En cas de contrôle AMF, vous devez pouvoir prouver immédiatement que votre infrastructure est en ordre — sur la gouvernance et sur le volet technique. Ce guide couvre ce que presque personne ne vous explique.
À destination des Chefs d'Entreprises et RCCI des sociétés de gestion financière
La partie technique de DORA est souvent sous-estimée.
En tant que société de gestion, tout le monde vous parle de conformité, mais très peu de personnes vous parlent du socle technique qui rend possible cette conformité. Ce guide est là pour réparer ce manque.
Avant, la conformité était déclarative. Il suffisait d'expliquer ce que vous aviez mis en place pour protéger vos données.
Aujourd'hui, la conformité avec DORA est basée sur des preuves. En cas de contrôle, vous devez prouver par A + B que tout était en ordre à la fois sur la gouvernance des données, mais aussi sur l'aspect technique.
DORA n'est donc pas qu'un texte de gouvernance : c'est une exigence de résilience technique, mesurable et démontrable.
Elle se base sur 6 piliers que nous allons couvrir dans ce guide :
Rendre votre système résistant aux attaques
Détecter et réagir en temps réel
Restaurer rapidement et de façon fiable
Choisir la bonne stratégie de détection externalisée
Former les équipes contre les menaces humaines
Prouver votre conformité avec des preuves auditables
Quand on parle de durcir votre système, l'idée est de le rendre le plus résistant possible à toute forme d'attaque.
En matière de cybersécurité, vous ne pourrez jamais atteindre le risque 0. Mais avec la bonne hygiène informatique, vous allez pouvoir vous prémunir de la très grande majorité des risques.
Voici 4 bonnes pratiques qui vont vous éviter des nuits blanches :
Essentielle sur les accès administrateur et les portails clients, cette sécurité permet de protéger davantage vos mots de passe avec une authentification à double facteur. Les mots de passe peuvent rapidement fuiter ou être craqués s'ils sont trop simples. La double authentification permet d'ajouter une couche de sécurité supplémentaire.
Imaginez que quelqu'un intercepte vos emails ou vole un de vos disques durs. Sans chiffrement, c'est comme si vous laissiez vos documents clients en clair sur un banc public. Le chiffrement, c'est votre coffre-fort numérique qui rend vos données illisibles pour quiconque n'a pas la clé.
Concrètement, assurez-vous que votre site web utilise HTTPS (le petit cadenas dans la barre d'adresse), et que vos disques durs sont chiffrés avec des outils comme BitLocker sur Windows ou FileVault sur Mac. Si vous utilisez le cloud, vérifiez que votre fournisseur a bien activé le chiffrement par défaut.
Votre réseau informatique ne doit pas être un grand espace ouvert où tout le monde accède à tout. La segmentation réseau, c'est comme cloisonner les pièces d'une maison avec des portes verrouillées : si un hacker entre par une fenêtre du salon, il ne doit pas pouvoir accéder directement à votre coffre-fort.
Le durcissement des systèmes, c'est renforcer la sécurité de vos serveurs les plus importants en désactivant tout ce qui est inutile et en limitant les accès au strict minimum. En combinant segmentation et durcissement, vous limitez drastiquement les dégâts en cas d'intrusion.
Beaucoup de hackers exploitent des failles de sécurité pour pouvoir vous attaquer. Dès qu'une faille est connue, Windows ainsi que les éditeurs de vos logiciels métiers vont déployer des mises à jour de sécurité. Mettre à jour de façon automatisée l'ensemble de votre parc informatique vous assure une protection face à ces failles de sécurité.
Si vous les mettez en place, alors vous pourrez démontrer en cas de contrôle DORA que vous faites le nécessaire au quotidien pour sécuriser les données de vos clients.
Une fois que votre système est sécurisé, l'étape d'après consiste à savoir immédiatement quand quelque chose d'anormal se produit.
DORA vous demande non seulement de protéger vos systèmes, mais aussi de les surveiller en permanence pour détecter toute tentative d'intrusion ou comportement suspect. Si vous découvrez une cyberattaque trois mois après qu'elle ait eu lieu, vous risquez d'avoir de gros problèmes.
