Gestion du risque ICT
Un cadre documenté de gestion du risque ICT approuvé par l'organe de direction : la responsabilité incombe au conseil, pas seulement à l'IT. Cartographie des actifs, protection, détection, réponse et rétablissement.
DORA impose aux entités financières une résilience opérationnelle numérique démontrable : risque ICT gouverné par le conseil, incidents majeurs notifiés en quelques heures, tests guidés par la menace réelle. Une attaque contre le secteur financier n'est pas un événement de bilan : c'est quelqu'un, avec un nom et des TTP connues.
DORA ne demande pas des politiques : il demande de détecter, classifier, notifier, tester et superviser. Chaque pilier présuppose une opération qui fonctionne réellement, 24·7·365.
Un cadre documenté de gestion du risque ICT approuvé par l'organe de direction : la responsabilité incombe au conseil, pas seulement à l'IT. Cartographie des actifs, protection, détection, réponse et rétablissement.
Classification des incidents ICT et notification des incidents majeurs au superviseur : 4 heures après la classification, rapport intermédiaire à 72 heures, rapport final sous 1 mois. Modèles harmonisés (RTS 2025/301).
Un programme de tests proportionné au risque, jusqu'aux TLPT fondés sur TIBER-EU au moins tous les 3 ans pour les entités importantes : des scénarios construits sur les acteurs qui ciblent réellement le secteur.
Registre des contrats ICT, clauses obligatoires, stratégies de sortie, supervision européenne directe des prestataires critiques. La résilience de votre fournisseur devient une partie de la vôtre.
Échange volontaire de cyber threat intelligence entre entités financières : IOC, TTP, alertes sectorielles. La défense du secteur est collective ou n'est pas.
Plus de 20 catégories d'entités financières : banques, entreprises d'investissement, assureurs et réassureurs, établissements de paiement et de monnaie électronique, gestionnaires de fonds, plateformes de négociation, prestataires de services sur crypto-actifs, plus les prestataires ICT critiques désignés. Contrairement à NIS2, DORA est un règlement : identique dans toute l'UE, sans transposition nationale, applicable depuis le 17 janvier 2025.
Détection et confinement en minutes, preuves et chronologie prêtes pour la notification en 4 heures. La classification repose sur des faits, pas sur des estimations.
Découvrir MDR →Intelligence sur 287 groupes adverses et outils d'attaque suivis : scénarios threat-led pour les tests TIBER-EU et contribution au partage sectoriel.
Découvrir CTI →La verticale Fortgale pour le secteur financier : acteurs actifs contre les banques européennes, cas documentés et architecture du service.
Vers la verticale →Les entités financières de l'UE : banques, entreprises d'investissement, assureurs, établissements de paiement et de monnaie électronique, gestionnaires de fonds, plateformes de négociation, prestataires crypto, plus les prestataires ICT critiques désignés. En France, la supervision relève de l'ACPR et de l'AMF, avec les ESAs (EBA, ESMA, EIOPA).
Trois étapes (RTS 2025/301) : notification initiale dans les 4 heures suivant la classification comme majeur, au plus tard 24 heures après la détection ; rapport intermédiaire dans les 72 heures ; rapport final sous 1 mois avec analyse complète des causes racines.
DORA est lex specialis : sur les obligations qu'il couvre (risque ICT, notification, tests), il prévaut sur NIS2 pour les entités financières. Les fournisseurs non financiers de la chaîne restent dans le périmètre NIS2.
Des tests de pénétration fondés sur la menace, sur le cadre TIBER-EU : des scénarios construits sur les acteurs et les TTP qui ciblent réellement votre secteur. Au moins tous les 3 ans pour les entités importantes. Leur qualité dépend de la threat intelligence qui les alimente.
Oui, depuis le 17 janvier 2025, dans tous les États membres et sans transposition nationale. Les normes techniques sur la notification, les tests et les tiers sont opérationnelles.
Un assessment DORA clarifie la distance entre votre capacité opérationnelle et celle que le règlement présuppose. SOC européen basé à Milan depuis 2017, 24·7·365 : réponse sous un jour ouvré.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.