Résilience finance DORA

sécurité + continuité intégrées — préparation ISO/IEC 27001 & ISO 22301

Méthodologie – PECB IMS2

(Integrated Implementation Methodology for Management Systems and Standards)

Objectif

Construire une résilience complète pour les acteurs financiers, en intégrant un SMSI (ISO/IEC 27001) et un SMCA (ISO 22301), afin de répondre aux exigences DORA (risque TIC, incidents/notification, tiers TIC, tests de résilience) avec des dispositifs opérationnels, prouvés et testés, et une préparation structurée aux audits/contrôles.

1) Résultats attendus (promesse livrable)
À l’issue de la mission, vous disposez de :
  • Un SMSI opérationnel (ISO/IEC 27001) : gouvernance, risques, contrôles, preuves, audits internes, amélioration continue.
  • Un SMCA opérationnel (ISO 22301) : BIA, stratégie de continuité, PRA/PCA, organisation de crise, exercices.
  • Un dispositif DORA démontrable : gouvernance du risque TIC, incidents & notification, tiers TIC, programme de tests de résilience.
  • Une gouvernance intégrée sécurité + continuité + DORA : rôles, comités, RACI, KPI, reporting et arbitrages.
  • Une cartographie des services critiques et des dépendances (SI, métiers, prestataires TIC), avec criticités, RTO/RPO et priorités.
  • Une gestion des risques unifiée : risques SI (27001) + risques continuité (22301) + risques TIC (DORA), avec plans de traitement.
  • Des playbooks incidents et crise : classification, réponse, escalade, communication, coordination, traçabilité.
  • Un référentiel tiers TIC : inventaire, criticité, due diligence, clauses minimales, suivi des prestataires critiques.
  • Un programme tests de résilience : stratégie, scénarios, exécution, rapports, suivi des remédiations.
  • Un plan de preuves unique et un evidence pack consolidé (procédures + enregistrements + rapports d’audit + rapports d’exercices).
  • Une évaluation de préparation (readiness) : contrôles/évaluations DORA + préparation aux audits ISO/IEC 27001 et ISO 22301, avec plan d’actions correctives.
2) Périmètre (ce que couvre l’offre)
2.1 Périmètre “SMSI ISO/IEC 27001"
  • Gouvernance : leadership, rôles, politiques, objectifs, KPI.
  • Gestion des risques SI : méthode, registres, traitements, acceptation.
  • Déclaration d’applicabilité (SoA) : contrôles retenus/justification.
  • Mesures clés : IAM, journalisation, vulnérabilités, sauvegardes, durcissement, sécurité opérationnelle.
  • Gestion des tiers/supply chain : exigences, évaluation, clauses, suivi.
  • Gestion des incidents : réponse, escalade, post-mortem.
  • Audit interne, revue de direction, amélioration continue.
2.2 Périmètre “SMCA ISO 22301"
  • Définition du périmètre continuité (services, sites, équipes, prestataires).
  • BIA : impacts, priorités, RTO/RPO, dépendances critiques.
  • Stratégie de continuité : options, organisation cible, capacités de reprise.
  • Plans : PRA/PCA, gestion de crise, communication, procédures de reprise.
  • Exercices : tests PRA, simulations, REX, amélioration.
  • Pilotage et amélioration continue (revues, KPI, mises à jour).
2.3 Périmètre “Conformité DORA” (intégrée)
  • Gouvernance du risque TIC : politiques, responsabilités, reporting, KPI.
  • Gestion & notification d’incidents TIC : classification, playbooks, traçabilité, capacité de reporting.
  • Gestion des tiers TIC : cartographie, criticité, due diligence, contractualisation, suivi.
  • Programme de tests de résilience : stratégie, scénarios, exécution, remédiations, capitalisation.
  • Preuves & préparation aux contrôles : enregistrements, rapports, indicateurs.

 

L’approche : DORA fixe les exigences finance, 27001 structure la cybersécurité, 22301 structure la continuité. Le tout produit des preuves et des dispositifs testés.

3) Déroulé de mise en œuvre (PECB IMS2 aligné DORA + ISO/IEC 27001 + ISO 22301)
Phase 1 — Définir et établir (Define & Establish)
Objectif : cadrer le périmètre finance, installer la gouvernance intégrée et établir la base risques/continuité/preuves.

Activités :
 
  1. Leadership & approbation : sponsor, gouvernance de projet, objectifs, jalons.
  2. Périmètre DORA : services critiques, entités, systèmes, prestataires TIC, dépendances.
  3. Rôles & responsabilités : RACI (risk TIC, RSSI, BCM, IT Ops, achats, juridique, métiers).
  4. Cartographie initiale : services critiques, actifs, flux, tiers, criticités.
  5. Stratégie de preuves : structure evidence pack (DORA + 27001 + 22301).
  6. Méthodes risques : ISO 27001 + continuité (22301) + articulation risque TIC (DORA).
  7. Lancement BIA : méthode, planning interviews, données à collecter.
  8. SoA ISO/IEC 27001 (v1) et base documentaire initiale (politiques, référentiels).

 

Livrables Phase 1
 
  • Charte projet + gouvernance + RACI
  • Périmètre DORA + cartographie initiale (v1)
  • Méthodologie risques + registres (v1)
  • Plan de travail BIA (cadre + planning)
  • SoA ISO/IEC 27001 (v1)
  • Plan projet + plan de preuves (structure)
Phase 2 — Mettre en œuvre et opérer (Implement & Operate)
Objectif : déployer les processus DORA, construire la continuité et lancer l’opérationnel sécurité avec collecte de preuves.