La surveillance, c'est votre système d'alarme. Et comme pour une alarme de maison, il ne suffit pas de l'installer : elle doit être connectée, analyser les mouvements suspects et vous alerter immédiatement en cas de problème.
Voici les 4 piliers d'une surveillance efficace qui va vous permettre de réagir avant que le problème ne devienne une catastrophe :
Pour superviser efficacement vos systèmes, vous devez disposer d'outils capables d'observer en continu l'activité des postes et de maîtriser leur périmètre matériel et logiciel.
Un RMM (Remote Monitoring and Management) permet d'inventorier, gérer, mettre à jour et maintenir à distance les équipements, tout en contrôlant les logiciels installés. Associé à un EDR (Endpoint Detection and Response), il analyse en temps réel le comportement des postes pour détecter et bloquer les menaces : connexions anormales, fichiers modifiés sans intervention, installations non autorisées, etc.
Chaque périphérique, application ou serveur génère des logs qui retracent les actions effectuées. Dispersés dans les systèmes, ces journaux ne servent à rien s'ils ne sont ni centralisés ni conservés durablement.
Un SIEM (Security Information and Event Management) collecte, corrèle et conserve ces logs — dont ceux de l'EDR — pendant au moins un an, ce qui permet de détecter des comportements suspects, mais aussi d'enquêter en cas de détection tardive. Le SOC (Security Operations Center) surveille ces alertes en permanence et intervient 24/24 pour qualifier les événements et, lorsqu'une menace est confirmée, bloquer l'attaque en temps réel.
Si un problème survient, vous devez savoir comment gérer cet incident. Pour cela, il vous faut une procédure claire et écrite qui définit les étapes : détection de l'incident, évaluation de sa gravité, activation de l'équipe de réponse, mesures de containment, investigation, correction et documentation complète.
Cette procédure doit être connue de toute l'équipe technique, et régulièrement testée. En cas de contrôle DORA, le régulateur vous demandera non seulement si vous avez cette procédure, mais aussi si vous l'avez déjà appliquée et améliorée suite à des incidents réels ou simulés.
DORA impose des délais stricts de notification en cas d'incident. Par exemple, vous avez l'obligation de prévenir vos clients rapidement si leurs données sont potentiellement compromises.
Vous allez donc mettre en place une procédure de communication précise : qui décide de notifier ? Qui rédige le message ? Par quel canal (email, téléphone, portail sécurisé) ? Quelles informations donner sans créer de panique inutile ? En pleine crise, vous n'aurez pas le temps de réfléchir à la meilleure façon de formuler un message.
"Avec ces 4 piliers en place, vous ne subissez plus les incidents : vous les anticipez, vous les détectez tôt, et vous réagissez vite. C'est exactement ce que DORA attend de vous."
Téléchargez la checklist complète avec les 6 domaines DORA, les niveaux de priorité et les points de vérification concrets. Utilisable immédiatement lors de votre prochain audit interne.
C'est un point fondamental. En cas de problème majeur, vous pouvez perdre vos données ou pire encore : être en arrêt total d'activité.
Faites le calcul : calculez le coût journalier de tous vos employés et multipliez-le par 1 ou 2 semaines de chômage technique. Pour beaucoup d'entreprises, c'est le coup fatal.
DORA ne vous demande pas seulement de protéger vos données : elle exige que vous puissiez les restaurer rapidement et de manière fiable en cas de catastrophe. Dans la finance, chaque heure d'indisponibilité peut coûter très cher à vos clients, et surtout détruire votre crédibilité.
Voici les 4 éléments indispensables pour prouver que vous êtes capables de rebondir après un incident majeur :
Vos sauvegardes doivent être isolées du réseau principal. On parle généralement de la règle du 3-2-1 :
copies de vos données
supports différents
copie hors site
Si un ransomware chiffre vos serveurs, tant qu'il ne peut atteindre vos sauvegardes, vous conservez vos données. Vos sauvegardes doivent également être chiffrées. Mais surtout, testez-les régulièrement : une sauvegarde non testée est une sauvegarde potentiellement inutilisable. Programmez des tests de restauration au moins une fois par trimestre.
