Réf : 285

DORA : quelles exigences, quels impacts pour votre organisation et comment vous y préparer ?

Banque > Risk management et règlementation bâloise

Paris

1 jour

Dates à définir

Prix en présentiel

926 €ht - Repas inclus / -20% en distanciel (non cumulable)

Objectifs

  • Connaître le dispositif réglementaire DORA.
  • Identifier les principaux impacts par rapport aux règlementations existantes.
  • Se préparer aux nouvelles exigences en capitalisant sur l’existant.
  • Comprendre les nouveaux enjeux de supervision.
  • S’appuyer sur les meilleures pratiques de place.

Animateur(s)

Yvan ALLIOLI

Domaines d'animation et conception :
  • Risques Opérationnels.
  • Cartographie des risques.
  • Lutte contre le risque de fraude.
  • Contrôle et Audit Interne.
  • Plan de Continuité d’Activité.

Programme

1ENJEUX ET CONTEXTE RÉGLEMENTAIRE

Enjeux du risque Cyber pour l’industrie bancaire européenne.

Limites actuelles du cadre réglementaire européen.

Risque Opérationnel vs Résilience Opérationnelle.

Contexte réglementaire du règlement DORA :

  • Principales définitions.
  • Périmètre des entités concernées.
  • Présentation synthétique des obligations : Gestion du risque informatique, des incidents informatiques, tests de résilience et gestion du risque de tiers.
  • Calendrier d’application.
  • Travaux réglementaires à venir (2023/2025).

Lien et interactions avec les réglementations existantes (NIS2, SRI2, DSP2, Arrêté du 3 novembre 2014, etc.).

2GESTION DU RISQUE INFORMATIQUE

Principes de Gouvernance du risque informatique.

Rôles de l’Organe de Direction selon DORA.

Stratégie de résilience opérationnelle numérique.

Cadre de gestion du risque informatique.

3GESTION DES INCIDENTS INFORMATIQUES

Processus de gestion des incidents informatiques.

Classification des incidents liès à l’informatique selon DORA :

  • Taxonomie de référence de l’ENISA.
  • Classification des incidents IT du Groupe d’Experts en Sécurité du G7.

Principes de notification des incidents informatiques majeurs aux autorités :

  • Reportings et échange d’informations.
  • Interactions entre DORA/SRI2 et DSP2.

4TESTS DE RÉSILIENCE

Principes du programme de tests de résilience opérationnelle numérique.

Approche par les risques et principes de proportionnalité.

Tests de pénétration avancés fondés sur la menace (TLTP) :

  • Couverture des fonctions critiques ou importantes.
  • Participation des prestataires de services tiers.
  • Principes de reconnaissance mutuelle au niveau européen.
  • Conditions à respecter pour les testeurs internes et externes.

Intégration dans les dispositifs de tests existants en matière de sécurité des SI, Continuité d’Activité et Gestion de Crise.

5GESTION DU RISQUE DE TIERS 

Périmètre.

Gestion des risques liés aux prestataires.

Obligations contractuelles.

Registre d’informations.

Suivi de la performance et de la qualité.

Cadre de surveillance des prestataires critiques par les AES.

Analyse comparée des obligations DORA vs Guidelines de l’EBA en matière d’Outsourcing de Prestations Critiques vs Arrêté du 3 Novembre 2014 sur les PSEE.

6SYNTHÈSE ET CONCLUSION

Synthèse de la journée.

Évaluation de la formation.

Public et pré-requis

Participants

  • Responsables Resilience Opérationnelle.
  • Responsables PUPA.
  • RSSI.
  • Responsables informatiques.
  • Responsables des risques opérationnels.
  • Directeurs des risques.
  • Fonctions contrôle permanent, conformité.
  • Fonction Audit-inspection.

Supports et moyens pédagogiques

  • Documentation en PowerPoint :
    Elle a été adaptée pour être utilisée en distanciel :

    • Plus d’exemples ;
    • Plus d’illustrations.
  • Alternance d’illustrations et d’exercices pratiques, d’exercices sous Excel.
  • QCU, Vrai/Faux, questions/réponses pour vérifier, réviser et confirmer les acquis.

Connaissances requises

  • Aucune connaissance particulière n’est exigée.