Expert conformité DORA : accompagnement réglementaire

02L'essentiel

Ce qu'il faut retenir

L'enjeu n'est pas de produire un document, mais de tenir un dispositif vivant : gouvernance du risque TIC, notification des incidents, tests de résilience, registre des prestataires. Un expert vous aide à prioriser et à rendre la conformité démontrable.

03En détail

Ce que le règlement implique ici

Le règlement (UE) 2022/2554 attend de chaque entité financière qu'elle puisse, à tout moment, démontrer la maîtrise de son risque lié aux TIC. C'est un changement de posture : la conformité n'est pas un projet ponctuel qui se clôt, mais un état que l'on entretient et que l'autorité compétente peut contrôler.

Un accompagnement utile commence par un état des lieux honnête : ce qui existe déjà, ce qui manque, et ce qui est prioritaire compte tenu de votre catégorie d'entité et du principe de proportionnalité. Il se poursuit par la construction des preuves attendues, pilier par pilier, et par leur tenue dans le temps.

Les points qui mobilisent le plus souvent un expert : la cartographie des fonctions critiques (pilier 1), la mise en place du processus de notification des incidents (pilier 2), la structuration du registre d'information des prestataires TIC (pilier 4), et, pour les entités concernées, la préparation aux tests fondés sur la menace (pilier 3).

La difficulté n'est pas de connaître les piliers, c'est de les rendre opposables

Les cinq piliers du règlement (UE) 2022/2554 sont publics et largement documentés : gouvernance du risque lié aux TIC, gestion et notification des incidents, tests de résilience, maîtrise du risque prestataires tiers, et partage d'informations. Lire le texte ne pose pas de problème particulier. Le vrai travail commence quand il faut traduire ces principes en une trajectoire concrète pour votre entité : par quoi commencer, ce qui est prioritaire compte tenu de votre catégorie et du principe de proportionnalité, et ce qui peut attendre.

L'autre écart, plus délicat, sépare le fait d'être conforme du fait de pouvoir le démontrer. En France, l'ACPR et l'AMF sont les autorités compétentes pour superviser l'application de DORA. Un dispositif réel mais non documenté est difficile à opposer à un superviseur : il faut des preuves traçables, datées et tenues à jour. C'est précisément ce passage des intentions aux preuves opposables qui justifie le plus souvent un accompagnement, davantage que la connaissance du texte lui-même. La démarche de mise en conformité DORA tient à cette discipline de la preuve.

Ce qu'apporte un intervenant spécialisé en résilience opérationnelle

Un intervenant rompu à la conformité financière et à la résilience opérationnelle n'arrive pas avec une grille générique : il commence par cadrer l'écart entre ce qui existe déjà chez vous et ce que le règlement attend. Beaucoup d'entités financières disposent déjà d'un dispositif de gestion des risques et de contrôle interne ; le travail consiste souvent à le relire à l'aune des piliers de DORA plutôt qu'à repartir d'une page blanche.

Concrètement, son apport se matérialise sur quelques chantiers récurrents :

• cadrer l'écart et le hiérarchiser en jalons priorisés, plutôt qu'une liste indifférenciée d'actions ;
• structurer le registre d'information des accords avec les prestataires tiers de services TIC, communiqué à l'autorité compétente au moins une fois par an ;
• outiller la chaîne de notification des incidents majeurs et les critères de classification attendus ;
• préparer, pour les entités concernées, les tests de résilience, sachant que la liste des entités soumises aux tests fondés sur la menace n'est pas publique et que l'autorité contacte bilatéralement celles qui le sont.

Pour situer le point de départ et établir une trajectoire, l'étape logique est un état des lieux structuré : c'est l'objet de l'audit de conformité DORA, qui dresse l'inventaire des écarts avant tout chantier de fond.

Le modèle, dit honnêtement : qualification puis mise en relation

Ce site n'est pas un cabinet et ne prétend pas l'être. Son rôle est de qualifier votre besoin, puis de vous mettre en relation avec un intervenant spécialisé, choisi selon votre type d'entité et le superviseur dont vous relevez (ACPR ou AMF). Nous n'affichons ni effectif, ni référence client, ni nom de structure inventés : l'identité de l'intervenant retenu vous est présentée au moment de la mise en relation, pas avant.

La logique est simple et sans engagement à ce stade : vous décrivez votre situation, un premier échange permet de cadrer le périmètre (catégorie d'entité, fonctions critiques, prestataires TIC concernés), et vous validez ce périmètre avant tout engagement. Cette page informe et oriente ; elle ne remplace pas l'avis d'un professionnel sur votre situation précise. Si vous préférez d'abord mesurer l'ampleur du chantier, la conformité au règlement (UE) 2022/2554 se prépare le plus souvent à partir d'un diagnostic, avant de décider d'un accompagnement.

Les types de missions d'accompagnement DORA

Un accompagnement au règlement (UE) 2022/2554 ne se résume pas à une prestation unique. Selon votre point de départ et votre catégorie d'entité, le besoin se décline en plusieurs missions, qui peuvent s'enchaîner ou être traitées isolément. Voici ce qu'un intervenant spécialisé peut prendre en charge, étant entendu qu'aucune de ces missions ne garantit en soi un verdict de conformité : l'appréciation finale appartient à l'autorité compétente.

