DORA10 min de lectureMis à jour mars 2026

Checklist de conformité DORA : guide de mise en œuvre étape par étape

Cette checklist fournit une approche structurée pour mettre en œuvre les exigences DORA. Utilisez-la pour évaluer votre état actuel, identifier les écarts et planifier votre parcours de conformité.

Robin Coste

•

Co-founder

Robin is a co-founder of Bastion, bringing extensive experience in compliance automation and security strategy. Previously, he led compliance as a tech lead at Palantir. He helps startups navigate the complexities of SOC 2 and ISO 27001 certification.

SOC 2ISO 27001Compliance AutomationSecurity Strategy

DORA est pleinement applicable depuis le 17 janvier 2025. Si vous démarrez maintenant, priorisez les éléments fondamentaux et les échéances à court terme tout en construisant vers une conformité complète.

Points clés

Point	Résumé
Approche par phases	Traiter d'abord les éléments fondamentaux, puis construire des capacités complètes
Proportionnalité	Adapter la mise en œuvre à votre taille et profil de risque
Focus sur la documentation	De nombreuses exigences se concentrent sur des politiques et procédures documentées
Priorité aux tiers	Le Registre d'informations a des échéances de soumission spécifiques
Obligation continue	La conformité nécessite un maintien continu, pas une mise en œuvre unique

Réponse rapide : La conformité DORA implique d'établir un cadre de gestion des risques TIC, de mettre en œuvre des processus de signalement des incidents, de conduire des tests de résilience, de gérer les risques TIC tiers et d'envisager le partage d'informations. Cette checklist décompose chaque domaine en étapes actionnables, des fondations de gouvernance jusqu'à la mise en œuvre opérationnelle et la maintenance continue.

Phase 1 : Gouvernance et fondation

Étape 1 : Établir la structure de gouvernance

Attribuer la responsabilité de la gestion des risques TIC à l'organe de direction
Définir les rôles et responsabilités pour la supervision des risques TIC
Établir les lignes de reporting vers la direction et le conseil
Planifier la formation de l'organe de direction sur les risques TIC
Allouer le budget pour les activités de conformité DORA

Étape 2 : Évaluer l'état actuel

Inventorier les politiques et procédures TIC existantes
Cartographier les contrôles actuels par rapport aux exigences DORA
Identifier les écarts nécessitant une remédiation
Documenter les systèmes supportant les fonctions critiques ou importantes
Cataloguer les prestataires de services TIC tiers

Étape 3 : Développer la stratégie de gestion des risques TIC

Définir l'appétit au risque TIC
Établir la méthodologie d'évaluation des risques
Documenter la stratégie de gestion des risques TIC
Obtenir l'approbation de l'organe de direction
Communiquer la stratégie à travers l'organisation

Phase 2 : Cadre de gestion des risques TIC

Étape 4 : Construire les capacités d'identification

Créer un inventaire complet des actifs TIC
Classifier les actifs par criticité et sensibilité
Identifier les fonctions métier critiques et importantes
Cartographier les dépendances TIC pour les fonctions critiques
Documenter l'architecture réseau et les flux de données

Étape 5 : Mettre en œuvre les mesures de protection

Établir la politique de sécurité de l'information
Mettre en œuvre les procédures de contrôle d'accès
Déployer le chiffrement pour les données au repos et en transit
Configurer les contrôles de sécurité réseau
Établir le processus de gestion des correctifs
Mettre en œuvre les standards de configuration sécurisée
Déployer les solutions de protection des endpoints

Étape 6 : Développer les capacités de détection

Mettre en œuvre la surveillance et la journalisation de sécurité
Établir les capacités de détection d'anomalies
Définir les seuils d'alerte et les procédures d'escalade
Assurer une surveillance 24/7 pour les systèmes critiques
Intégrer le renseignement sur les menaces si approprié

Étape 7 : Établir les procédures de réponse

Documenter les procédures de réponse aux incidents
Définir les critères de classification des incidents
Établir l'équipe de réponse aux incidents et les rôles
Créer des modèles de communication pour les incidents
Développer les procédures de confinement et d'éradication
Préparer les directives de préservation des preuves