Activités :
 
  1. BIA complet : impacts, priorités, RTO/RPO, dépendances.
  2. Stratégie de continuité : scénarios, options, organisation cible.
  3. Plans PRA/PCA : procédures de reprise, critères de succès, tests.
  4. Incidents TIC : classification, playbooks, escalade, capacité de notification, traçabilité.
  5. Tiers TIC : inventaire, criticité, due diligence, clauses, suivi prestataires critiques.
  6. Tests de résilience : stratégie, scénarios, planification, suivi remédiations.
  7. Contrôles supports (27001) : accès, logs, vulnérabilités, change, sauvegardes, sécurité opérationnelle.
  8. Mise en place des enregistrements : rapports, tickets, revues, preuves.

 

Livrables Phase 2
 
  • BIA (rapport) + RTO/RPO + dépendances
  • Stratégie de continuité + PRA/PCA (v1)
  • Playbooks incidents TIC + modèles de notification/rapports
  • Référentiel tiers TIC (registre, criticité, due diligence, clauses, suivi)
  • Stratégie de tests + plan de tests + scénarios + critères de succès
  • Catalogue de preuves + modèles d’enregistrements
Phase 3 — Surveiller et revoir (Monitor & Review)
Objectif : prouver l’efficacité via KPI, audits internes et exercices testant la résilience.

Activités :
 
  1. Surveillance & KPI : incidents, tiers, tests, vulnérabilités, disponibilité, actions.
  2. Audit interne ISO 27001 orienté DORA + cohérence continuité.
  3. Exercices : table-top (incident majeur + notification), test PRA/PCA, exercice crise.
  4. Revue de direction : décisions, arbitrages, ressources, plan d’amélioration.

 

Livrables Phase 3
 
  • Tableau de bord KPI + comptes rendus de revues
  • Rapports d’audits internes + plan d’actions
  • Rapports d’exercices (table-top / PRA / crise) + REX
  • Mise à jour SoA, risques, plans, preuves
Phase 4 — Maintenir et améliorer (Maintain & Improve)
Objectif : fermer les écarts, consolider les preuves et finaliser la préparation aux contrôles/audits.

Activités :
 
  1. Actions correctives : non-conformités, vérification efficacité.
  2. Readiness DORA : simulation d’évaluation, revue evidence pack, last-mile.
  3. Readiness ISO : préparation aux audits ISO/IEC 27001 & ISO 22301 si requis.
  4. Pérennisation : calendrier audits, revues, tests récurrents, amélioration continue.

 

Livrables Phase 4
 
  • Registre non-conformités + actions correctives + preuves de clôture
  • Pack “DORA Readiness” : dossier de preuves final + checklist évaluation
  • Pack “ISO Readiness” : plan de passage audit + checklist (27001 + 22301)
4) Volet “tests & preuves” (intégré au fil de l’eau)
4.1 Ateliers tests
  • Définition des scénarios (incident majeur, indisponibilité prestataire, panne, cyber).
  • Critères de succès (RTO/RPO), responsabilités, communications.
  • Collecte et consolidation des rapports (preuves) et suivi remédiations.
4.2 Livrables tests
  • Plan de tests (PRA/PCA + exercices crise/notification)
  • Rapports de tests + REX + plan d’amélioration
5) Organisation du projet
Ateliers (typique)
  • Kick-off + cadrage périmètre DORA
  • Ateliers cartographie services critiques/dépendances/tiers
  • Ateliers risques + SoA ISO/IEC 27001
  • Ateliers BIA + stratégie continuité
  • Ateliers PRA/PCA + crise + communication
  • Atelier incidents TIC & notification (playbooks + test)
  • Atelier tiers TIC (due diligence + clauses + suivi)
  • Atelier stratégie & plan de tests
  • Audit interne + revue de direction + readiness
Rôles côté client (minimum)
  • Sponsor (direction)
  • Référent risque TIC / RSSI (owner)
  • Référent continuité (BCM owner)
  • Référent IT Ops / Production
  • Référent Achats / Vendor management (tiers)
  • Référent Juridique / Compliance
  • Référent métiers (services critiques)
6) Durée (à adapter au périmètre)
  • Standard : 12 à 20 semaines selon maturité, nombre de prestataires critiques et complexité PRA/PCA.
  • Étendu : 20+ semaines si multi-entités, SI hétérogène, dépendances fournisseurs fortes.
7) Ce qui fait la valeur (certification + conformité)
  • Résilience démontrable : sécurité + continuité + DORA, testés et prouvés.
  • Préparation aux contrôles : evidence pack prêt, reporting structuré, traçabilité.
  • Pilotage durable : ISO 27001/22301 apportent audit, mesure et amélioration continue.
  • Réduction de l’impact business : meilleure continuité de service et maîtrise des crises.
8) Options
  • Pack “Exercice régulateur” : simulation contrôle + incident majeur + communication + REX.
  • Pack “Due diligence prestataires critiques” : audits tiers, plans de remédiation.
  • Pack “Pentest & remédiation” : pentest + correction + preuves.
  • Pack “Scale” : extension à d’autres entités / services / filiales.