Conformité DORA

résilience TIC adossée à la préparation ISO/IEC 27001

Méthodologie – PECB IMS2

(Integrated Implementation Methodology for Management Systems and Standards)

Objectif

Construire un dispositif DORA opérationnel et démontrable (gouvernance du risque TIC, gestion/notification des incidents, gestion des prestataires TIC, programme de tests de résilience) structuré par un socle SMSI ISO/IEC 27001 (pilotage, risques, contrôles, preuves, amélioration continue), afin d’être prêt pour les contrôles et évaluations.
1) Résultats attendus (promesse livrable)
À l’issue de la mission, vous disposez de :
  • Un cadre gouvernance du risque TIC : responsabilités, comités, politiques, objectifs, KPI et reporting.
  • Une cartographie du périmètre TIC (services critiques, actifs, dépendances, fournisseurs) et des criticités associées.
  • Un dispositif incidents TIC complet : classification, playbooks de réponse, escalade, traçabilité et capacité de notification.
  • Un référentiel tiers TIC : inventaire, criticité, due diligence, clauses minimales, suivi et plans d’action fournisseurs critiques.
  • Un programme tests de résilience TIC : stratégie, scénarios, planification, exécution, suivi des remédiations.
  • Un plan de preuves (evidence pack) pour démontrer l’opérationnalité DORA : procédures, enregistrements, rapports, KPI.
  • Une trajectoire ISO/IEC 27001 : gouvernance SMSI, analyse de risques, SoA, audits internes et amélioration continue, utilisée comme structure de pilotage et de preuves.
  • Une évaluation de préparation (readiness) avec liste d’écarts, plan de remédiation et priorisation.
2) Périmètre (ce que couvre l’offre)
2.1 Périmètre “Conformité DORA” (résilience TIC)
  • Gouvernance et pilotage du risque TIC : politique, responsabilités, reporting, KPI.
  • Gestion des risques TIC : identification, analyse, traitement, suivi.
  • Gestion & notification des incidents TIC : classification, réponse, escalade, communication, reporting.
  • Gestion des prestataires TIC : cartographie, criticité, due diligence, contractualisation, suivi.
  • Tests de résilience : stratégie, scénarios, tests, suivi des remédiations, capitalisation.
  • Preuves & préparation aux contrôles : enregistrements, rapports, tableaux de bord.
2.2 Périmètre “Trajectoire ISO/IEC 27001” (socle de pilotage)
  • Gouvernance SMSI : périmètre, objectifs, KPI, pilotage.
  • Analyse de risques ISO 27001 : méthode, registre, plan de traitement.
  • Déclaration d’applicabilité (SoA) : contrôles retenus et justification.
  • Gestion documentaire : politiques/procédures/enregistrements.
  • Audit interne et revue de direction : vérification, décisions, amélioration continue.

 

L’approche : DORA fixe les exigences de résilience TIC, et ISO 27001 fournit l’architecture de management et de preuves (risques, contrôles, audit, amélioration) pour rendre le dispositif durable et démontrable.

3) Déroulé de mise en œuvre (PECB IMS2 aligné ISO/IEC 42001)
Phase 1 — Définir et établir (Define & Establish)
Objectif : cadrer le périmètre DORA, installer la gouvernance risque TIC et établir la base risques & preuves via ISO 27001.

Activités :
 
  1. Leadership & approbation : sponsor, gouvernance de projet, objectifs, jalons.
  2. Périmètre DORA : services TIC couverts, dépendances, filiales, fournisseurs.
  3. Rôles & responsabilités : RACI (risk TIC, IT Ops, sécurité, achats, juridique, métiers).
  4. Cartographie initiale TIC : actifs/services critiques, dépendances, tiers, criticités.
  5. Méthode de risques : articulation risques TIC (DORA) + ISO 27001.
  6. Politiques de base : politique risque TIC, principes incidents et tiers.
  7. Stratégie de preuves : structure evidence pack DORA + référentiel documentaire.
  8. SoA ISO 27001 (v1) : premiers contrôles structurants en lien avec les exigences DORA.

 

Livrables Phase 1
 
  • Charte projet + gouvernance + RACI
  • Périmètre DORA + cartographie TIC (v1)
  • Méthodologie risques + registre risques (v1)
  • Politiques (v1) : risque TIC / incidents / tiers
  • SoA ISO 27001 (v1)
  • Plan projet + plan de preuves (structure)
Phase 2 — Mettre en œuvre et opérer (Implement & Operate)
Objectif : déployer les processus DORA (incidents, tiers, tests) et initier la collecte de preuves.

