligations organisationnelles, mesures de gestion des risques, reporting, responsabilités). Si votre priorité est NIS2, il est recommandé de suivre un parcours “Devenir expert NIS2” dédié, puis d’utiliser les passerelles avec DORA si vous évoluez vers un environnement financier ou multi-réglementaire.
