Retour au blog

DORA : cartographie des livrables (gouvernance → opérationnel → preuve)

Vue systémique des livrables DORA en 3 niveaux : pilotage & gouvernance, exécution opérationnelle, éléments de preuve — avec les articles de référence.

·Lecture : 10 min·Pour Direction, conformité, RSSI, RCCI
Cartographie des livrables DORA

Beaucoup d'entités accumulent des politiques sans articuler qui décide, qui exécute, qui prouve. Cette cartographie organise les livrables DORA en trois niveaux : Pilotage & Gouvernance → Opérationnel → Preuve.

Les flèches logiques vont du haut (décision) vers le bas (traçabilité).

Niveau 1 — Pilotage & gouvernance

Décision, arbitrage, redevabilité.

Livrable Rôle
Stratégie DORA Cadre d'orientation (Art. 6 / Art. 5)
Comité Risques TIC Approuve stratégie, politique risques, plan d'audit TIC
Comité Résilience Valide scénarios de tests, arbitre niveaux de service dégradé
Comité Incidents majeurs Qualification incidents majeurs, activation PCA/PRA
Comité Tiers critiques Criticité, plans de sortie, multi-fourniture
RACI Direction / RSSI / RCCI / DSI Qui décide, exécute, contrôle, informe
Mécanismes d'arbitrage Acceptation de risque, priorisation des remédiations

Sans ce niveau, le reste du dispositif produit des documents — pas une gouvernance démontrable.

Niveau 2 — Opérationnel

Socle fondationnel : identification

Tout part de là :

  • Inventaire des fonctions métier critiques
  • Inventaire des processus dépendants de tiers
  • Inventaire des actifs TIC critiques
  • Owners des inventaires + règles de mise à jour

Sans inventaires tenus, registre d'information, incidents et plans de sortie restent incohérents. Voir guide registre.

Chaîne de résilience

  1. Protection & prévention (Art. 9) — politiques sécurité, actifs, chiffrement, identité
  2. Détection (Art. 10) — surveillance, mécanismes d'anomalies
  3. Gestion des incidents TIC (Ch. III) — politique, processus, critères d'incident majeur
  4. Réponse & récupération (Art. 11) — continuité TIC, ICT BCP, plans de réponse
  5. Apprentissage (Art. 13) — sensibilisation, formation, post-incident / RCA

Voir cheat sheet incidents.

Pilier stratégique : risques tiers TIC

  • Stratégie risques tiers TIC (Art. 28)
  • Politique services TIC critiques / importants
  • Registre d'information (RoI) — obligation structurante
  • Plans de sortie

Voir TPRM et exit plan.

Niveau 3 — Éléments de preuve

Traçabilité, historisation, vérifiabilité.

Preuves réglementaires

  • Registre des incidents TIC
  • Registre d'information des tiers
  • Journaux d'activité (logging)
  • Notifications d'incidents majeurs
  • Rapport de revue du cadre de risques TIC
  • Plan d'audit TIC

Preuves de pilotage

  • CR des comités (risques TIC, résilience, tiers critiques)
  • Revues de politiques / procédures suite tests ou incidents
  • Décisions d'acceptation de risques
  • Documentation des tests ICT BCP

Comment lire cette carte

  1. Gouvernance d'abord — sans comités et RACI, les politiques ne tiennent pas
  2. Inventaires ensuite — ils alimentent RoI, criticité, incidents
  3. Chaîne opérationnelle — protection → détection → incident → récupération → apprentissage
  4. Preuves en continu — pas reconstruites la veille d'un contrôle

Légende pratique

Type Exemple
Stratégie Stratégie DORA, stratégie risques tiers
Politique Sécurité, incidents, continuité
Procédure / document Processus, inventaires, plans
Preuve CR, registres, notifications, tests

Le rôle d'Axenia. Axenia relie exigences, contrôles, preuves, tiers et incidents sur un même socle — pour que la cartographie des livrables ne reste pas un PowerPoint, mais un dispositif vivant.