Audit DORA : Les 5 points de contrôles qui font échouer votre structure

Illustration Article : Union Europeenne

Un audit DORA se joue sur cinq dossiers : gouvernance, cartographie des risques TIC, gestion des incidents, maîtrise des tiers et sécurité des accès. Le questionnaire d’auto évaluation publié par l’AMF montre très clairement le niveau de preuve attendu sur chacun de ces blocs.

Chez Cyberstrat, nous avons accompagné plusieurs structures dans leur conformité DORA et voici les attentes principales des auditeurs.

Point de contrôle Ce que l’auditeur regarde Ce qui fait tomber le dossier
Gouvernance documentaire Politiques approuvées, rôles définis, revues périodiques, validation par les instances. Procédures connues des équipes, mais corpus documentaire incomplet ou non validé.
Cartographie des actifs et des risques TIC Inventaire exhaustif, actifs critiques, architecture, dépendances, niveaux de criticité. Vision partielle du SI, documentation technique dispersée, flux mal identifiés.
Incidents, continuité et tests Gestion des incidents, PRA, PCA, sauvegardes, restaurations, tests de résilience. Dispositif opérationnel peu tracé, tests trop peu documentés, plan d’action absent.
Tiers, contrats et registre d’information Contrats, SLA, droits d’audit, réversibilité, localisation, sous traitance, registre d’information. Clauses trop faibles, chaîne de sous traitance peu encadrée, registre incomplet.
RH, accès et habilitations Politique RH sécurité, contrôle d’accès, revues de droits, comptes privilégiés, sensibilisation. Gestion des accès artisanale, sécurité RH peu formalisée, droits sensibles mal revus.

1. Gouvernance documentaire

Le premier filtre d’un audit DORA porte sur la gouvernance. L’AMF demande un cadre de gestion du risque TIC formalisé, approuvé par les organes de direction, révisé selon une fréquence définie, avec des responsabilités clairement attribuées.

Sur le terrain, beaucoup d’établissements disposent de pratiques solides, de comités utiles et d’équipes compétentes. L’écart apparaît au moment de produire les politiques validées, l’historique des versions, les preuves d’approbation et les comptes rendus de revue.

Cas terrain

Une mutuelle a structuré ses opérations cyber autour de son RSSI, de son DSI et de plusieurs référents métiers. L’audit ouvre pourtant un écart majeur dès les premières minutes, car la politique de gestion du risque TIC, la politique de continuité et la politique de sécurité des accès vivent dans plusieurs fichiers, avec des validations incomplètes et des dates de revue incohérentes.

Ce que l’auditeur attend

  1. Une politique de gestion du risque TIC validée par la direction
  2. Un corpus documentaire cohérent, daté et versionné
  3. Une comitologie lisible, avec rôles et responsabilités
  4. Des revues périodiques formalisées et tracées

Le point qui fait échouer

Le dossier cale quand l’établissement confond procédure opérationnelle et politique. Une procédure décrit l’exécution. Une politique fixe le cadre, la responsabilité, le niveau d’exigence et le mode de contrôle.

2. Cartographie des actifs et des risques TIC

Le deuxième point de contrôle porte sur la connaissance réelle du système d’information. Le questionnaire AMF demande un inventaire exhaustif des actifs informationnels et TIC, l’identification des actifs critiques, un schéma d’architecture, les dépendances applicatives et une évaluation de criticité.

C’est un point très sensible dans les banques, mutuelles et assurances qui ont empilé plusieurs couches applicatives, des flux historiques, des solutions SaaS, des outils métiers spécifiques et une sous traitance diffuse. La cartographie du SI devient vite approximative, alors même qu’elle sert de base à l’analyse de risque, à la continuité et au pilotage des incidents.

Cas terrain

Une banque de taille intermédiaire pilote correctement sa production quotidienne. Lors de la revue DORA, l’équipe peine à rattacher certains actifs à une fonction critique, à identifier les dépendances exactes entre plusieurs applications métiers et à montrer une cartographie à jour des flux entre les environnements internes et les services externalisés.

Ce que l’auditeur attend

  1. Un inventaire complet des actifs TIC
  2. Une qualification des actifs critiques ou importants
  3. Une cartographie des flux et des dépendances
  4. Une évaluation de la criticité, des scénarios de rupture et des impacts

Le point qui fait échouer

L’échec arrive quand la cartographie existe sous forme de slides, de schémas partiels ou de connaissance orale. DORA pousse les entités financières vers une vision exploitable, pilotable et réutilisable en audit, en comité et en gestion de crise.

3. Gestion des incidents, continuité et tests

DORA place la résilience opérationnelle numérique au centre du dispositif. Le cadre couvre la gestion du risque TIC, le traitement des incidents, les tests de résilience et la maîtrise des prestataires tiers.

Le questionnaire AMF va dans le détail sur les procédures d’incident, la journalisation, les sauvegardes, les restaurations, la continuité, la reprise après sinistre et les preuves de test. C’est souvent ici que l’audit devient très concret, car l’auditeur demande des dates, des comptes rendus, des résultats de test et des plans d’action associés.

Cas terrain

Une assurance dispose d’un PRA, d’un PCA et d’une stratégie de sauvegarde. Le dossier se fragilise quand les derniers tests complets remontent à trop loin, que les restaurations restent peu tracées, que les critères de succès varient d’un environnement à l’autre et que les enseignements des exercices ne débouchent pas sur un plan d’action suivi.

