Outils de conformité DORA

02L'essentiel

Ce qu'il faut retenir

DORA n'impose aucun logiciel particulier. Ce qui est exigé, c'est un dispositif effectif et démontrable. Un outil aide à tenir le registre d'information à jour et à historiser les preuves attendues par le superviseur, pas à se substituer à la démarche.

03En détail

Ce que le règlement implique ici

Le règlement (UE) 2022/2554 décrit des résultats à atteindre, pas des produits à acheter. Aucun outil n'est obligatoire au titre de DORA. Ce qui compte, c'est la capacité à tenir un dispositif effectif et à en produire les preuves : un tableur rigoureux peut suffire à une petite structure, là où une organisation multi-entités gagnera à industrialiser.

Là où un outillage aide réellement : tenir à jour le registre d'information des accords avec les prestataires TIC (communiqué au moins une fois par an), historiser les incidents et leur classification, conserver la trace des tests de résilience, et maintenir la cartographie des fonctions critiques au fil des changements.

Le risque inverse existe aussi : un outil bien rempli mais déconnecté de l'évaluation réelle donne une fausse impression de conformité. L'outil structure et conserve ; l'analyse du risque, elle, reste un travail de fond qui engage la gouvernance de l'entité.

Les outils qui aident à structurer la démarche

Le règlement (UE) 2022/2554 ne prescrit aucun logiciel : il décrit des résultats à atteindre et des preuves à pouvoir produire. Les outils n'ont donc qu'un rôle d'appui : ils aident à organiser le travail, à le conserver et à le rendre lisible, jamais à le remplacer. Pris dans cet esprit, quelques supports reviennent dans la plupart des démarches, quelle que soit la taille de l'entité.

• Une checklist par pilier pour balayer méthodiquement les cinq volets du règlement (gestion du risque TIC, incidents, tests, prestataires tiers, partage d'informations) sans en oublier un.
• Une cartographie des fonctions et actifs critiques ou importants, avec leurs dépendances aux systèmes et aux prestataires TIC : c'est la base sur laquelle reposent tous les autres travaux.
• Un modèle de registre d'information des accords contractuels conclus avec les prestataires de services TIC, conçu pour être tenu à jour et communiqué à l'autorité compétente au moins une fois par an.
• Une grille de classification des incidents qui aligne les équipes sur des critères de gravité partagés, préalable indispensable à la notification des incidents majeurs.
• Un plan de tests de résilience qui planifie et historise les exercices menés sur le dispositif TIC.

Ces supports ne sont qu'un point de départ. Ils prennent leur sens lorsqu'ils s'insèrent dans la démarche de conformité DORA et qu'ils sont remplis à partir d'une analyse réelle, propre à l'entité.

Ce qu'un outil ne remplace pas

Un modèle vide ne prouve rien. Un registre bien présenté ou une checklist entièrement cochée ne valent que par le travail d'évaluation qui les alimente : sans cela, ils donnent une fausse impression de conformité, plus dangereuse qu'une absence d'outil. Trois choses échappent par nature à tout logiciel.

• L'appréciation de l'autorité compétente. En France, l'ACPR et l'AMF supervisent l'application de DORA selon les entités. Aucun outil ne préjuge de leur lecture d'une situation : pour les cas limites, la référence reste le texte et le superviseur, pas un tableau de synthèse.
• L'analyse de proportionnalité propre à l'entité. Le règlement prévoit un principe de proportionnalité, dont l'application dépend de la nature, de la taille et du profil de risque de chaque entité. Cet arbitrage relève de la gouvernance, il ne se déduit pas d'un paramétrage par défaut.
• La preuve opposable. Ce qui est attendu, c'est un dispositif effectif et démontrable. Un outil conserve et historise les traces ; il ne crée pas, à lui seul, la réalité du contrôle interne que ces traces sont censées documenter.

Autrement dit, l'outil structure et conserve ; l'analyse du risque, elle, reste un travail de fond qui engage l'organisation. Le site informe et outille, il ne remplace pas un avis juridique sur une situation précise : pour toute qualification fine, les autorités compétentes et le texte du règlement font foi.

Comment ces outils s'articulent dans une trajectoire

Pris isolément, ces supports n'ont qu'une utilité limitée. Leur intérêt vient de leur enchaînement, de l'état des lieux jusqu'à la remédiation. Une progression possible :

• État des lieux. La checklist par pilier et la cartographie des fonctions critiques servent à mesurer l'écart entre le dispositif existant et les attentes du règlement.
• Structuration. Le registre d'information et la grille de classification des incidents transforment ce diagnostic en livrables tenables dans le temps, rattachés à des responsables identifiés.
• Mise à l'épreuve. Le plan de tests vérifie que les dispositifs (continuité, reprise, remontée d'incidents) fonctionnent réellement, et ne restent pas théoriques.
• Remédiation et tenue dans la durée. Les écarts détectés alimentent un plan d'action, et les outils sont actualisés au fil des changements d'organisation, de prestataires et de systèmes.

