Audit de conformité réglementaire
Évaluez votre niveau de conformité DORA ou NIS2 et définissez une feuille de route de remédiation priorisée.
Qu'est-ce qu'un audit DORA / NIS2 ?
Un audit de conformité DORA ou NIS2 évalue le niveau de préparation de votre organisation au regard des exigences réglementaires européennes en matière de résilience opérationnelle numérique et de cybersécurité.
Le règlement DORA (UE 2022/2554), applicable depuis janvier 2025, impose aux entités financières des exigences strictes en matière de gestion des risques liés aux technologies de l'information et de la communication (TIC). La directive NIS2 (UE 2022/2555) élargit quant à elle le périmètre des organisations concernées et renforce les obligations en matière de cybersécurité pour les entités essentielles et importantes.
L'audit permet d'identifier précisément les écarts entre vos pratiques actuelles et les exigences réglementaires, puis de définir une feuille de route de remédiation priorisée. Il constitue un outil de pilotage essentiel pour le management et les organes de gouvernance.
Le règlement DORA s'articule autour de cinq piliers que notre audit couvre de manière exhaustive : la gestion des risques TIC, incluant le cadre de gouvernance et les politiques ; la gestion des incidents, couvrant la détection, la classification et le signalement des incidents majeurs ; les tests de résilience opérationnelle numérique par le biais d'évaluations de vulnérabilités et de tests de pénétration ; la gestion des risques liés aux tiers, portant sur la surveillance des prestataires TIC et les dispositions contractuelles ; et le partage d'informations sur les cybermenaces.
résilience numérique entités financières
cybersécurité entités essentielles
piliers couverts par l'audit
Comment procédons-nous ?
L'audit suit un processus structuré en quatre phases, couvrant les aspects organisationnels, fonctionnels et techniques.
Collecte des informations
Échange avec les parties prenantes pour identifier les systèmes et services TIC existants, comprendre les flux d'information et identifier les fonctions critiques ou importantes au sens de la réglementation. Revue de l'inventaire des actifs TIC, de la documentation de gestion des risques, des processus de gestion des incidents, des tests documentés et du cadre contractuel avec les prestataires TIC.
Analyse
Analyse d'écarts détaillée entre les pratiques actuelles et les exigences réglementaires via la plateforme MONARC. Évaluation pragmatique des domaines opérationnels critiques : stratégies de sortie, risque de concentration, procédures de sauvegarde, plans de reprise d'activité et preuves de tests documentées.
Livrables & restitution
Analyse de conformité dans MONARC évaluant point par point la conformité aux exigences réglementaires, réutilisable pour les itérations futures. Rapport de conformité complet avec vue claire des écarts et recommandations de remédiation. Présentation au management lors d'une session de restitution.
Remédiation
Accompagnement dans la mise en œuvre des mesures correctives : rédaction de documents internes (politique de gestion des risques TIC, procédures de gestion des incidents, plans de continuité), mise en place de mesures organisationnelles ou techniques, et animation de sessions de formation.
Prérequis
Inventaire des actifs TIC et des systèmes d'information. Documentation existante : politiques de sécurité, procédures de gestion des incidents, plans de continuité, contrats fournisseurs TIC. Accès aux personnes clés : responsables conformité, équipes IT, sécurité et gestion des risques. Identification des fonctions critiques ou importantes au sens de la réglementation. Un interlocuteur dédié côté client pour le pilotage de la mission.
Services financiers
Audit indépendant de conformité DORA pour une société d'assurance et de réassurance
Une société luxembourgeoise active dans l'assurance et la réassurance avait logiquement engagé depuis plus d'un an un programme de mise en conformité avec le règlement DORA. Après cette première phase de travaux internes, la direction a souhaité réaliser un audit indépendant afin de s'assurer que l'organisation était bien en phase avec l'ensemble des exigences du règlement.
Tomeris a réalisé un audit de conformité DORA couvrant les cinq piliers du règlement. L'analyse, conduite à l'aide de la plateforme MONARC, a évalué point par point la posture de l'entreprise sur les volets organisationnels, fonctionnels et techniques : gouvernance des risques TIC, gestion des incidents, tests de résilience, encadrement des prestataires tiers et partage d'informations.
L'audit a permis d'identifier les écarts résiduels et de produire des recommandations pragmatiques, directement exploitables par les équipes en place. Le rapport de conformité et l'analyse MONARC ont été remis à la direction, leur offrant une vision claire du chemin restant à parcourir pour démontrer sa conformité auprès du régulateur.
Un suivi régulier est planifié pour accompagner la mise en œuvre des recommandations et mesurer l'évolution de la posture de conformité.
Résultats
Prêt à évaluer votre conformité ?
Demandez un audit DORA ou NIS2 et obtenez une analyse d'écarts complète avec une feuille de route de remédiation priorisée.