Étape 8 : Planifier la reprise

Documenter les plans de continuité d'activité
Établir les procédures de reprise après sinistre
Définir les objectifs de temps de reprise (RTO)
Définir les objectifs de point de reprise (RPO)
Mettre en œuvre les procédures de sauvegarde
Documenter les arrangements de gestion de crise

Phase 3 : Signalement des incidents

Étape 9 : Mettre en œuvre la classification des incidents

Établir les critères de classification des incidents alignés sur DORA
Créer un arbre de décision pour la détermination des incidents majeurs
Documenter le processus d'approbation de classification
Former le personnel aux critères de classification

Étape 10 : Développer les procédures de signalement

Créer le modèle de notification initiale
Créer le modèle de rapport intermédiaire
Créer le modèle de rapport final
Documenter le calendrier et les responsabilités de signalement
Établir le canal de communication avec l'autorité compétente
Intégrer le signalement au processus de réponse aux incidents

Étape 11 : Préparer la notification aux clients

Définir les critères de notification aux clients
Créer des modèles de communication client
Établir le processus de notification aux clients
Former le personnel en contact avec les clients

Phase 4 : Gestion des risques tiers

Étape 12 : Développer la stratégie de risques tiers

Documenter la politique de risques TIC tiers
Définir les exigences de due diligence
Établir l'appétit au risque de concentration
Créer les critères d'évaluation des prestataires

Étape 13 : Construire le Registre d'informations

Identifier tous les prestataires de services TIC tiers
Documenter les détails contractuels pour chaque prestataire
Classifier les services par criticité
Enregistrer les localisations des données et la sous-traitance
Préparer la soumission réglementaire

Étape 14 : Revoir et mettre à jour les contrats

Auditer les contrats existants par rapport à l'article 30 de DORA
Identifier les contrats nécessitant des amendements
Négocier des termes mis à jour avec les prestataires
Prioriser les prestataires de fonctions critiques
Documenter la non-conformité et l'acceptation des risques si nécessaire

Étape 15 : Mettre en œuvre la surveillance continue

Établir la surveillance des performances des prestataires
Planifier des réévaluations périodiques des risques
Définir l'approche d'audit et d'inspection
Créer le processus de notification des incidents des prestataires

Étape 16 : Développer les stratégies de sortie

Documenter les stratégies de sortie pour les prestataires de fonctions critiques
Identifier des prestataires alternatifs ou des options internes
Estimer les calendriers et ressources de transition
Tester la faisabilité de la stratégie de sortie
Inclure les dispositions de sortie dans les contrats

Phase 5 : Tests de résilience

Étape 17 : Établir le programme de tests

Documenter la politique et la stratégie de tests
Définir le périmètre des tests basé sur l'évaluation des risques
Établir le calendrier des tests
Identifier les ressources de tests (internes/externes)
Créer les standards de documentation des tests

Étape 18 : Mettre en œuvre les tests de base

Conduire des évaluations de vulnérabilité
Effectuer des tests de sécurité réseau
Exécuter des tests basés sur des scénarios
Tester les plans de continuité d'activité
Tester les procédures de reprise après sinistre
Documenter et suivre la remédiation

Étape 19 : Préparer le TLPT (si désigné)

Déterminer si la désignation TLPT s'applique
Établir l'équipe de contrôle
Engager un fournisseur de renseignement sur les menaces
Sélectionner la red team (interne ou externe selon le cas)
Définir le périmètre TLPT couvrant les fonctions critiques
Planifier la phase de purple teaming
Préparer le reporting réglementaire

Phase 6 : Partage d'informations (optionnel)

Étape 20 : Envisager le partage d'informations

Évaluer la préparation à la consommation de renseignement sur les menaces
Identifier les communautés de partage appropriées
Évaluer la capacité de contribution
Mettre en œuvre l'infrastructure technique
Notifier l'autorité compétente de la participation

Phase 7 : Conformité continue

Étape 21 : Maintenir la documentation

Planifier des revues annuelles des politiques et procédures
Mettre à jour la documentation suite aux changements
Maintenir les preuves des activités de conformité
Archiver les enregistrements selon les exigences de conservation