Ces deux notions doivent être bien assimilées :
Le temps maximum acceptable avant de remettre un système en ligne. Exemple : un RTO de 4 heures signifie que vous devez pouvoir redémarrer en moins de 4 heures.
La perte de données maximale acceptable. Exemple : un RPO de 1 heure signifie que vous ne pouvez pas perdre plus d'une heure de données.
Ces objectifs doivent être définis pour chaque système critique, et votre plan de restauration doit détailler précisément comment vous allez les respecter. En cas de contrôle DORA, on vous demandera ces documents et la preuve que vous pouvez tenir ces engagements.
Une sauvegarde qui échoue en silence est un piège mortel. Vous devez avoir un système d'alerte automatique qui vous prévient immédiatement si une sauvegarde ne s'est pas correctement déroulée.
Trop d'entreprises découvrent que leurs sauvegardes ne fonctionnent plus depuis des semaines, voire des mois, au moment où elles en ont désespérément besoin. Mettez en place un tableau de bord qui vous montre quotidiennement l'état de toutes vos sauvegardes : réussies, en cours, échouées.
Les régulateurs ou les partenaires vont vous demander la preuve que vous savez vraiment restaurer vos données. Ne vous contentez pas de dire "oui, on a des sauvegardes".
Documentez chaque test de restauration : date, système restauré, temps nécessaire, problèmes rencontrés, actions correctives. Gardez ces rapports de test à disposition pour les audits. C'est cette documentation qui fera la différence entre une conformité déclarative et une conformité basée sur des preuves. DORA ne pardonne pas l'approximation sur ce sujet.
Avec ces 4 éléments en place, vous transformez la reprise d'activité d'un vœu pieux en une capacité réelle et démontrable. Et ça, c'est exactement ce que DORA exige de vous.
C'est l'un des points de friction les plus fréquents entre les entreprises et leur prestataire informatique. Beaucoup pensent qu'en signant un contrat de maintenance, leur prestataire "voit tout" et "surveille tout". En réalité, c'est rarement le cas.
Surveiller un système 24h/24 et 7j/7, analyser chaque alerte, et intervenir immédiatement en cas d'incident demande une organisation spécifique et des ressources dédiées. Cela suppose une équipe formée, des outils de corrélation d'événements, et une supervision permanente.
| Monitoring | SOC (Security Operations Center) |
|---|---|
| Suivi quotidien de l'état du parc informatique | Surveillance des menaces en temps réel |
| Serveurs, sauvegardes, mises à jour, performances | Analyse des logs, corrélation des alertes |
| Détecte les pannes techniques et dysfonctionnements | Détecte les tentatives d'intrusion et comportements suspects |
| Ex : disque presque plein, sauvegarde échouée | Ex : connexion suspecte depuis l'étranger, malware détecté |
| Réactif aux problèmes techniques | Intervention immédiate en cas d'attaque, 24h/24 |
Il y a 2 risques liés à cette confusion :
Vous pensez avoir un SOC dans votre contrat, alors que vous n'avez que le monitoring. Autrement dit, vous croyez être protégé 24/7 alors que ce n'est pas le cas.
Vous faites appel à un tiers différent de votre prestataire habituel. Vous fragmentez la documentation et cela complique la traçabilité indispensable lors d'un audit DORA.
L'idéal est d'avoir un contrat global qui inclut à la fois le monitoring technique du parc informatique et la surveillance de sécurité via un SOC. C'est comme ça que vous allez pouvoir centraliser la supervision et la documentation, garantir une surveillance continue et réactive, et simplifier les obligations de conformité DORA.
10 questions, 2 minutes. Obtenez votre rapport de maturité personnalisé avec votre score sur 10, le détail par pilier et vos 3 actions prioritaires — adaptées à votre situation.
