DORA s’applique-t-il à nous ?

Il s’applique à un large ensemble d’entités financières et à leurs prestataires tiers TIC critiques. Nous commençons chaque mission par une évaluation d’applicabilité et de classification pour que vous sachiez exactement où vous en êtes avant de vous engager dans un programme.

Qu’exige réellement DORA ?

Cinq domaines : gestion du risque lié aux TIC, gestion et signalement des incidents liés aux TIC, tests de résilience opérationnelle numérique, gestion du risque lié aux tiers TIC, et partage d’informations. Nous menons chacun jusqu’à un état défendable.

Menez-vous les tests de pénétration guidés par la menace (TLPT) ?

Oui. Là où les exigences de tests de DORA s’appliquent à vous en tant qu’entité importante, nous menons des tests guidés par la menace alignés sur TIBER-EU et les normes techniques TLPT de DORA, restitués pour une transmission au superviseur.

Combien de temps cela prend-il ?

Généralement deux à six mois selon votre taille, votre maturité et votre empreinte de tiers. Nous fixons le calendrier autour de votre échéance de supervision.

Nous sommes un prestataire TIC, pas une entité financière — DORA nous concerne-t-il ?

Oui, si vous êtes un prestataire tiers TIC critique d’entités financières. Nous vous aidons à construire les preuves du registre, à répondre aux exigences contractuelles, et à donner à vos clients entités financières l’assurance qu’ils doivent désormais demander.

Quel est le rapport entre DORA, NIS 2 et ISO 27001 ?

Ils se recoupent largement sur les contrôles de risque TIC et de résilience. Là où vous avez fait — ou avez besoin de — ce travail, nous réutilisons les preuves d’un référentiel à l’autre plutôt que de les reconstruire.

DORA n’est pas un projet de conformité. C’est la résilience opérationnelle sous inspection.

Une préparation DORA pratique — analyse des écarts, registre des tiers TIC, signalement des incidents et tests de résilience — pour les entités financières et leurs prestataires TIC critiques.

Demander un échange de cadrage Voir notre méthode

Praticiens seniors uniquement.
Aucun outil vendu.
Reporting fondé sur des preuves.

Beaucoup de travaux de conformité DORA traitent le règlement comme une liste de cases — un classeur de politiques qui satisfait une revue interne et s’effondre dès qu’un superviseur pose une question difficile. DORA n’est pas conçu pour cela. C’est un règlement de résilience opérationnelle avec du mordant : les superviseurs peuvent inspecter, vos prestataires TIC critiques sont dans le périmètre, et « nous avons une politique » n’équivaut pas à « nous pourrions continuer de fonctionner pendant un incident et le prouver ensuite ».

La préparation DORA de HackingByte amène les entités financières et leurs prestataires tiers TIC critiques à une position défendable — analyse des écarts au regard du règlement et de ses normes techniques, un registre des tiers TIC réellement complet, une classification et un signalement des incidents qui fonctionnent sous l’horloge, et des tests de résilience alignés sur ce qu’attendent les superviseurs. Pour être clair sur le périmètre : il s’agit de conseil de préparation pratique, pas d’interprétation juridique. Nous ne donnons pas d’avis juridiques sur le règlement et ne renégocions pas vos contrats — lorsque vous en avez besoin, nous travaillons aux côtés de votre conseil juridique et de vos avocats.

Préparation DORA.

Une préparation DORA, sur les cinq domaines d’exigences.

Gestion du risque lié aux TIC.

Le socle : un cadre de gouvernance et de gestion du risque pour vos TIC (technologies de l’information et de la communication), porté au niveau du conseil, et non enfoui dans l’informatique. Nous examinons votre cadre existant au regard de DORA et de ses normes techniques réglementaires, repérons là où la gouvernance, la gestion des actifs ou le traitement du risque sont insuffisants, et vous donnons un chemin priorisé pour refermer les écarts. Le test n’est pas de savoir si un document existe — c’est de savoir si le cadre tiendrait lorsqu’un superviseur y retrace un risque réel.
Gestion et signalement des incidents liés aux TIC.

DORA fixe des attentes précises pour classifier les incidents TIC et signaler les incidents majeurs à votre autorité compétente dans un délai défini. Nous construisons la logique de classification et le flux de signalement pour que, lorsque quelque chose survient, votre équipe sache s’il est à signaler, sur quelle horloge et à qui — au lieu de le déterminer sous pression. C’est là que la préparation paie, ou non.
Tests de résilience opérationnelle numérique.

DORA exige un programme de tests proportionné à votre taille et à votre risque — et, pour les entités importantes, des tests de pénétration guidés par la menace (TLPT) alignés sur le cadre TIBER-EU et les normes techniques réglementaires TLPT de DORA. Nous concevons le programme de tests, et là où le TLPT s’applique, nous le menons : guidé par le renseignement, aligné sur le régulateur, et restitué dans une forme adaptée à une transmission au superviseur. (Voir test d’intrusion pour les tests guidés par la menace eux-mêmes.)
Gestion du risque lié aux tiers TIC.