Activités :
 
  1. Gouvernance risque TIC : KPI, reporting, revues périodiques, comité.
  2. Incidents TIC : classification, playbooks, escalade, traçabilité, capacité de reporting.
  3. Tiers TIC : inventaire complet, criticité, due diligence, clauses, suivi fournisseurs critiques.
  4. Tests de résilience : stratégie, scénarios, plan de tests, suivi remédiations.
  5. Contrôles supports (ISO 27001) : accès, logs, vulnérabilités, change, sauvegardes, sécurité opérationnelle.
  6. Mise en place des enregistrements : rapports, tickets, revues, preuves d’exécution.

 

Livrables Phase 2
 
  • Cadre gouvernance risque TIC (KPI + reporting + calendrier de revues)
  • Procédures incidents & notification + playbooks + modèles de rapports
  • Référentiel tiers TIC : registre, criticité, grille due diligence, clauses minimales, plan de suivi
  • Stratégie de tests + plan de tests + scénarios + critères de succès
  • Catalogue de preuves + modèles d’enregistrements
  • Roadmap ISO 27001 (alignée DORA)
Phase 3 — Surveiller et revoir (Monitor & Review)
Objectif : démontrer le pilotage, tester le dispositif et préparer une évaluation.

Activités :
 
  1. Surveillance & KPI : incidents, tiers, tests, vulnérabilités, disponibilité, actions.
  2. Audit interne ISO 27001 orienté exigences DORA : plan, checklists, constats.
  3. Revue de direction : décisions, arbitrages, risques résiduels, budgets, priorités.

 

Livrables Phase 3
 
  • Tableau de bord KPI + comptes rendus de revues
  • Rapport d’audit interne + plan de remédiation
  • Compte rendu revue de direction + décisions + plan d’actions
  • Mise à jour SoA, risques, preuves
Phase 4 — Maintenir et améliorer (Maintain & Improve)
Objectif : fermer les écarts, consolider les preuves et finaliser la préparation contrôles/évaluations.

Activités :
 
  1. Traitement des non-conformités : actions correctives, vérification efficacité.
  2. Readiness DORA : simulation d’évaluation, revue evidence pack, last-mile.
  3. Pérennisation : calendrier d’audits internes, revues, tests récurrents, amélioration continue.

 

Livrables Phase 4
 
  • Registre non-conformités + actions correctives + preuves de clôture
  • Pack “DORA Readiness” : dossier de preuves final + checklist d’évaluation
  • Pack “ISO 27001 Readiness” (si souhaité) : SoA final + plan audit + planning
4) Volet “preuves & tests” (intégré au fil de l’eau)
4.1 Ateliers preuves & tests
  • Définition des preuves attendues (incidents, tiers, tests, reporting).
  • Définition des scénarios de tests, critères de succès et organisation.
  • Collecte et consolidation des rapports (preuves) et suivi des remédiations.
4.2 Livrables preuves & tests
  • Catalogue de preuves (owner, fréquence, emplacement)
  • Rapports de tests + REX + plan d’amélioration
5) Organisation du projet
Ateliers (typique)
  • Kick-off + cadrage périmètre DORA
  • Ateliers cartographie TIC + criticité + dépendances
  • Atelier gouvernance risque TIC (KPI, reporting, calendrier)
  • Atelier incidents & notification (playbooks + modèles)
  • Atelier tiers TIC (due diligence + clauses + suivi)
  • Atelier stratégie & plan de tests de résilience
  • Atelier risques & SoA ISO 27001
  • Audit interne + revue de direction + readiness
Rôles côté client (minimum)
  • Sponsor (direction)
  • Référent risque TIC / RSSI (owner)
  • Référent IT Ops / Production
  • Référent Achats / Vendor management (tiers)
  • Référent Juridique / Compliance
  • Référent métiers (services critiques)
6) Durée (à adapter au périmètre)
  • Standard : 8 à 14 semaines selon maturité et nombre de prestataires critiques.
  • Étendu : 14+ semaines si périmètre multi-filiales, SI hétérogène, forte dépendance fournisseurs.
7) Ce qui fait la valeur (conformité + trajectoire ISO)
  • Résilience TIC démontrable : processus incidents, tiers et tests opérationnels + preuves.
  • Préparation aux contrôles : evidence pack prêt, reporting structuré, traçabilité.
  • Pilotage durable : ISO 27001 apporte risques, contrôles, audit, amélioration continue.
  • Réduction du risque opérationnel : meilleure maîtrise des incidents et des prestataires critiques.
8) Options
  • Pack “Exercice de crise & notification” : simulation incident majeur + test reporting + REX.
  • Pack “Due diligence fournisseurs critiques” : audits tiers, revues sécurité, plans de remédiation.
  • Pack “Pentest & remédiation” : pentest + corrections + preuves.
  • Pack “Scale” : extension à d’autres entités / périmètres / services TIC.