Ce que l’auditeur attend

  1. Une procédure de gestion des incidents TIC
  2. Une journalisation utile à la détection, à l’investigation et à l’escalade
  3. Des politiques de sauvegarde et de restauration clairement définies
  4. Des tests de continuité et de reprise tracés, analysés et suivis
  5. Un dispositif de résilience cohérent avec les fonctions critiques ou importantes

Le point qui fait échouer

Le vrai blocage vient rarement d’un manque d’outil. Il vient d’un manque de preuves : compte rendu de test, décision de remédiation, responsable désigné, délai de correction et vérification de l’efficacité.

4. Sous traitance, contrats et registre d information

Le quatrième point fait très souvent basculer un audit. DORA impose aux entités financières de piloter le risque lié aux prestataires tiers TIC avec un niveau d’exigence élevé, y compris à travers les clauses contractuelles, le registre d’information, les audits avant contractualisation et les stratégies de sortie.

L’article 30 du règlement prévoit des éléments contractuels précis : description des services, niveaux de service, assistance en cas d’incident, localisation des données, droits d’audit, recours à la sous traitance, continuité, résiliation et stratégie de sortie . Pour une banque ou une mutuelle, ce sujet dépasse largement le juridique. Il touche à la capacité de maîtriser une fonction critique portée par un tiers.

Cas terrain

Une mutuelle externalise une partie de son hébergement, une brique métier et plusieurs services de support. Les contrats couvrent le périmètre commercial, mais les annexes sécurité restent légères, les niveaux de service manquent de précision, les droits d’audit restent génériques, la chaîne de sous traitance évolue peu visiblement et la stratégie de réversibilité tient sur quelques lignes.

Ce que l’auditeur attend

  1. Une cartographie claire des prestataires TIC et de la chaîne de sous traitance
  2. Un registre d’information à jour sur les prestations TIC
  3. Des contrats intégrant les exigences clés prévues par DORA
  4. Des audits préalables et des revues régulières des tiers
  5. Une stratégie de sortie réaliste pour les fonctions critiques ou importantes

Les clauses à encadrer en priorité

  1. Description précise du service
  2. Niveaux de service et indicateurs suivis
  3. Délais d’alerte en cas d’incident
  4. Droit d’audit et coopération au contrôle
  5. Encadrement de la sous traitance
  6. Localisation des données et des traitements
  7. Mesures de continuité et de reprise
  8. Réversibilité et restitution des données
  9. Conditions de résiliation
  10. Modalités de support en situation de crise

5. Ressources humaines, habilitations et accès privilégiés

Le cinquième point concentre beaucoup d’écarts en audit. L’AMF demande des éléments précis sur la politique RH sécurité, la gestion des identités et des accès, l’authentification, le contrôle d’accès logique et physique, la revue des droits et l’encadrement des administrateurs.

Dans les établissements financiers, ces sujets touchent à la fois la sécurité, la conformité, l’organisation RH et l’exploitation quotidienne. Dès qu’une arrivée, un départ, un changement de poste ou une habilitation sensible suit un circuit flou, le risque de non conformité devient visible.

Cas terrain

Une banque a déployé l’authentification forte sur plusieurs usages sensibles et gère ses comptes dans un annuaire central. L’audit révèle pourtant des revues de droits irrégulières, des comptes techniques peu gouvernés, des privilèges anciens conservés trop longtemps et une politique RH sécurité encore trop générale.

Ce que l’auditeur attend

  1. Une politique RH intégrant les exigences de sécurité
  2. Une gestion formalisée des habilitations et des revues de droits
  3. Un encadrement spécifique des comptes privilégiés
  4. Une sensibilisation régulière des collaborateurs
  5. Une traçabilité claire des mouvements de droits et des validations

Le point qui fait échouer

L’écart majeur apparaît quand la sécurité RH reste cantonnée aux équipes cyber et IT. DORA pousse vers une gouvernance transverse, avec RH, conformité, DSI, RSSI et métiers autour de règles partagées.

Ce qu’un établissement financier doit préparer avant l’audit

Un audit DORA se prépare comme un dossier de preuves. L’AMF attend des réponses détaillées, reliées à des documents identifiables, à des rôles nommés et à des contrôles démontrables.

Voici l’ordre de priorité que nous recommandons chez Cyberstrat :

  1. Valider le corpus des politiques par les instances concernées
  2. Mettre à jour la cartographie des actifs, flux et dépendances
  3. Revoir les procédures d’incident, de continuité et de test
  4. Assainir les contrats et le registre des prestataires TIC
  5. Formaliser la gouvernance RH sécurité et les revues d’habilitation
  6. Constituer un dossier d’audit avec preuves, versions, comptes rendus et plan d’action

Les audits DORA échouent rarement sur un seul sujet. Ils échouent sur l’accumulation de petits écarts documentaires, contractuels, organisationnels et techniques qui finissent par exposer une gouvernance fragile. Cyberstrat accompagne les banques, mutuelles et assurances avec un Audit DORA centré sur les preuves, puis avec le suivi du plan d’action attendu par la réglementation et par les superviseurs du secteur financier

Partager la publication :

Ces articles pourraient aussi vous intéresser :