Étape 22 : Conduire des revues régulières

Effectuer une revue annuelle du cadre de gestion des risques TIC
Mettre à jour périodiquement les évaluations des risques
Revoir annuellement les évaluations des risques des prestataires
Évaluer l'efficacité des contrôles
Rapporter régulièrement à l'organe de direction

Étape 23 : Soutenir l'amélioration continue

Incorporer les leçons apprises des incidents
Mettre à jour les contrôles basés sur les résultats des tests
Suivre les évolutions réglementaires
S'adapter aux menaces évolutives

Calendrier prioritaire

Pour les entités démarrant la conformité maintenant, priorisez les activités comme suit :

Priorité	Activités	Justification
Immédiat	Structure de gouvernance, capacité de signalement des incidents, Registre d'informations	Obligations fondamentales avec échéances à court terme
Court terme	Cadre de gestion des risques TIC, mises à jour des contrats critiques	Fondation pour les autres exigences
Moyen terme	Programme de tests complet, surveillance des tiers	Construction sur la fondation établie
Continu	Revues, mises à jour, amélioration continue	Maintien de la conformité dans le temps

Checklist de documentation

Assurez-vous d'avoir documenté :

Document	Statut
Stratégie de gestion des risques TIC	☐
Politique de sécurité de l'information	☐
Inventaire des actifs TIC	☐
Méthodologie d'évaluation des risques	☐
Analyse d'impact métier	☐
Plans de continuité d'activité	☐
Plans de reprise après sinistre	☐
Procédures de réponse aux incidents	☐
Critères de classification des incidents	☐
Modèles de signalement des incidents	☐
Politique de risques tiers	☐
Registre d'informations	☐
Stratégies de sortie	☐
Politique de tests	☐
Plans et rapports de tests	☐

Questions fréquentes

Par où commencer si nous avons une conformité limitée aujourd'hui ?

Commencez par la gouvernance (responsabilité de la direction et rôles) et les obligations immédiates (capacité de signalement des incidents). Construisez l'inventaire des actifs TIC et le Registre d'informations en parallèle, car ils éclairent tout le reste.

Combien de temps prend la conformité complète ?

Le calendrier dépend de votre point de départ et de vos ressources. Les organisations avec des programmes de sécurité matures peuvent atteindre une conformité raisonnable en 3-6 mois. Celles partant de zéro peuvent avoir besoin de 12-18 mois pour une mise en œuvre complète. La proportionnalité permet aux entités plus petites de mettre en œuvre des approches plus simples plus rapidement.

Peut-on utiliser les contrôles ISO 27001 existants ?

Oui. ISO 27001 offre un chevauchement significatif avec les exigences DORA. Effectuez un exercice de cartographie pour identifier quels contrôles ISO satisfont les exigences DORA et où des écarts existent.

Quelles preuves devons-nous conserver ?

Conservez les preuves de toutes les activités de conformité : politiques, procédures, évaluations des risques, rapports de tests, enregistrements d'incidents, enregistrements de formation, revues de contrats et approbations de la direction. Assurez-vous que les enregistrements sont accessibles pour la revue réglementaire.

Comment Bastion peut vous aider

Bastion fournit un accompagnement structuré pour la mise en œuvre de DORA :

Évaluation des écarts : Évaluation de l'état actuel par rapport aux exigences DORA
Développement de la feuille de route : Plan de mise en œuvre priorisé
Développement des politiques : Création de la documentation requise
Support à la mise en œuvre : Assistance pratique à la mise en œuvre des contrôles
Registre d'informations : Support à la préparation et à la soumission
Coordination des tests : Gestion des activités de tests
Conformité continue : Support continu pour la maintenance et l'amélioration

Prêt à démarrer votre parcours de conformité DORA ? Parlez à notre équipe

Sources

Texte complet de DORA - Règlement complet pour référence pendant la mise en œuvre
Normes techniques des AES - Exigences détaillées de mise en œuvre
Orientations DORA de l'EIOPA - Perspectives de surveillance sur la conformité

← PrécédentPartage d'informations DORA : échange de renseignements sur les cybermenaces Suivant →Sanctions DORA : amendes et application expliquées

Retour aux guides DORA

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company