Depuis plusieurs années, la sensibilisation à la cybersécurité n'est plus une option : c'est devenu une obligation dans le code du travail. Les entreprises doivent former régulièrement leurs salariés aux risques numériques et aux bonnes pratiques.
C'est fondamental car, dans la majorité des cyberattaques, le maillon faible n'est pas la machine mais l'humain. Un clic sur un phishing, un mot de passe réutilisé, un mail mal interprété — la moindre de ces actions peut avoir des conséquences terribles.
D'ailleurs, la plupart des hackers ne sont pas des personnes en hoodies devant leur écran qui codent toute la journée. En général, la grande majorité d'entre eux travaillent l'ingénierie sociale : l'art pour un pirate de manipuler un utilisateur pour obtenir un accès ou une information sensible.
En plus de réduire les risques, ces campagnes de sensibilisation permettent aussi de répondre à plusieurs obligations réglementaires : le Code du Travail, la lutte contre le blanchiment, le RGPD, et surtout DORA, où vous devrez montrer que vous éduquez votre personnel contre les menaces cyber.
Chez Itaia, nous mettons en place de la formation, de la simulation et du reporting pour développer une culture de la vigilance au sein de votre entreprise :
Des tests réels envoyés aux collaborateurs pour mesurer leur réactivité face à de faux mails piégés.
Chaque utilisateur reçoit un contenu adapté à ses besoins et à son niveau de risque.
Visualisez les résultats des campagnes de phishing, suivez la progression des équipes et détectez qui est plus à risque dans l'équipe pour agir.
Former vos équipes, c'est le meilleur rempart contre les attaques et un point essentiel pour être conforme à DORA.
En cas d'audit DORA, vous ne pouvez pas vous contenter de déclarations : vous devez apporter des preuves. C'est ce qu'on appelle dans le jargon la traçabilité technique.
Infrastructure, licences, SLA, sauvegardes, incidents, maintenances… Chacune de ces actions doit pouvoir être documentée et tracée. De cette façon, vous pouvez montrer au régulateur que votre système d'information est maîtrisé et piloté. Le but du jeu n'est pas d'être parfait, mais de prouver que vous maîtrisez vos risques.
Lorsque nous travaillons avec un client, nous centralisons toute la documentation technique nécessaire à votre conformité :
En plus de ça, nos clients reçoivent un reporting clair et exploitable, avec l'état du parc (nombre de postes, serveurs, équipements critiques), les incidents détectés et résolus, les actions préventives menées ainsi que les recommandations d'amélioration.
Enfin, nous proposons régulièrement des Quarterly Business Reviews (QBR) : une réunion trimestrielle de pilotage avec votre équipe. C'est l'occasion de faire un point régulier sur les priorités techniques à mettre en place et de prendre du recul pour aligner la stratégie IT sur les standards de sécurité et de conformité DORA.
"En documentant, en ayant des reportings et des QBR pour améliorer en continu la sécurité de l'entreprise, vous avez une maîtrise technique et conforme, prête en cas d'audit DORA."
On espère que ce guide vous a aidé à y voir plus clair et à comprendre ce qu'il faut vraiment mettre en place.
Si vous recherchez un prestataire informatique spécialisé sur DORA, habitué à travailler avec des entreprises exigeantes du secteur financier, alors nous avons tout ce qu'il faut pour vous accompagner.
Notre force, au-delà de notre expertise et de nos nombreuses références, c'est que nous gérons l'intégralité du volet technique DORA. Ça veut dire que vous n'avez pas besoin de multiplier les prestataires ou les interlocuteurs.
On analyse votre situation actuelle — infrastructure, prestataires, contrats, points de conformité déjà couverts.
On identifie vos 3 points critiques — les lacunes qui vous exposent le plus en cas de contrôle AMF.
On vous propose une feuille de route — priorisée, réaliste, avec un chiffrage indicatif. Sans engagement.
Nous prendrons le temps de comprendre votre situation et de voir comment on peut avancer ensemble.
Disclaimer : Ce guide ne remplace pas le travail d'un RCCI, au contraire. Il lui permet d'avoir des preuves techniques pour mieux faire son travail.