ISGroup Conseil en Cybersécurité

Checklist de tests DORA pour l’audit et la conformité 2026

Le règlement DORA est officiellement en application depuis le 17 janvier 2025. Pour les entités financières, 2026 représente l’année de la maturité opérationnelle, où il ne suffit plus d’avoir conçu les processus, mais où il faut en démontrer l’efficacité par des preuves documentaires solides. La conformité n’est pas un objectif statique : les autorités exigent un cycle continu de tests, de remédiation et de révision de la gouvernance. Ce guide fournit une checklist de test DORA exhaustive pour vérifier si votre organisation est prête pour un audit interne ou une inspection des autorités de surveillance.

Checklist Gouvernance

  • L’organe de direction a formellement approuvé le cadre de gestion des risques TIC et la stratégie sur les risques liés aux tiers.
  • Le rapport annuel sur la révision du cadre de gestion des risques TIC a été rédigé et transmis aux autorités.
  • Des niveaux de tolérance au risque TIC clairs ont été définis et approuvés.
  • Il existe une procédure de révision du cadre activée en cas de changements significatifs dans le paysage des menaces ou dans les actifs TIC.

Checklist Actifs et Périmètre (Scoping)

  • Il existe un registre des informations (Register of Information – RoI) complet incluant tous les accords contractuels avec des fournisseurs TIC tiers.
  • Toutes les fonctions critiques ou importantes (CIF) ont été identifiées et cartographiées par rapport aux actifs TIC et fournisseurs correspondants.
  • Chaque actif TIC possède un “propriétaire” clairement identifié et une classification de criticité documentée.
  • Les interdépendances entre les actifs, les fonctions et les fournisseurs (y compris les sous-traitants matériels) ont été cartographiées.

Checklist Gestion des Vulnérabilités

  • Les scans de vulnérabilités sur les actifs supportant des fonctions critiques (CIF) sont effectués au moins une fois par semaine.
  • Il existe une procédure automatisée pour la détection des vulnérabilités sur tous les actifs TIC.
  • L’utilisation de bibliothèques tierces (y compris open source) est tracée et surveillée pour les mises à jour et les correctifs.
  • Les correctifs sont priorisés en fonction de la criticité de la vulnérabilité et du profil de risque de l’actif.
  • Il existe un registre documenté qui suit l’intégralité du cycle de vie des vulnérabilités, de la découverte à la vérification de la clôture.

Checklist Tests d’Intrusion (Pentest)

  • Le programme de test inclut des vérifications de sécurité appropriées pour les systèmes exposés à Internet.
  • Pour les entités soumises aux TLPT (Threat-Led Penetration Testing), les tests sont menés sur des systèmes de production réels (“live production systems”).
  • Les testeurs (internes ou externes) répondent aux exigences d’aptitude, de réputation, de certification et de couverture d’assurance.
  • Les résultats des tests incluent une analyse des causes profondes (root cause analysis) et un plan de remédiation détaillé.

Checklist Continuité d’Activité

  • Les plans de continuité d’activité TIC sont testés au moins annuellement ou après des modifications significatives.
  • Les tests se basent sur des scénarios sévères mais plausibles, incluant des cyberattaques et la défaillance de fournisseurs critiques.
  • Les tests démontrent l’atteinte des objectifs de temps de récupération (RTO) et des objectifs de point de récupération (RPO) définis.
  • Le programme inclut des tests de basculement vers des sites secondaires ou des environnements de reprise après sinistre (disaster recovery) pour une période représentative.

Checklist Tiers

  • Une diligence raisonnable (due diligence) a été effectuée sur tous les fournisseurs TIC supportant des fonctions critiques avant la signature des contrats.
  • Les contrats avec les fournisseurs TIC incluent des clauses explicites sur les droits d’audit et la participation aux tests de sécurité.
  • Les fournisseurs signalent rapidement les vulnérabilités critiques et les statistiques sur les risques relatifs aux services fournis.
  • L’entité a une visibilité sur les sous-traitants matériels impliqués dans la chaîne d’approvisionnement des CIF.

Checklist Dossier de Preuves pour Audit

  • Politiques et procédures : Gestion des actifs, des vulnérabilités, des incidents et continuité d’activité.
  • Rapports de test : Procès-verbaux de scans hebdomadaires, rapports de pentest et TLPT.
  • Plans de remédiation : Documentation des actions correctives, échéances et vérifications de clôture (retest).
  • Certifications et CV : Preuves des compétences et de l’indépendance des testeurs impliqués.
  • Registre des informations : Modèle mis à jour selon les normes ITS.
  • Rapports de gestion des incidents : Notifications initiales, rapports intermédiaires et finaux sur les incidents TIC majeurs.

FAQ

  • Quels documents l’entreprise doit-elle être en mesure de présenter ?
  • Outre les politiques approuvées, les rapports techniques de test, les plans de remédiation signés, les registres des vulnérabilités et les preuves de surveillance des fournisseurs tiers sont essentiels.
  • Comment démontrer que les tests sont basés sur les risques ?
  • Par la documentation de l’analyse d’impact sur l’activité (BIA) et de la classification des actifs, qui justifient pourquoi certains systèmes sont testés plus fréquemment ou avec des méthodologies plus invasives.
  • Qu’est-ce qui manque le plus souvent dans les programmes DORA ?
  • Les lacunes les plus courantes concernent le manque de vérification de la remédiation (retest), l’absence de visibilité sur les sous-traitants matériels et la fréquence insuffisante (non hebdomadaire) des scans sur les systèmes critiques.

Assurez votre conformité pour 2026 : demandez dès aujourd’hui une évaluation de préparation à l’audit DORA pour identifier les écarts dans votre programme de test et sécuriser vos preuves de cybersécurité.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *