À l’issue de la formation, le participant sera capable de mettre en œuvre les compétences suivantes :

• Comprendre pourquoi DORA existe et ce qu’il change.
• Mettre en place une gouvernance conforme aux exigences DORA.
• Mettre en place un dispositif de gestion et de notification des incidents.
• Concevoir et mettre en œuvre un programme de tests conforme à DORA.
• Maîtriser les exigences DORA sur la gestion des tiers, notamment les fournisseurs cloud.
• Intégrer le partage d’informations dans la stratégie de résilience.
• Construire et piloter un programme de mise en conformité DORA.

Public :

• RSSI
• Responsables informatiques
• Ingénieurs IT
• Chefs de projet
• Architectes sécurité
• Auditeurs de sécurité
• Juristes réglementaires IT

Prérequis :

• Avoir les connaissances de base en cybersécurité et sécurité des systèmes d’information.
• Aucune expertise technique approfondie requise.

Matériel requis :

• Ordinateur portable avec accès Internet, accès administrateur pour les ateliers.
• Accès au système d’information (SI) de l’organisation (optionnel mais recommandé pour les ateliers).

Dans cette formation, le participant aura accès au programme suivant :

Module 1 : Contexte et fondements de DORA (4h)

• Historique et contexte réglementaire européen : de la directive NIS à NIS2, en passant par TIBER-EU
• Les crises systémiques dans le secteur financier liées au numérique
• Objectifs du règlement : harmonisation, résilience opérationnelle numérique
• Champ d’application : entités concernées (banques, assurances, PSP, CCP, PSTN, gestionnaires d’actifs…)
• Relations avec d’autres réglementations : RGPD, NIS2, Bâle III, Solvabilité II
• Calendrier d’entrée en vigueur et rôle des autorités de supervision (BCE, EIOPA, ESMA, ABE)

Module 2 : Gouvernance et cadre de gestion du risque ICT (4h)

• Le cadre de gestion du risque lié aux TIC (ICT Risk Management Framework)
• Responsabilités de l’organe de direction : rôle du conseil d’administration et de la direction générale
• La stratégie de résilience numérique : définition, documentation, révision annuelle
• Politiques et procédures attendues par DORA
• Identification et classification des actifs TIC critiques
• Tolérance au risque, appétit au risque et indicateurs de suivi (KRI)

Atelier pratique : cartographie des responsabilités et rédaction d’une politique ICT

Module 3 : Gestion des incidents liés aux TIC (4h)

• Définitions : incident TIC, incident majeur, cybermenace significative
• Critères de classification des incidents selon les RTS (Regulatory Technical Standards)
• Processus de gestion des incidents : détection, enregistrement, classification, notification, résolution
• Les délais et formats de notification aux autorités compétentes (rapport initial, intermédiaire, final)
• Notification volontaire des cybermenaces
• Coordination avec les CSIRT nationaux et les autorités (BCE, ACPR, AMF…)

Atelier pratique : simulation de classification et de notification d’un incident majeur

Module 4 : Tests de résilience opérationnelle numérique (4h)

• Les différents types de tests prévus par DORA : tests de base vs tests avancés (TLPT)
• Tests de base : revues, analyses de vulnérabilités, tests d’intrusion, scénarios de continuité
• Threat-Led Penetration Testing (TLPT) : principes, périmètre, fréquence (tous les 3 ans)
• Référentiel TIBER-EU et son alignement avec DORA
• Rôle des prestataires tiers dans les TLPT
• Critères d’exemption et proportionnalité selon la taille de l’entité

Atelier pratique : construction d’un plan de tests pluriannuel

Module 5 : Gestion du risque lié aux prestataires tiers TIC (4h)

• 1. Le risque de concentration tiers : enjeux systémiques
• Registre des contrats TIC : contenu obligatoire, mise à jour, transmission aux superviseurs
• Exigences contractuelles minimales imposées par DORA (clauses obligatoires)
• Due diligence : évaluation initiale et continue des prestataires critiques
• Stratégie de sortie : réversibilité, plans de transition
• Le cadre de supervision directe des prestataires tiers critiques (CTPPs) par les ESAs

Atelier pratique : audit d’un contrat cloud au regard des exigences DORA

Module 6 : Partage d’informations et intelligence sur les menaces (4h)

• Le cadre de partage d’informations prévu par l’article 45 de DORA
• Communautés de partage : ISAC financiers (FS-ISAC, CERT-FIN…), arrangements entre entités
• Threat Intelligence : définition, cycle de vie, standards (STIX/TAXII, MISP)
• Cas d’usage : détection précoce, amélioration des scénarios de tests, réponse coordonnée
• Conditions de participation : confidentialité, protection des données, gouvernance
• Articulation avec NIS2 et les obligations de signalement

Atelier pratique : analyse d’un rapport de threat intelligence et utilisation pour un scénario TLPT

Module 7 : Mise en conformité, supervision et feuille de route (4h)

• Les normes techniques de réglementation (RTS) et d’exécution (ITS) : état d’avancement et contenu
• Gap analysis : méthode et outils pour évaluer son niveau de maturité
• Feuille de route de mise en conformité : priorisation, jalons, ressources
• Rôle des fonctions clés : RSSI, CRO, DSI, Risk Management, Compliance, Audit interne
• Supervision par les autorités nationales compétentes (ANC) et les ESAs
• Sanctions et mesures correctives prévues par DORA
• Retours d’expérience de premières mises en conformité dans le secteur

Atelier final : présentation d’une feuille de route de conformité DORA par groupe

Modalités pédagogiques :

• Évaluation des besoins et du profil du participant
• Apport théorique et méthodologique : séquences pédagogiques regroupées en différents modules
• Contenus des programmes adaptés en fonction des besoins identifiés pendant la formation
• Réflexion et échanges sur cas pratiques
• Questionnaires, exercices, ateliers et étude de cas
• Tests de contrôle de connaissances et validation des acquis à chaque étape
• Retours d’expériences

Éléments matériels :

• Mise à disposition de tout le matériel pédagogique nécessaire (pour les formations en présentiel)
• Support de cours au format numérique projeté sur écran et transmis au participant par mail à la fin de la formation

Référent pédagogique et formateur/formatrice :
Chaque formation est sous la responsabilité de la directrice pédagogique de l’organisme de formation ; le bon déroulement est assuré par le formateur ou la formatrice désigné(e) par l’organisme de formation.

Une formation concrète, orientée terrain

Ici, pas de théorie déconnectée.

Vous allez :

• travailler sur des cas réels
• simuler des incidents
• construire des politiques et des processus
• élaborer une feuille de route concrète

🎯 Vous repartez avec des livrables directement exploitables.

Évaluation : 

• Évaluation individuelle du profil, des attentes et des besoins du participant avant le démarrage de la formation
• Évaluation des connaissances & compétences en début et en fin de formation via un QCM
• Tests de contrôle de connaissances et validation des acquis à chaque étape
• Travaux pratiques et mises en situation
• Echange avec le formateur ou la formatrice par visioconférence (webinar), téléphone et mail
• Questionnaire d’évaluation de la satisfaction en fin de formation