Name: Road to CISO #1 | La norme DORA | Gouvernance Risk & Compliance
Uploaded: 2024-03-10 09:30:20
Duration: 19 min 21 s

Question 1

C’est quoi la norme DORA en cybersécurité ?

Accepted Answer

DORA veut dire Digital Operational Resilience Act: c’est un règlement UE centré sur la résilience opérationnelle numérique. L’idée, c’est d’encadrer comment le secteur financier utilise le numérique sans exploser en vol niveau risques. On parle surtout de résilience et d’incidents liés aux technologies de l’information.

Question 2

Qui est concerné par DORA ?

Accepted Answer

Un très large éventail d’entités financières est concerné: établissements de crédit, paiement, e-money, entreprises d’investissement, etc. Et le point que beaucoup oublient: les prestataires IT qui opèrent dans l’UE pour ces acteurs-là peuvent aussi être impactés. Si tu bosses “de près ou de loin” avec une institution financière, tu dois garder DORA en tête.

Question 3

Quels sont les 5 piliers de DORA ?

Accepted Answer

Les 5 piliers, c’est: gestion des risques, reporting des incidents, tests de résilience opérationnelle numérique, gestion des risques liés aux prestataires, et partage d’informations cyber. Si tu ne retiens qu’un truc de ma vidéo, c’est ça. Tout le reste découle de ces cinq blocs.

Question 4

Qu’est-ce que DORA impose sur la gestion des risques TIC ?

Accepted Answer

Je le résume simplement: il faut un dispositif solide, complet et bien documenté, type DRP/disaster recovery plan, activable selon des risques identifiés. Et surtout, ce n’est pas un document “PDF mort”: tu l’améliores en continu avec les retours des tests et des incidents. L’objectif, c’est de savoir quoi faire, quand le faire, et comment revenir sur incident.

Question 5

Comment fonctionne la notification des incidents avec DORA ?

Accepted Answer

DORA harmonise la notification des incidents liés aux TIC, et ça devient un enjeu majeur. Tu dois mettre en place des process et des outils pour détecter, enregistrer, classer, puis notifier selon des critères définis. Les incidents majeurs remontent à la direction et sont déclarés aux autorités compétentes dans des délais, via un modèle commun.

Question 6

Quels tests de résilience sont attendus par DORA ?

Accepted Answer

Il faut un programme de tests de résilience intégré à la gestion des risques, et il doit être réexaminé régulièrement. Minimum: tester au moins une fois par an les systèmes et applis qui supportent des fonctions critiques ou importantes. Et point clé: les tests doivent être conduits par des parties indépendantes (internes ou externes), avec des stratégies de remédiation et de validation.

Question 7

Que demande DORA sur les prestataires et la sous-traitance IT ?

Accepted Answer

DORA pousse une gestion des risques tiers beaucoup plus cadrée: stratégie, politique d’usage pour les fonctions critiques, et un registre des contrats. Oui c’est fastidieux, mais c’est ultra important pour la résilience. Tu ajoutes de la due diligence avant la relation, des clauses sécurité/résiliation minimales, et une surveillance continue.

Question 8

Quelle est la date d’entrée en application de DORA ?

Accepted Answer

La date butoir que je donne dans la vidéo, c’est le 17 janvier 2025 pour l’entrée en application. Le planning est serré, donc plus tu anticipes, plus ce sera simple. Et de toute façon, si tu es dans le scope, “on va venir te voir”.

Road to CISO #1 | La norme DORA | Gouvernance Risk & Compliance

🛍️ Products Mentioned (2)

Medium

Twitch

About This Video

Frequently Asked Questions

🎬 More from Hack & Dev avec Rémi