Le domaine que la plupart des entités sous-estiment. DORA attend un registre complet de vos arrangements avec des tiers TIC, des clauses contractuelles qui répondent à des exigences précises, et une supervision de vos prestataires critiques. Nous construisons le registre des tiers TIC au regard de la réalité, examinons vos clauses contractuelles au regard de ce qu’exige DORA, et signalons les dépendances qui feraient réellement mal si un prestataire défaillait. Une gestion saine du risque lié aux tiers TIC est aussi ce que vos propres clients entités financières exigeront si vous êtes le prestataire critique.
Partage d’informations et applicabilité.

DORA encourage le partage de renseignements sur la menace entre entités financières et — surtout — ne s’applique pas à tout le monde de la même manière. Avant tout ce qui précède, nous menons une évaluation d’applicabilité et de classification : DORA s’applique-t-il à vous, êtes-vous une entité « importante » au sens des tests, et l’un de vos prestataires est-il un tiers TIC critique ? Cadrer correctement le règlement fait la différence entre un programme proportionné et un programme gaspillé.

Que vous soyez une banque, un assureur, un gestionnaire d’actifs, un établissement de paiement ou de monnaie électronique, un prestataire de services sur crypto-actifs — ou un prestataire TIC critique les desservant — nous cadrons le travail sur votre classification, et non sur un modèle générique.

La résilience sous inspection, pas des politiques sur une étagère.

La version bon marché de la préparation DORA produit des documents. La version utile produit un programme qui tiendrait réellement si un superviseur l’inspectait ou si un incident le mettait à l’épreuve — et ce ne sont pas le même livrable. HackingByte est d’abord un cabinet de sécurité ; nous lisons donc DORA au prisme de l’opérationnel. Lorsque nous examinons votre cadre de risque TIC, nous demandons si les contrôles survivraient au contact d’une perturbation réelle, et pas seulement s’ils sont écrits. Lorsque nous construisons votre registre des tiers, nous demandons quelle dépendance vous mettrait réellement hors ligne. Et là où DORA appelle des tests guidés par la menace, nous ne les sous-traitons pas et n’en faisons pas une case à cocher — les tests de simulation d’adversaire sont au cœur de ce que nous faisons, et nous les menons à la norme qu’attendent les superviseurs. Nous sommes aussi clairs sur la limite. Nous livrons une préparation pratique — analyse des écarts, registres, flux, tests et plans de remédiation. Nous ne rédigeons pas d’avis juridiques sur la manière d’interpréter le règlement, nous ne renégocions pas vos contrats de prestation, et nous ne déployons pas de nouvelle infrastructure. Là où vous avez besoin d’une interprétation juridique ou d’une négociation contractuelle, c’est le travail de votre conseil juridique, et nous l’appuierons plutôt que de prétendre le remplacer.

Comment nous travaillons.

Un cycle en six étapes mené au regard de DORA et de ses normes techniques.

Nous travaillons au regard de DORA lui-même — le règlement et ses normes techniques réglementaires et d’exécution — aux côtés des orientations pertinentes de l’ABE, de l’AEMF et de l’AEAPP, et nous vous indiquons la base avant de commencer. La mission suit le cycle en six étapes de HackingByte.

Cadrage. Nous menons l’évaluation d’applicabilité et de classification, convenons des cinq domaines à inclure, fixons les livrables et arrêtons un prix — jusqu’à un cahier des charges signé.

Lancement. Nous confirmons les contacts au sein du risque, de l’informatique, des achats et du conseil, ainsi que l’accès aux personnes qui savent comment vos TIC et vos prestataires fonctionnent réellement.

Exécution. Analyse des écarts, construction du registre des tiers, revue des clauses contractuelles, conception du flux de signalement des incidents, et conception d’exercices de résilience opérationnelle — cadrées sur votre classification. Là où des tests guidés par la menace sont dans le périmètre, ils ajoutent en amont une étape de renseignement et de conception de scénarios.

Reporting. Nous produisons le dossier de préparation DORA et le modèle à trois livrables, soumis à une revue par les pairs avant que vous ne les voyiez.

Restitution. Une session de travail avec les personnes qui porteront la remédiation, plus une restitution prête pour le conseil — car la responsabilité DORA incombe à l’organe de direction.

Clôture et appui continu. Le plan de remédiation est remis à ses responsables ; beaucoup d’entités nous gardent pendant la fenêtre de remédiation ou pour le programme de tests récurrent.

DORA recoupe largement NIS 2 et ISO 27001 ; là où vous avez fait ce travail — ou en avez besoin — les preuves sont réutilisées plutôt que reconstruites, au sein de notre pratique plus large de conseil GRC. Le détail complet du cycle est sur notre page méthodologie.

Voir notre méthode

Ce que vous obtenez.

Des artefacts concrets qui tiennent sous inspection.

