Besoin de réaliser cette formation directement au sein de votre entreprise, sans modification ni personnalisation du programme ?
Ce programme peut être la fondation idéale pour créer une formation sur-mesure, parfaitement adaptée à vos besoins spécifiques et à votre environnement professionnel.
Comprendre la réglementation DORA : enjeux, obligations et mise en conformité
Besoin de réaliser cette formation directement au sein de votre entreprise, sans modification ni personnalisation du programme ?
Ce programme peut être la fondation idéale pour créer une formation sur-mesure, parfaitement adaptée à vos besoins spécifiques et à votre environnement professionnel.
Pourquoi choisir la formation DORA de First Finance ?
Choisir la formation DORA proposée par First Finance, c’est opter pour un accompagnement expert face aux nouvelles exigences réglementaires européennes en matière de résilience opérationnelle numérique.
Conçue pour les entités financières, cette formation vous permet de maîtriser l’ensemble des risques liés aux technologies de l’information (TIC), de comprendre les mécanismes de notification des incidents, de mettre en place des tests de résilience opérationnelle, et de garantir la conformité avec le règlement DORA dès son entrée en vigueur le 17 janvier 2025.
Grâce à une approche pédagogique claire, orientée métier et validée par des autorités compétentes, vous serez prêt à répondre aux enjeux de cybersécurité, de gestion des risques, et de surveillance des prestataires tiers dans le secteur financier.
Une formation incontournable pour sécuriser vos systèmes informatiques critiques et anticiper l’application du cadre réglementaire européen.
En complément : découvrez notre formation DORA pour introduire les principes de cybersécurité dans le secteur financier.
Objectifs | Compétences
- Sensibiliser et former les équipes sur la réglementation DORA et son importance pour le secteur financier.
- Mobiliser l'entreprise autour des changements requis par DORA pour une mise en œuvre efficace et opportune.
- Élaborer un plan d'action et prioriser les tâches afin d'assurer la conformité à la réglementation.
- Transformer DORA en une opportunité stratégique, en renforçant la sécurité des relations avec les clients et fournisseurs.
Programme
Introduction à la cybersécurité
- Paysage des cybermenaces
- Acteurs de la menace
- Différents types de hackers
- Motivations des acteurs de la menace et les secteurs à risques
- Faire face au facteur humain
- Qu'est-ce qu'une vulnérabilité
- Différents types de cyberattaques
- Ce n'est pas SI mais QUAND vous serez attaqués
- Différentes méthodes d'attaques
- Attaques spécifiques
- Attaque par déni de service
- Phishing et détection des signaux d'alerte
- Temps de résistance des mots de passe face aux hackers
Travaux pratiques
- Scandale des rootkits de protection contre la copie Sony BMG
Enjeux de la sécurité physique
- Convergence entre sécurité physique et informatique
Travaux pratiques
- EnerVest
Les règles d'or de la sécurité numérique
- Cyber hygiène et bonnes pratiques
- Vérification des comptes piratés avec Have I been pwned
La cybersécurité dans le secteur financier
- Enjeux majeurs
- Identification des actifs critiques (systèmes, réseaux, données)
- Principaux risques du secteur financier
Le règlement DORA
- Objectifs et nécessité du Digital Operational Resilience Act (DORA)
- Entreprises concernées
- Fondements et impacts : les 5 piliers de DORA
- Préparation à la mise en conformité
- Différences entre NIS2 et DORA
Cyber résilience et gestion des incidents
- Identification des actifs critiques et vulnérabilités
- Triade CIA
- Méthodologie BIA (Business Impact Analysis)
- Identification des données critiques
- Dark Net et les 3 niveaux du web
- Processus de gestion des incidents
- Préparation
- Détection et analyse
- Confinement, éradication et récupération
- Analyse post-mortem
Communication de crise et gestion des incidents
- Mise en place d’une communication de crise efficace
- Rôles et responsabilités des parties prenantes
- Élaboration d’un plan de communication de crise
Stratégie d’atténuation des risques
- Définition des objectifs stratégiques
- Création et mise en œuvre d’un plan d’action
- Introduction au cadre NIST et à la norme ISO 27001
Pour qui ?
- La formation à la réglementation DORA s'adresse à tous les collaborateurs devant acquérir les
connaissances réglementaires et les bonnes pratiques en matière de cybersécurité et de résilience
opérationnelle numérique
Formateur
Pédagogie – Évaluation
- Une première appréciation globale sous forme de QCM a lieu en amont de la formation pour estimer les attentes et niveaux des participants.
- La pédagogie de cette formation s’appuie sur une large variété de situations d’apprentissage : cas pratiques, échanges, défis, études de cas, exercices, travaux en sous-groupes.
- Chaque compétence est mesurée par des évaluations formatives (cas pratiques, exercices) tout au long de la formation.
- Une évaluation sommative sous forme de QCM est organisée en fin de parcours pour mesurer les acquis de la formation.
Pré-requis
- Niveau bac+3 ou 3 ans d'expérience en banque finance
- Aucune connaissance particulière n'est attendue
FAQ
Qu’est-ce que la réglementation DORA ?
