Cours sur la Loi sur la résilience opérationnelle numérique (DORA)

Description: Le cours offre une compréhension complète de la loi sur la résilience opérationnelle numérique (DORA) et de son impact sur les institutions financières. Les participants acquerront des connaissances sur le cadre réglementaire de DORA, ses éléments clés et les stratégies pratiques pour garantir la conformité. Grâce à des études de cas interactives, des discussions de groupe et des exercices pratiques, les participants apprendront à mettre en œuvre efficacement les exigences DORA, à améliorer la gestion des risques liés aux TIC et à renforcer la résilience numérique de leurs organisations.
​
Le cours fournit aux participants des connaissances pratiques et des applications concrètes pour favoriser la conformité DORA dans leurs organisations.
Objectifs: Le cours DORA vise à atteindre les objectifs suivants:
✔ Comprendre la portée et les objectifs de DORA;
✔ Identifier et appliquer les éléments clés de la législation;
✔ Mettre en œuvre des cadres de gestion des risques TIC alignés sur les exigences DORA;
✔ Développer des mécanismes de signalement et de réponse aux incidents;
✔ Renforcer les stratégies de gestion des risques des fournisseurs tiers;
✔ Réaliser des tests de résilience opérationnelle et des activités de supervision.
Destinataires:
✔ RSSI, sécurité informatique et gestionnaires de risques;
✔ Responsables de conformité et conseillers juridiques;
✔ Dirigeants financiers et professionnels de la gouvernance;
✔ Fournisseurs de TIC travaillant avec des institutions financières.
1. Introduction à DORA (2h)
• Qu'est-ce que DORA ? Aperçu de la législation européenne et de sa pertinence;
• Objectifs DORA : Renforcer la résilience numérique dans le secteur financier;
• Portée: qui doit s'y conformer? Banques, compagnies d'assurance, sociétés d'investissement, prestataires de services de paiement et fournisseurs de TIC tiers.
• Composants clés de DORA:
o Gestion des risques liés aux TIC;
o Rapports d'incidents;
o Tests de résilience opérationnelle;
o Gestion des risques des fournisseurs tiers;
o Partage d'informations Étude de cas:
Exemples concrets d'institutions financières touchées par des pannes de TIC et des cyberincidents.
2. Cadre de gestion des risques TIC (3h)
• Construire une stratégie numérique résiliente
o Identification et gestion des risques TIC;
o Structures de gouvernance et de responsabilisation;
o Politiques, procédures et contrôles;
• Conformité aux exigences de gestion des risques DORA ICT
o Identification, protection, détection, réponse et rétablissement face aux risques liés aux TIC;
o Articles clés de DORA liés à la gestion des risques liés aux TIC;
• Meilleures pratiques pour la surveillance des risques
o Détection continue des menaces et atténuation proactive.
Discussion de groupe: Comment votre organisation gère-t-elle actuellement les risques liés aux TIC ? Identifier les lacunes en matière de gouvernance.
​
3. Rapport d'incident et réponse (3h)
• Exigences de rapport d'incident DORA
o Délais et procédures de signalement des incidents TIC significatifs;
o Obligations de reporting interne et externe;
o Rôle du CERT-EU, d'Europol et des autorités nationales de surveillance.
• Élaborer un plan de réponse efficace aux incidents
o Mesures à prendre avant, pendant et après un cyberincident;
o Procédures de détection et d'escalade des incidents;
o Communication avec les parties intéressées.
Étude de cas: Target Data Breach (2013) – Leçons apprises sur les échecs de gouvernance de la réponse aux incidents.
​


4. Gestion des risques des fournisseurs tiers (2h)
• Exigences DORA pour la gestion des risques liés aux fournisseurs tiers
o Supervision des fournisseurs TIC critiques;
o Obligations contractuelles et évaluation des risques;
o Surveillance des fournisseurs et assurance de leur conformité;
• Gestion des risques fournisseurs o Évaluation des fournisseurs et mise en place de contrôles;
o Assurer la résilience des services TIC externalisés;
o Stratégies de sortie pour les fournisseurs à haut risque.
