Comprendre DORA et lancer le projet

• Bien comprendre le règlement et les attentes des superviseurs
• Identifier les exigences réglementaires et les livrables recevables/attendus
• Couvrir l'ensemble du périmètre du règlement et les différents cas d'usage parmi les utilisateurs 
• Avoir une large vision pour la mise en place d'actions grâce à une compréhension et une priorisation claire. 

                                        DORA – RESILIENCE OPERATIONNELLE

Contexte et attentes des autorités, repères règlementaires et modalités de mise en œuvre

I. COMPRENDRE LE CONTEXTE ET LES OBJECTIFS DE DORA

Stabilité financière, continuité et règlementation des secteurs financiers

• La règlementation prudentielle : assurer et renforcer la solidité et la stabilité du système financier mondial.
• Les risques opérationnels, informatiques et de continuité parmi les menaces à la stabilité du système financier.

• Les risques de non-conformité à DORA – Quelles sanctions ? quelles sont les modalités de contrôle et quel est le rôle de l'ANSSI et des autorités bancaires 

   

• Aperçu de DORA et de son importance dans la règlementation financière de l'UE.

• Explication de la raison pour laquelle DORA a été votée et de ses objectifs.

   

• Exercice : quiz

   

Un réveil

• Une préoccupation de toujours pour les infrastructures de paiement.
• Un réveil récent pour les établissements (banques, …).
• Livre blanc sur le risque informatique CB 1984.
• Arrêté du 3 novembre 2014 sur le contrôle interne.
• EBA GL on ICT and Security Risk Management 2019
• Note de l'ACPR sur le risque informatique 2021
• Un avis mitigé de IEIOPA pour les assureurs.

Disposition DORA

• Cadre de gestion des risques liés aux TIC.
• Gestion, classification et déclaration des incidents liés aux TIC.
• Tests de résilience opérationnelle numérique.
• Gestion des risques des tiers des TIC.
• Partage d'informations et de renseignements.
• Politique sur les arrangements avec les fournisseurs de services tiers en TIC.
• Exercice : Discussion sur les implications de ces dispositions pour les institutions financières

STRATEGIE DE MISE EN OEUVRE DE DORA

Chacun son poste 

• Rôle de la Gouvernance des établissements
• Comprendre et comparer
• Questionner et évaluer
• Suivre et orienter 
• Responsabilités de l'organe de direction 
•  Examen des responsabilités spécifiques de l'organe de gestion comme indiqué dans DORA. (En particulier à l'article 5) : formation, attention particulière, action sur les composantes clés de la gestion des risques TIC, …

• Pilotage du projet DORA pour assurer la conformité et la résilience opérationnelle.

• Contribution des services concernés :
  • Responsables Achats / Externalisation et juridique
  • Directions informatiques
  • RSSI, auditeurs et contrôleurs internes
• Exercice : qui fait quoi ?

Démarches de mise en oeuvre 

• Stratégies pratiques pour la mise en oeuvre de la conformité DORA au sein de institutions financières :
  • Faire/faire faire
  • Big Bang / Amélioration continue 
  • Ciblage / Globalisation 
  • Attente/proactivité 
• Plan d'actions de mise en oeuvre
  • Identifier le périmètre ou l'entité à mettre en conformité (entités financières, fournisseurs de services TIC aux entités).
  • Cerner les nouvelles obligations et responsabilités pour l'établissement dans le cadre de DORA.
  • Adapter sa gestion des risques TIC, y compris ceux liés aux prestataires de services TIC.
  • Organiser et planifier les tests requis.
  • Se préparer à notifier des incidents et cyber-menaces, partager l'information, etc.

Accompagnement non technique :

• Orienter l'établissement : actions de gouvernance, politiques et canaux de communication adéquats.
• Favoriser une culture de la résilience opérationnelle numérique au sein de l'organisation.

Comment les compétences visées sont évaluées ?

• Une évaluation préalable à l'entrée en formation est réalisée dès la demande d'inscription afin d'identifier les connaissances et les besoins de chaque futur participant.

Evaluation finale : 

• Évaluation sous forme de Quizz ludique à l'issue de la formation
• Questionnaire d'évaluation à chaud
• Questionnaire d'évaluation à froid (3 mois après) afin d'apprécier l'impact de la formation

En Inter:

La session est garantie dès la première inscription. Si nous enregistrons moins de 3 inscriptions, les modalités de réalisation de la formation seront adaptées.

En Intra

Validation du planning avec le client / commanditaire.

Délai de réponse (obtention du devis et des conditions de formation) : 24 à 72h

Délai d'entrée en formation : fonction de la date décidée avec le client.