Objectifs
- Connaître le dispositif réglementaire DORA.
- Identifier les principaux impacts par rapport aux règlementations existantes.
- Se préparer aux nouvelles exigences en capitalisant sur l’existant.
- Comprendre les nouveaux enjeux de supervision.
- S’appuyer sur les meilleures pratiques de place.
Animateur(s)
Yvan ALLIOLI
- Risques Opérationnels.
- Cartographie des risques.
- Lutte contre le risque de fraude.
- Contrôle et Audit Interne.
- Plan de Continuité d’Activité.
Programme
1ENJEUX ET CONTEXTE RÉGLEMENTAIRE
Enjeux du risque Cyber pour l’industrie bancaire européenne.
Limites actuelles du cadre réglementaire européen.
Risque Opérationnel vs Résilience Opérationnelle.
Contexte réglementaire du règlement DORA :
- Principales définitions.
- Périmètre des entités concernées.
- Présentation synthétique des obligations : Gestion du risque informatique, des incidents informatiques, tests de résilience et gestion du risque de tiers.
- Calendrier d’application.
- Textes de niveau 2 : RTS/ITS (2023/2025).
- Focus sur le second lot de juillet 2024.
Lien et interactions avec les réglementations existantes (NIS2, SRI2, DSP2, Arrêté du 3 novembre 2014, etc.).
2GESTION DU RISQUE INFORMATIQUE
Principes de Gouvernance du risque informatique.
Rôles de l’Organe de Direction selon DORA.
Stratégie de résilience opérationnelle numérique.
Cadre de gestion du risque informatique.
Revue du corps procédural requis en la matière.
3GESTION DES INCIDENTS INFORMATIQUES
Processus de gestion des incidents informatiques.
Classification des incidents liès à l’informatique selon DORA :
- Taxonomie de référence de l’ENISA.
- Classification des incidents IT du Groupe d’Experts en Sécurité du G7.
Principes de notification des incidents informatiques majeurs aux autorités :
- Reportings et échange d’informations.
- Interactions entre DORA/SRI2 et DSP2.
4TESTS DE RÉSILIENCE
Principes du programme de tests de résilience opérationnelle numérique.
Approche par les risques et principes de proportionnalité.
Tests de pénétration avancés fondés sur la menace (TLTP) :
- Couverture des fonctions critiques ou importantes.
- Participation des prestataires de services tiers.
- Principes de reconnaissance mutuelle au niveau européen.
- Conditions à respecter pour les testeurs internes et externes.
Intégration dans les dispositifs de tests existants en matière de sécurité des SI, Continuité d’Activité et Gestion de Crise.
5GESTION DU RISQUE DE TIERS
Périmètre et typologie des prestations concernées.
Gestion des risques liés aux prestataires.
Obligations contractuelles.
Registre d’informations.
Suivi de la performance et de la qualité.
Cadre de surveillance des prestataires critiques par les AES.
Analyse comparée des obligations DORA vs Guidelines de l’EBA en matière d’Outsourcing de Prestations Critiques vs Arrêté du 3 Novembre 2014 sur les PSEE.
6SYNTHÈSE ET CONCLUSION
Synthèse de la journée.
Évaluation de la formation.
Public et pré-requis
Participants
- Responsables Resilience Opérationnelle.
- Responsables PUPA.
- RSSI.
- Responsables informatiques.
- Responsables des risques opérationnels.
- Directeurs des risques.
- Fonctions contrôle permanent, conformité.
- Fonction Audit-inspection.
Supports et moyens pédagogiques
- Documentation en PowerPoint.
- Alternance d’illustrations et d’exercices pratiques.
- QCU, Vrai/Faux, questions/réponses pour vérifier, réviser et confirmer les acquis.
- Synthèses.
Connaissances requises
- Aucune connaissance particulière n’est exigée.
Dates
| Dates | Localisation / Modalité | Animateur(s) | |
|---|---|---|---|
| 01/10/2025 | Paris | Yvan ALLIOLI | S'inscrire |
| 01/10/2025 | Distanciel | Yvan ALLIOLI | S'inscrire |
Formation DORA : anticiper les obligations opérationnelles et renforcer la gestion des cybermenaces
Le règlement européen DORA (Digital Operational Resilience Act), entré en vigueur en janvier 2023, impose de nouvelles règles aux institutions financières en matière de résilience opérationnelle.
Il vise à renforcer leur capacité à faire face aux cybermenaces et à assurer la continuité de leurs services en cas d’incident majeur. Suivre une formation DORA permet aux organisations de comprendre ces nouvelles obligations opérationnelles, d’évaluer leur niveau de conformité et d’adapter leur système de gestion des risques.
Pourquoi suivre une formation DORA ?
DORA marque un tournant réglementaire majeur pour le secteur financier. Il ne s’agit plus seulement de sécuriser ses systèmes, mais de démontrer une résilience numérique globale.
Une formation DORA permet de s’approprier les exigences du règlement, d’identifier les impacts pour son organisation, et d’intégrer les mesures nécessaires au sein de la gouvernance, des processus et des outils.
Cette formation s’adresse aux professionnels de la conformité, de la gestion des risques, de l’IT et de la cybersécurité. Elle les aide à structurer une réponse efficace face aux exigences croissantes en matière de cybersécurité et de gestion des prestataires critiques.
Elle couvre l’ensemble du spectre DORA : gestion des incidents, tests de résilience, contrôle des tiers, gouvernance opérationnelle.
La formation DORA est également un levier d’anticipation : elle permet aux entreprises de se préparer avant l’application obligatoire du règlement, prévue pour janvier 2025.
Une formation pour comprendre les défis posés par DORA : une approche globale des risques numériques
L’un des principaux défis du règlement DORA réside dans son approche intégrée de la gestion des risques numériques. Il impose une cartographie complète des menaces informatiques, la mise en œuvre de plans de réponse aux incidents, ainsi que des protocoles de communication en cas de crise.
La simple existence de dispositifs techniques ne suffit plus : DORA exige des processus documentés, audités, et testés régulièrement.
Les institutions doivent également veiller à la conformité de leurs partenaires technologiques. Les obligations opérationnelles concernent aussi les prestataires IT critiques, qui doivent être surveillés dans un cadre contractuel renforcé.
Une formation DORA permet d’identifier ces zones de risque et de mettre en place un dispositif de pilotage adapté.
Enfin, les cybermenaces sont désormais considérées comme des risques systémiques. DORA impose un reporting précis, des obligations de transparence et un devoir d’alerte renforcé. Comprendre ces implications est crucial pour toute structure financière souhaitant assurer sa résilience dans un environnement numérisé.
Se préparer efficacement grâce à une formation DORA
La formation DORA proposée par l’AFGES fournit une lecture structurée et opérationnelle du règlement. Elle permet aux professionnels de :
- Maîtriser les obligations opérationnelles imposées par DORA ;
- Renforcer leur dispositif de gestion des risques IT ;
- Anticiper les impacts liés aux cybermenaces ;
- Mettre en place un plan d’action conforme et évolutif.
Basée sur des cas pratiques et des retours d’expérience, cette formation aide à passer de la théorie à la mise en œuvre concrète.
Elle donne les clés pour bâtir une gouvernance numérique robuste, préparer les contrôles réglementaires à venir, et sécuriser la chaîne de valeur numérique de l’organisation.