La réglementation DORA (Digital Operational Resilience Act) est un règlement européen adopté par la Commission européenne pour renforcer la résilience opérationnelle numérique du secteur financier. Applicable dès le 17 janvier 2025, ce cadre impose aux entités financières de mettre en place des processus solides de gestion des risques liés aux technologies de l’information et de la communication (TIC), d’assurer la sécurité des systèmes informatiques, la continuité des activités, et de notifier les incidents majeurs auprès des autorités compétentes.
Principes fondamentaux de DORA :
- Résilience numérique : capacité à résister et à se rétablir après un incident affectant les systèmes informatiques.
- Transparence : communication proactive des informations liées aux risques et incidents.
- Gouvernance : implication des autorités et application de normes techniques harmonisées.
- Maîtrise des tiers : encadrement strict des prestataires de services critiques et TLPT.
- Amélioration continue : réalisation régulière de tests, suivi des indicateurs, et mise à jour des mesures de cybersécurité.
Quels sont les 5 piliers de DORA ?
Le règlement DORA repose sur 5 piliers essentiels :
- Gestion des risques liés aux TIC et aux prestataires tiers de services critiques.
- Surveillance et intervention des autorités compétentes via des normes précises.
- Plans de continuité des activités et tests de résilience opérationnelle.
- Notification obligatoire des incidents significatifs impactant les systèmes informatiques.
- Définition de normes techniques de réglementation pour la mise en œuvre sécurisée des fonctions critiques.
Comment se conformer à DORA ?
Pour répondre aux exigences de conformité DORA, chaque entité financière doit :
- Identifier et cartographier ses fonctions critiques.
- Mettre en œuvre une stratégie de gestion des risques liée aux TIC, aux fournisseurs et aux prestataires tiers.
- Renforcer la cybersécurité et garantir la continuité des activités.
- Réaliser régulièrement des tests de résilience opérationnelle.
Établir un processus de notification des incidents auprès de l’autorité compétente.
Qui est soumis à DORA ?
La réglementation DORA s’applique à toutes les institutions financières opérant dans l’Union européenne, telles que :
- Banques
- Sociétés d’assurance
- Entreprises de gestion d’actifs
- Prestataires de services de paiement
- Infrastructures de marché
- Prestataires tiers de services critiques (cloud, données, sécurité, etc.)
Toute entité du secteur financier traitant des informations sensibles, des systèmes critiques ou dépendant de fournisseurs numériques devra assurer sa conformité à ce cadre réglementaire dès janvier 2025.
Quelles sont les sanctions prévues par la réglementation DORA ?
La réglementation DORA prévoit des sanctions strictes en cas de non-conformité aux exigences fixées par le règlement européen. Les autorités compétentes, telles que l’ACPR ou l’AMF en France, disposent de pouvoirs étendus de surveillance, d’investigation, et de sanction à l’encontre des entités financières et de leurs prestataires tiers de services TIC.
Les sanctions peuvent inclure :
- Des amendes administratives proportionnelles à la gravité des manquements, pouvant atteindre plusieurs millions d’euros.
- Des restrictions d’activité, voire des interdictions temporaires ou définitives d’exercer certaines fonctions critiques.
- Des obligations de mise en conformité immédiate, avec un suivi renforcé des processus de gestion des risques et de sécurité des systèmes informatiques.
- Une publication des sanctions appliquées, pouvant affecter la réputation de l’entité concernée.
L’objectif est d’inciter chaque acteur du secteur financier à mettre en œuvre des mesures de résilience opérationnelle robustes, à respecter les procédures de notification des incidents et à assurer la continuité des activités, conformément au cadre réglementaire européen.
Quelles sont les exigences réglementaires pour DORA ?
Les exigences réglementaires du règlement DORA (Digital Operational Resilience Act) imposent aux entités financières de l’Union européenne de renforcer leur résilience opérationnelle numérique face aux risques liés aux TIC. Le texte prévoit un ensemble de mesures obligatoires, applicables dès le 17 janvier 2025, destinées à assurer la sécurité, la continuité des activités, et la protection des informations critiques.
Parmi les principales exigences, on retrouve :
- La mise en place d’un dispositif de gestion des risques informatiques, couvrant l’ensemble des systèmes, des données et des services numériques.
- La mise en œuvre de tests de résilience opérationnelle (dont des tests avancés de pénétration) pour évaluer la robustesse des infrastructures.
- L’établissement d’un processus de notification des incidents majeurs, avec un reporting détaillé à l’autorité compétente dans un délai réglementaire.
- L’encadrement contractuel et la surveillance des prestataires tiers et fournisseurs de services TIC (y compris les TLPT), notamment via des clauses spécifiques.
- L’application de normes techniques de réglementation harmonisées à l’échelle européenne, fixées par les autorités de surveillance (EBA, ESMA, EIOPA).
- L’adoption d’une gouvernance interne forte, impliquant les dirigeants dans la gestion du risque numérique et la conformité réglementaire.
Ces exigences s’inscrivent dans un cadre réglementaire européen visant à harmoniser la cybersécurité et la résilience opérationnelle dans l’ensemble du secteur financier. Chaque institution concernée doit adapter ses processus et renforcer sa posture face aux menaces informatiques croissantes.
Qualité & Certification
Adapté aux personnes en situation de handicap
Besoin d'être recontacté(e) ?