Des artefacts concrets qui tiennent sous inspection, et non un dossier de politiques :

Dossier de préparation DORA — l’analyse des écarts au regard du règlement et de ses normes techniques, avec un plan de remédiation priorisé.
Registre des tiers TIC — construit ou complété au regard de vos arrangements réels, avec les dépendances aux prestataires critiques et les écarts contractuels signalés.
Flux de classification et de signalement des incidents — pour qu’un incident TIC majeur soit classifié et signalé sur la bonne horloge, à la bonne autorité.
Résultat d’exercice sur table — la preuve que votre équipe a réellement déroulé le scénario de résilience, et pas seulement documenté.

Calendrier et tarification.

Une mission de préparation DORA s’étend généralement sur deux à six mois de bout en bout, selon la taille de l’entité, la maturité de votre cadre de risque TIC existant et la taille de votre empreinte de tiers. Une évaluation d’applicabilité ciblée ou la construction d’un registre des tiers est plus rapide ; un programme de préparation complet sur les cinq domaines pour un groupe complexe prend plus de temps. Là où des tests guidés par la menace sont dans le périmètre, ils se déroulent comme un chantier distinct en parallèle.

La tarification est forfaitaire, par fourchette selon la taille de l’entité et l’empreinte de tiers, avec la fourchette communiquée lors du cadrage avant signature — pas de taux journaliers ni d’heures ouvertes. Nous ne réalisons pas de pilotes gratuits ; l’échange de cadrage est gratuit, et tout ce qui suit est une mission définie et facturée. Si vous travaillez vers une échéance de supervision ou une date de dépôt, indiquez-le lors du cadrage et nous serons clairs sur ce qui est réalisable dans le temps imparti, et sur ce qui doit venir en premier.

Quand les équipes nous appellent.

Les moments les plus fréquents où les entités financières et les prestataires TIC nous sollicitent pour DORA :

Une échéance de dépôt ou de supervision qui approche, avec un programme pas encore défendable.
Une inspection de supervision programmée ou annoncée.
Une désignation — ou le risque de désignation — en tant que prestataire tiers TIC critique.
Un nouvel arrangement d’externalisation TIC qui modifie le tableau des tiers.
Un incident sectoriel qui ravive l’attention de la supervision.
Un client entité financière qui exige des preuves DORA avant de continuer à vous utiliser comme prestataire.

Questions fréquentes

DORA s’applique-t-il à nous ?: Il s’applique à un large ensemble d’entités financières et à leurs prestataires tiers TIC critiques. Nous commençons chaque mission par une évaluation d’applicabilité et de classification pour que vous sachiez exactement où vous en êtes avant de vous engager dans un programme.
S’agit-il de conseil juridique ?: Non. Nous fournissons un conseil de préparation DORA pratique — analyse des écarts, registres, flux, tests et plans de remédiation. Nous ne donnons pas d’avis juridiques sur la manière d’interpréter le règlement, et nous ne renégocions pas vos contrats. Lorsque vous en avez besoin, nous travaillons aux côtés de votre conseil juridique.
Qu’exige réellement DORA ?: Cinq domaines : gestion du risque lié aux TIC, gestion et signalement des incidents liés aux TIC, tests de résilience opérationnelle numérique, gestion du risque lié aux tiers TIC, et partage d’informations. Nous menons chacun jusqu’à un état défendable.
Menez-vous les tests de pénétration guidés par la menace (TLPT) ?: Oui. Là où les exigences de tests de DORA s’appliquent à vous en tant qu’entité importante, nous menons des tests guidés par la menace alignés sur TIBER-EU et les normes techniques TLPT de DORA, restitués pour une transmission au superviseur.
Combien cela coûte-t-il ?: Au forfait, par fourchette selon la taille de l’entité et l’empreinte de tiers, avec la fourchette communiquée lors du cadrage avant tout engagement. Nous ne proposons pas de taux journaliers.
Combien de temps cela prend-il ?: Généralement deux à six mois selon votre taille, votre maturité et votre empreinte de tiers. Nous fixons le calendrier autour de votre échéance de supervision.
Nous sommes un prestataire TIC, pas une entité financière — DORA nous concerne-t-il ?: Oui, si vous êtes un prestataire tiers TIC critique d’entités financières. Nous vous aidons à construire les preuves du registre, à répondre aux exigences contractuelles, et à donner à vos clients entités financières l’assurance qu’ils doivent désormais demander.
Quel est le rapport entre DORA, NIS 2 et ISO 27001 ?: Ils se recoupent largement sur les contrôles de risque TIC et de résilience. Là où vous avez fait — ou avez besoin de — ce travail, nous réutilisons les preuves d’un référentiel à l’autre plutôt que de les reconstruire.

Services associés

La plupart des missions se combinent avec l'un des parcours ci-dessous — chacun mené par des seniors, à périmètre fixe et fondé sur les preuves, selon le même modèle de reporting.

Indiquez-nous votre type d’entité et votre échéance, et nous cadrerons le travail DORA — et les tests — autour des deux.

Demander un échange de cadrage

Une préparation DORA, sur les cinq domaines d’exigences.

Gestion du risque lié aux TIC.

Gestion et signalement des incidents liés aux TIC.

Tests de résilience opérationnelle numérique.

Gestion du risque lié aux tiers TIC.

Partage d’informations et applicabilité.