Audit DORA Cadrer l'audit

Diagnostic d'écart au règlement (UE) 2022/2554

Audit DORA: mesurez l'écart avant le contrôle.

Un audit DORA transforme votre dispositif actuel en trajectoire vérifiable: écarts par pilier, pièces probantes disponibles, priorités de remédiation et registre de contrôles exploitable.

  • Lecture pilier par pilier: risque TIC, incidents, tests, prestataires tiers TIC, gouvernance.
  • Qualification des preuves: documents existants, manques, contradictions et zones non démontrables.
  • Priorisation opérationnelle: ce qui bloque, ce qui se corrige vite, ce qui exige un chantier de fond.
  • Réponse sous 48 h ouvrées pour cadrer le périmètre de l'audit.
Écart Preuve Priorité Trajectoire
Règlement (UE) 2022/2554, applicable depuis le 17 janvier 2025. Cadre sectoriel pour la résilience opérationnelle numérique du secteur financier. Références: EUR-Lex, ACPR, AMF. Aucun faux logo client.

Pourquoi auditer

La conformité non prouvée reste un risque.

DORA ne demande pas seulement d'avoir des politiques. Il faut montrer que le dispositif existe, qu'il couvre les fonctions critiques, qu'il tient les prestataires TIC et qu'il peut être relu par une autorité ou une revue interne.

01
Écart réglementaire

Comparer les exigences DORA à vos pratiques réelles, sans transformer l'audit en checklist décorative.

02
Preuve disponible

Identifier ce qui peut être produit: politiques, cartographies, contrats, registre TIC, tests, incidents.

03
Priorité de remédiation

Classer les écarts selon impact, urgence, dépendance interne et exposition aux demandes superviseur ou client.

04
Trajectoire d'audit

Transformer le constat en plan lisible: responsables, preuves attendues, jalons et décisions à arbitrer.

Parcours de contrôle

Quatre stations, une trajectoire lisible.

La mission part du périmètre et finit sur une séquence de décisions. Le livrable doit aider à agir, pas seulement à archiver.

1

Périmètre

Catégorie d'entité, fonctions critiques, systèmes TIC, prestataires, exigences sectorielles et contraintes de calendrier.

2

Écart

Lecture des cinq piliers DORA, qualification des contrôles absents, partiels ou non démontrables.

3

Preuve

Revue des documents, contrats, registres, procédures, tests et traces exploitables pour soutenir la conformité.

4

Priorités

Trajectoire de remédiation, responsabilités, quick wins, dépendances et décisions à arbitrer.

Livrables

Ce que le diagnostic doit rendre visible.

L'audit est utile s'il permet de voir immédiatement où l'organisation est solide, où la preuve manque et quelle trajectoire engager.

Matrice d'écarts

Synthèse des écarts par pilier DORA, avec qualification du niveau de couverture et du risque associé.

Inventaire des preuves

Pièces disponibles, pièces insuffisantes, documents à produire et traces à consolider.

Registre de contrôles

Vue exploitable des contrôles attendus, responsables, fréquence, statut et éléments probants.

Trajectoire priorisée

Plan de remédiation lisible pour arbitrage: urgence, effort, dépendances et jalons.

Transparence

Ce que ce site ne promet pas.

  • Pas de certification officielle DORA, ni de garantie de conformité délivrée par une autorité.
  • Pas d'avis juridique individualisé sans analyse dédiée de votre situation et de vos contrats.
  • Pas de faux témoignages, de logos clients inventés ou de chiffres sectoriels non sourcés.
  • Pas de confusion: DORA est un règlement européen, pas une directive, une norme ou une loi nationale.

FAQ

Questions fréquentes

Que couvre un audit DORA ?

Il couvre l'écart entre votre dispositif actuel et les exigences du règlement (UE) 2022/2554: gouvernance du risque TIC, incidents, tests de résilience, prestataires tiers TIC, preuves disponibles et trajectoire de remédiation.

Est-ce un audit de cybersécurité ?

Pas seulement. La cybersécurité fait partie du sujet, mais DORA vise la résilience opérationnelle numérique du secteur financier: gouvernance, continuité, notification, tests, contrats TIC et capacité à produire des preuves.

À qui s'adresse le diagnostic ?

Aux entités financières couvertes par DORA, aux directions conformité, risques, IT et RSSI, ainsi qu'aux prestataires TIC qui doivent répondre aux exigences DORA de leurs clients financiers.

Que reçoit-on à l'issue du cadrage ?

Le premier échange sert à qualifier le périmètre: catégorie d'entité, fonctions critiques, prestataires TIC, état documentaire et priorité de contrôle. Une proposition d'audit peut ensuite être cadrée.

L'audit garantit-il la conformité ?

Non. Un audit établit un état d'écart et une trajectoire. Il ne remplace ni la mise en oeuvre effective du dispositif, ni l'appréciation de l'ACPR, de l'AMF ou d'une autre autorité compétente.

Combien de temps prend un audit DORA ?

La durée dépend de la taille de l'entité, du nombre de fonctions critiques, du volume de prestataires TIC et du niveau de preuve déjà disponible. Le formulaire permet de cadrer cette estimation.

Faites passer votre dispositif sous la lumière.

Un court formulaire suffit pour qualifier le périmètre: catégorie d'entité, fonctions critiques, prestataires TIC et preuves déjà disponibles.

Demander un cadrage