• Cadrage initial et diagnostic d'écart. Comparer le dispositif existant de gestion du risque lié aux TIC aux attentes des cinq piliers, pour identifier ce qui est déjà en place, ce qui manque, et ce qui doit être renforcé. C'est la mission qui conditionne toutes les autres, puisqu'elle fixe le point de départ documenté.
• Priorisation des chantiers. Transformer la liste des écarts en une trajectoire ordonnée, tenant compte du principe de proportionnalité et de la criticité des fonctions concernées. Toutes les exigences ne se valent pas dans le temps : certaines structurent le reste, d'autres peuvent s'inscrire dans un second temps.
• Structuration du registre d'information. Constituer et tenir le registre des accords contractuels conclus avec les prestataires de services TIC, qui doit être communiqué à l'autorité compétente au moins une fois par an. Cette mission croise souvent une revue des clauses contractuelles obligatoires et l'évaluation de la criticité des prestataires.
• Préparation aux tests de résilience. Outiller le programme de tests du dispositif TIC et, pour les entités concernées, anticiper les tests fondés sur la menace. La liste des entités soumises à ces derniers n'est pas publique : l'autorité contacte bilatéralement celles qui le sont, ce qui n'empêche pas de préparer en amont la capacité à les conduire.
• Appui à la notification des incidents. Mettre en place la chaîne de détection, de classification selon la gravité et de notification des incidents majeurs aux autorités compétentes dans les délais imposés, avec les critères et la traçabilité attendus.

Chaque mission produit des preuves opposables : c'est leur accumulation cohérente, plus que leur existence isolée, qui rend un dispositif démontrable. Pour situer laquelle de ces missions est prioritaire chez vous, l'audit de conformité DORA sert de point d'entrée et oriente la suite.

Comment se passe la mise en relation

Le déroulé est volontairement transparent. Il n'y a, à ce stade, ni engagement ni nom de structure annoncé à l'avance : l'objectif est d'abord de comprendre votre besoin, puis de vous orienter vers le bon interlocuteur.

• Qualification du besoin. Vous décrivez votre situation. Un premier échange permet de cerner l'essentiel : votre catégorie d'entité, le superviseur dont vous relevez (ACPR pour les banques et assurances, AMF pour les entreprises d'investissement, sociétés de gestion et infrastructures de marché), vos fonctions critiques et les prestataires TIC en jeu. Cette étape ne préjuge d'aucune solution : elle sert à qualifier, pas à vendre.
• Mise en relation avec un intervenant choisi. En fonction de votre type d'entité et de vos priorités, vous êtes orienté vers un intervenant spécialisé dont le profil correspond au chantier dominant (diagnostic, registre, tests, notification). L'identité de cet intervenant vous est présentée à ce moment précis, pas avant : nous n'affichons aucun effectif, aucune référence client ni logo qui ne serait pas réel.
• Validation du périmètre avant tout engagement. Avant que quoi que ce soit ne démarre, le périmètre de la mission est posé noir sur blanc et validé avec vous. Vous restez libre de ne pas donner suite. Rien ne vous engage tant que vous n'avez pas confirmé ce cadre.

Cette page informe et oriente ; elle ne se substitue pas à un avis professionnel sur votre situation précise. Pour entrer dans la démarche par le bon bout, l'audit de conformité DORA reste l'étape la plus naturelle avant de décider d'un accompagnement, et la mise en conformité au règlement (UE) 2022/2554 en détaille le cadre d'ensemble.

Questions fréquentes

Qui réalise concrètement l'accompagnement ?

L'accompagnement est réalisé par un intervenant spécialisé en conformité financière et en résilience opérationnelle, vers lequel vous êtes orienté après qualification de votre besoin. Ce site ne réalise pas lui-même la prestation : son rôle est de qualifier puis de mettre en relation. L'identité de l'intervenant retenu vous est présentée au moment de la mise en relation, en fonction de votre catégorie d'entité et du superviseur dont vous relevez.

Combien de temps prend une mise en conformité ?

Il n'existe pas de durée standard : elle dépend de votre point de départ, de votre catégorie d'entité, de l'étendue de vos fonctions critiques et du nombre de prestataires TIC concernés. La conformité au règlement (UE) 2022/2554 n'est d'ailleurs pas un projet qui se clôt une fois pour toutes, mais un état à entretenir dans le temps, que l'autorité compétente peut contrôler. Le diagnostic initial est ce qui permet d'estimer une trajectoire réaliste plutôt qu'un délai annoncé à l'aveugle.

Mes données et informations restent-elles confidentielles ?

Les éléments que vous transmettez lors de la qualification servent uniquement à cadrer votre besoin et à vous orienter vers le bon intervenant. Ils ne sont pas utilisés à d'autres fins. La résilience opérationnelle touchant des informations sensibles, le périmètre exact de ce qui est partagé avec l'intervenant est précisé et validé avec vous avant tout engagement.

Est-ce que cet accompagnement garantit la conformité ?

Non, et aucun intervenant sérieux ne le promettrait. Un accompagnement aide à construire un dispositif et des preuves opposables, mais l'appréciation de la conformité relève de l'autorité compétente, l'ACPR ou l'AMF selon les cas. Ce que vous pouvez attendre, c'est un dispositif documenté, priorisé et démontrable, pas un label délivré par un tiers. Tout discours promettant une conformité « garantie » doit être considéré avec prudence.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit de conformité DORA pose le point de départ documenté de votre démarche.