Étude de cas : Marriott International Data Breach (2018) – Échecs de la gouvernance des risques des fournisseurs tiers.
Mise en œuvre pratique et tests
5. Test de résilience opérationnelle (3h)
• Exigences des tests DORA
o Tests d'intrusion et évaluations de vulnérabilité;
o Tests d'intrusion axés sur les menaces (cadre TIBER-UE);
o Tests de résilience basés sur des scénarios.
• Développement d'un programme de tests de cyber-résilience
o Identification des systèmes TIC critiques;
o Simulation de cyberattaques;
o Évaluation de la réponse et de la récupération des systèmes.
Exercice pratique : les participants conçoivent et discutent d'un cadre de test de résilience pour leurs organisations.
​
6. Partage d'informations et de renseignements (2h)
• Rôle du partage d'informations dans la conformité DORA
o Collaboration entre organismes financiers et régulateurs ;
o Réduction du risque systémique grâce à l'échange d'informations ;
• Défis et considérations
o Problèmes de confidentialité;
o Équilibrer transparence et sécurité;
Table ronde: Comment les institutions financières peuvent-elles bénéficier du partage de renseignements sur les cybermenaces ?
7. Gouvernance et responsabilité dans la conformité DORA (3h)
• Rôles et responsabilités de la haute direction
o Exigences de gouvernance DORA (articles 4 à 6) ;
o Rôle des conseils d'administration et des comités exécutifs ;
• Assurer la conformité et éviter les pénalités
o Rapports périodiques à la direction ;
o Audits et évaluations réglementaires ;
Étude de cas : Échecs de la surveillance du conseil d'administration dans la gouvernance de la cybersécurité et leurs conséquences.
8. Atelier final : DORA en action (2h)
Étude de cas interactive : les participants travailleront en équipes pour appliquer les principes DORA à une institution financière simulée confrontée à des risques liés aux TIC. Ils élaboreront un plan de conformité couvrant:
​
✔ Stratégies de gestion des risques liés aux TIC ;
✔ Procédures de réponse aux incidents et de reporting ;
✔ Mesures d'atténuation des risques liés aux fournisseurs tiers ;
✔ Programmes de tests de résilience.
Les équipes présenteront leurs plans de mise en œuvre DORA, suivis de commentaires d'experts
​
​
Le cours est dispensé par Jelena Zelenovic Matone, une éminente leader en cybersécurité, connue pour sa vision stratégique et ses contributions marquantes dans le domaine de la cybersécurité et de la gestion des risques. Fort d'une vaste expérience sur plusieurs continents, il a occupé des postes de direction au sein d'institutions financières mondiales, occupant actuellement le poste de directeur principal et directeur de la sécurité de l'information (RSSI) à la Banque européenne d'investissement.
Tout au long de sa carrière, Jelena a été honorée de nombreux prix prestigieux, dont CISO de l'année au Luxembourg (2019), CISO Sentinel World (2020) et CISO Europe (2021), qui soulignent son leadership exemplaire dans le domaine de la cybersécurité. Elle est une fervente défenseure de la diversité et de l'inclusion et a fondé la section luxembourgeoise de Women4Cyber ​​​​et l'association WomenCyberForce pour promouvoir la résilience et la croissance dans le secteur de la cybersécurité.
Experte des meilleures pratiques bancaires de l'UE, de la gestion des risques et de la transformation technologique, Jelena excelle dans l'établissement de relations clients solides, la conduite de l'innovation organisationnelle et la fourniture d'informations stratégiques aux niveaux supérieurs. Son leadership se caractérise par un engagement à améliorer continuellement, à favoriser la collaboration et à guider les équipes dans la gestion des défis complexes en matière de cybersécurité et de risques dans le paysage numérique en évolution rapide d'aujourd'hui.