PROVA DORA Risk Manager 601
Gestion des risques liés aux TIC dans le secteur financier (DORA) : tests de résilience, gestion des prestataires critiques.
Compétences clés
- ✓Mettre en œuvre le cadre de gestion des risques TIC selon DORA
- ✓Piloter les tests de résilience opérationnelle numérique (TLPT)
- ✓Gérer et contrôler les prestataires de services TIC critiques
- ✓Assurer la notification des incidents TIC majeurs aux autorités de surveillance
Est-ce fait pour vous ?
✓ Cette certification est faite pour vous si :
- →Responsables des risques TIC dans des entités financières régulées
- →RSSI du secteur bancaire, assurance, gestion d'actifs
- →Compliance officers spécialisés dans la réglementation financière numérique
- →Directeurs des risques opérationnels intégrant DORA dans leur dispositif
Prérequis & conditions d'accès
Connaissance du secteur financier régulé et des risques opérationnels. Exposition aux concepts de gestion des risques TIC ou de continuité d'activité recommandée. Pas de certification préalable obligatoire.
Options d'achat
Voucher d'examen, parcours LMS, packs économiques — composez votre panier
Options d'achat
Composez votre parcours — voucher d'examen, préparation LMS, packs entreprise.
Compétences évaluées
Cadre de gestion des risques TIC
Mise en œuvre du cadre DORA : politique de gestion des risques TIC, appétit au risque, cartographie des actifs critiques, continuité des activités et plans de reprise TIC.
Tests de résilience TLPT
Planification et supervision des tests de pénétration basés sur la Threat Intelligence (TLPT) : cadre TIBER-EU, sélection des testeurs, interprétation des résultats et plans de remédiation.
Gestion des prestataires TIC
Supervision des prestataires TIC critiques : contrats DORA, registre des arrangements, droits d'audit, concentration des risques et stratégie de sortie.
Notification des incidents
Classification et notification des incidents TIC majeurs : délais (4h/24h/1 mois), contenu des notifications aux autorités de surveillance (BCE, ACPR, AMF) et communication aux clients.
Format de l'examen
Programme
Le règlement DORA : cadre, champ d'application et gouvernance
Genèse de DORA : de la consultation à l'entrée en vigueur (17 janvier 2025). Champ d'application : 20 catégories d'entités financières (banques, assureurs, gestionnaires d'actifs, CCP, référentiels de données). Entités exclues et proportionnalité. Architecture du règlement : 5 piliers. Normes techniques de réglementation (RTS) et normes techniques d'exécution (ITS). Rôle des autorités de surveillance : BCE, ABE, AEAPP, AEMF, ACPR, AMF. Interaction DORA / NIS2 / RGPD / BCR.
Pilier 1 : Gouvernance et gestion des risques TIC
Responsabilités de l'organe de direction : approbation du cadre, suivi des risques TIC, formation obligatoire. Cadre de gestion des risques TIC : politique, appétit au risque, tolérance. Cartographie des actifs TIC : systèmes critiques, fonctions critiques, interdépendances. Classification des risques TIC : identification, évaluation, traitement, surveillance. Continuité des activités et plans de reprise TIC : RTO, RPO, tests. Politique de sauvegarde et de restauration. Communication sur les risques TIC au conseil d'administration.
Pilier 2 : Gestion des incidents TIC
Classification des incidents TIC : critères de classification majeur/non-majeur selon les RTS ABE. Système de gestion des incidents : détection, enregistrement, classification, notification, résolution, REX. Notification des incidents majeurs : alerte initiale (4h), rapport intermédiaire (24h), rapport final (1 mois). Notification aux clients : seuils, délais, contenu. Déclaration volontaire des cybermenaces. Centralisation européenne : plateforme unique de notification (horizon 2026). Coordination avec les CSIRT et autorités judiciaires.
Pilier 3 : Tests de résilience opérationnelle numérique
Programme de tests DORA : tests de base (annuels) et tests avancés TLPT. Tests de base : revue de vulnérabilités, analyse de code source, tests de scénarios, tests de compatibilité, tests de performance réseau. TLPT (Threat-Led Penetration Tests) : cadre TIBER-EU, entités concernées (seuils), fréquence (3 ans). Processus TLPT : phase de préparation, phase de test (red team), phase de clôture. Sélection des testeurs : critères de qualification, indépendance. Partage des résultats entre entités et reconnaissance mutuelle. Plans de remédiation et validation des correctifs.
Comment financer votre certification
3 solutions pour couvrir le coût de votre certification
OPCO — Prise en charge employeur
Demandez à votre employeur une prise en charge via votre OPCO (plan de développement des compétences).
Personnel — 550€ TTC
Paiement en ligne sécurisé par carte bancaire (Stripe).
Questions fréquentes
DORA s'applique-t-il uniquement aux grandes banques ?
Non. DORA s'applique à 20 catégories d'entités financières, dont les petites institutions de crédit, les entreprises d'investissement, les établissements de monnaie électronique, les prestataires de services de paiement et les compagnies d'assurance. Un principe de proportionnalité s'applique aux entités de petite taille.
Qu'est-ce qu'un TLPT et toutes les entités doivent-elles en faire ?
Un TLPT (Threat-Led Penetration Test) est un test de pénétration avancé basé sur la Threat Intelligence, réalisé sur des systèmes critiques en production. Seules les entités financières significatives désignées par les autorités sont tenues d'en réaliser (fréquence : tous les 3 ans minimum). Les autres réalisent des tests de vulnérabilité standard.
Comment DORA interagit-il avec NIS2 ?
DORA est lex specialis par rapport à NIS2 pour les entités financières : quand DORA s'applique, les exigences NIS2 correspondantes s'effacent. DORA est cependant plus exigeant que NIS2 sur les risques TIC — toutes les entités financières soumises à DORA bénéficient d'une exemption NIS2 partielle.
Cette certification couvre-t-elle aussi les fintechs ?
Oui. DORA s'applique aux établissements de paiement, aux PSIV et à certaines fintechs selon leur agrément. Le programme intègre des cas pratiques sur les entités de paiement et les néobanques.
Quel est le niveau de responsabilité des dirigeants sous DORA ?
DORA impose une responsabilité personnelle des membres de l'organe de direction : approbation du cadre de risques TIC, formation obligatoire en cybersécurité, suivi des incidents majeurs. Des sanctions individuelles sont prévues en cas de manquement grave.
Droits du candidat
Transparence
Les critères de décision et le barème sont documentés et accessibles avant l'examen.
Droit d'appel
Toute décision peut être contestée dans les 30 jours. Examen par un tiers indépendant.
Plainte
Toute personne peut signaler un dysfonctionnement. Formulaire public accessible sans compte.