Conformité DORA
DORA : cartographie des livrables (gouvernance → opérationnel → preuve)
Vue systémique des livrables DORA en 3 niveaux : pilotage & gouvernance, exécution opérationnelle, éléments de preuve — avec les articles de référence.

Beaucoup d'entités accumulent des politiques sans articuler qui décide, qui exécute, qui prouve. Cette cartographie organise les livrables DORA en trois niveaux : Pilotage & Gouvernance → Opérationnel → Preuve.
Les flèches logiques vont du haut (décision) vers le bas (traçabilité).
Niveau 1 — Pilotage & gouvernance
Décision, arbitrage, redevabilité.
| Livrable | Rôle |
|---|---|
| Stratégie DORA | Cadre d'orientation (Art. 6 / Art. 5) |
| Comité Risques TIC | Approuve stratégie, politique risques, plan d'audit TIC |
| Comité Résilience | Valide scénarios de tests, arbitre niveaux de service dégradé |
| Comité Incidents majeurs | Qualification incidents majeurs, activation PCA/PRA |
| Comité Tiers critiques | Criticité, plans de sortie, multi-fourniture |
| RACI Direction / RSSI / RCCI / DSI | Qui décide, exécute, contrôle, informe |
| Mécanismes d'arbitrage | Acceptation de risque, priorisation des remédiations |
Sans ce niveau, le reste du dispositif produit des documents — pas une gouvernance démontrable.
Niveau 2 — Opérationnel
Socle fondationnel : identification
Tout part de là :
- Inventaire des fonctions métier critiques
- Inventaire des processus dépendants de tiers
- Inventaire des actifs TIC critiques
- Owners des inventaires + règles de mise à jour
Sans inventaires tenus, registre d'information, incidents et plans de sortie restent incohérents. Voir guide registre.
Chaîne de résilience
- Protection & prévention (Art. 9) — politiques sécurité, actifs, chiffrement, identité
- Détection (Art. 10) — surveillance, mécanismes d'anomalies
- Gestion des incidents TIC (Ch. III) — politique, processus, critères d'incident majeur
- Réponse & récupération (Art. 11) — continuité TIC, ICT BCP, plans de réponse
- Apprentissage (Art. 13) — sensibilisation, formation, post-incident / RCA
Voir cheat sheet incidents.
Pilier stratégique : risques tiers TIC
- Stratégie risques tiers TIC (Art. 28)
- Politique services TIC critiques / importants
- Registre d'information (RoI) — obligation structurante
- Plans de sortie
Niveau 3 — Éléments de preuve
Traçabilité, historisation, vérifiabilité.
Preuves réglementaires
- Registre des incidents TIC
- Registre d'information des tiers
- Journaux d'activité (logging)
- Notifications d'incidents majeurs
- Rapport de revue du cadre de risques TIC
- Plan d'audit TIC
Preuves de pilotage
- CR des comités (risques TIC, résilience, tiers critiques)
- Revues de politiques / procédures suite tests ou incidents
- Décisions d'acceptation de risques
- Documentation des tests ICT BCP
Comment lire cette carte
- Gouvernance d'abord — sans comités et RACI, les politiques ne tiennent pas
- Inventaires ensuite — ils alimentent RoI, criticité, incidents
- Chaîne opérationnelle — protection → détection → incident → récupération → apprentissage
- Preuves en continu — pas reconstruites la veille d'un contrôle
Légende pratique
| Type | Exemple |
|---|---|
| Stratégie | Stratégie DORA, stratégie risques tiers |
| Politique | Sécurité, incidents, continuité |
| Procédure / document | Processus, inventaires, plans |
| Preuve | CR, registres, notifications, tests |
Le rôle d'Axenia. Axenia relie exigences, contrôles, preuves, tiers et incidents sur un même socle — pour que la cartographie des livrables ne reste pas un PowerPoint, mais un dispositif vivant.