Pour visualiser cet enchaînement de bout en bout, notre checklist de conformité DORA reprend ces étapes pas à pas. Elle reste un point d'entrée : sa valeur dépend de l'analyse menée derrière chaque case cochée.

Comment choisir un outil de conformité DORA

Aucun outil n'est imposé par le règlement (UE) 2022/2554, mais tous ne se valent pas pour soutenir une démarche. Plutôt que de comparer des éditeurs, mieux vaut se demander si le support couvre réellement ce que le superviseur attend de pouvoir constater. Quelques critères utiles permettent de cadrer ce choix sans se laisser guider par la seule présentation commerciale.

• La couverture des cinq piliers. Un outil qui ne traite qu'un volet (par exemple le registre des prestataires) laisse les quatre autres à organiser ailleurs. Vérifiez qu'il s'articule avec la gestion du risque TIC, les incidents, les tests et le partage d'informations, ou qu'il s'intègre proprement à ce qui les couvre.
• La tenue du registre d'information. C'est l'attendu le plus concret : le support doit permettre de décrire les accords contractuels avec les prestataires TIC, de les tenir à jour et de les communiquer à l'autorité compétente au moins une fois par an, dans un format exploitable.
• La classification des incidents. L'outil doit aider à documenter et à qualifier les incidents selon des critères de gravité partagés, condition préalable à la notification des incidents majeurs.
• La traçabilité et la preuve. Ce qui compte, c'est de pouvoir démontrer un dispositif effectif. Privilégiez ce qui historise les actions, conserve les versions et restitue une trace lisible, plutôt qu'un simple affichage de complétude.
• L'adaptation à la taille et à la proportionnalité. Une petite entité n'a pas besoin de la même industrialisation qu'une organisation multi-entités. Le bon outil est celui qui correspond au profil de risque réel, sans imposer une lourdeur disproportionnée ni masquer un sujet sous des automatismes.

Ces critères se lisent à l'aune de votre situation, jamais d'une grille universelle. Le rattachement de ces choix à la démarche de conformité DORA reste le meilleur garde-fou contre l'achat d'un outil avant d'avoir clarifié le besoin.

Quels outils pour quel pilier

Chacun des cinq piliers appelle un type de support différent. Relier l'outil au pilier qu'il sert évite d'empiler des solutions redondantes et de croire qu'un seul produit couvre l'ensemble du règlement.

• Gestion du risque TIC. Une cartographie des fonctions et actifs critiques ou importants, avec leurs dépendances aux systèmes et aux prestataires, et un suivi des évaluations de risque, des plans de continuité et de reprise.
• Gestion des incidents. Un dispositif de détection, de documentation et de classification des incidents, capable de tracer les délais et de préparer la notification des incidents majeurs aux autorités compétentes.
• Tests de résilience. Un plan de tests qui planifie, historise et restitue les exercices menés sur le dispositif TIC, et qui distingue les tests réguliers des tests fondés sur la menace exigés de certaines entités.
• Risque lié aux prestataires tiers. Le registre d'information des accords contractuels, adossé au suivi des clauses obligatoires et à l'évaluation de la criticité de chaque prestataire.
• Partage d'informations. Un cadre, même léger, pour organiser le partage volontaire de renseignements sur les cybermenaces entre entités, lorsqu'il est mis en place.

Aucun de ces supports n'est obligatoire en tant que tel : c'est le résultat attendu qui l'est. L'outil n'est qu'un moyen de le rendre tenable et démontrable dans la durée.

Questions fréquentes

Un outil suffit-il à être conforme à DORA ?

Non. Le règlement (UE) 2022/2554 décrit des résultats à atteindre et des preuves à pouvoir produire, pas des logiciels à installer. Un outil aide à organiser, conserver et historiser ; la conformité repose sur l'analyse de risque réelle et sur un dispositif effectif, dont l'autorité compétente reste juge.

Faut-il un outil dédié à DORA ?

Pas nécessairement. Aucun outil spécifique n'est imposé. Une petite structure peut s'appuyer sur des supports rigoureux (tableurs, modèles) bien tenus, tandis qu'une organisation plus large gagnera à industrialiser. Le critère n'est pas l'étiquette « DORA » du produit, mais sa capacité à couvrir les attendus et à en restituer la preuve.

Un modèle de registre d'information est-il obligatoire ?

C'est le registre d'information lui-même qui est attendu : il doit être tenu à jour et communiqué à l'autorité compétente au moins une fois par an. Le format précis relève des normes des autorités européennes ; un modèle n'est qu'un moyen pratique de répondre à cette obligation, pas une exigence en soi.

Un outil bien rempli prouve-t-il la conformité ?

Non. Un registre soigné ou une checklist entièrement cochée ne valent que par le travail d'évaluation qui les alimente. Un support déconnecté de l'analyse donne une fausse impression de conformité ; pour cadrer la démarche en amont, notre checklist de conformité DORA détaille les étapes à mener derrière chaque case.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit de conformité DORA pose le point de départ documenté de votre démarche.