Objectifs pédagogiques
- Comprendre les exigences du règlement DORA et des textes de niveau 2 en matière de gestion des risques liés aux tiers et en matière de tests
- Définir ou adapter un plan d'actions en matière de gestion des risques liés aux tiers adapté à sa structure
- Disposer des éléments clés pour élaborer un programme de tests de résilience opérationnelle numérique
Public visé
DG, directeur et responsable juridique, directeur et responsable des services informatiques, responsable de la sécurité des systèmes d'information (RSSI), responsable PUPA, responsable de la cybersécurité, directeur et responsable de la conformité ou du contrôle permanent, directeur des risques, responsable des achats, directeur de l'audit interne, investisseur, et toute personne intéressée par le sujet.
Les + pédagogiques
- Une démarche pédagogique pour expliquer les attendus de la réglementation.
- Une approche opérationnelle pour vous adresser les bonnes pratiques à adopter dans la mise en place de la règlementation DORA.
- Une formation unique pour le secteur du capital-investissement et dédiée à cette industrie.
- Des experts du sujet qui viennent transmettre leur savoir et partager leurs bonnes pratiques.
- Un support pédagogique sera mis à disposition des participants.
Informations pratiques
- Durée : 1/2 jour (3,5 heures)
- Horaires : 14 h / 17 h 30
- Lieu : Paris
Programme
ATELIER 1 - DORA : TESTS DE RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE (1h30)
INTRODUCTION
- La stratégie globale de résilience opérationnelle numérique
- Les objectifs du programme de tests de résilience opérationnelle numérique
CRÉER ET METTRE EN OEUVRE UN PROGRAMME DE TESTS DE RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE
- Approche par les risques et application du principe de proportionnalité
- Les outils et les systèmes TIC concernés
- Méthodologie et types de tests à réaliser et selon quelle périodicité
- Mettre en œuvre et s'assurer de la conduite des tests par toutes les parties prenantes
Intégration dans les dispositifs de tests existants en matière de sécurité des SI, Continuité d'Activité et Gestion de Crise (notamment les tests PCA/PRA)
CONDUIRE DES TESTS DE PÉNÉTRATION AVANCÉS FONDÉS SUR LA MENACE (TLTP)
- Les entités financières concernées et les critères d'évaluation
- Les notions clés et les principales étapes d'un TLPT
- L'articulation entre la méthodologie DORA TLPT et le cadre TIBER
- La couverture des fonctions critiques ou importantes
- Les exigences applicables aux testeurs internes et externes
- La participation des prestataires de services tiers
- Le principe de reconnaissance mutuelle au niveau européen
DÉTERMINER UNE PROCÉDURE À SUIVRE EN CAS DE PROBLÈME
- Identifier le(s) problème(s), le(s) hiérarchiser et classer selon leur degré de criticité
- Mettre en œuvre une procédure de gestion et de résolution du problème et en assurer le suivi
- Définir des procédures de revue et de validation interne pour veiller à ce que toutes les faiblesses, défaillances ou lacunes recensées soient entièrement corrigées et suivre la mise en œuvre des plans de remédiation
ATELIER 2 - DORA : LA GESTION DES RISQUES LIÉS AUX PRESTATAIRES DE SERVICES TIC (1h30)
INTRODUCTION
- Une harmonisation des exigences en en matière de gestion des risques liés aux tiers
- Qu'est-ce qu'un service TIC (Technologies de l'information et de la Communication) ?
- Quel périmètre des prestataires de services TIC couvrir ?
- Comment appliquer le principe de proportionnalité ?
VUE D'ENSEMBLE DES EXIGENCES EN MATIÈRE DE GESTION DES RISQUES LIÉS AUX PRESTATAIRES DE SERVICES TIC
- La gestion des risques liés aux tiers tout au long du cycle de vie de la relation
- La définition d'une politique d'utilisation des services TIC supportant les fonctions critiques ou importantes
- Les obligations contractuelles
- La tenue d'un registre d'information portant sur tous les contrats conclus avec les prestataires de services TIC
- Les nouvelles exigences en matière de gestion de la sous-traitance
LE NOUVEAU CADRE DE SURVEILLANCE DES PRESTATAIRES DE SERVICES TIC CRITIQUES AU NIVEAU DE L'UE
- Un nouveau statut de prestataire de services critiques au niveau de l'UE
- Des exigences élevées à respecter pour continuer à être un partenaire de confiance du secteur financier
..................................................................................
MODALITÉS D'ÉVALUATION DE LA FORMATION :
- Un questionnaire d'évaluation des acquis mesurant l'atteinte des objectifs pédagogiques est proposé en fin de formation.
- Un questionnaire "à chaud' évaluant la satisfaction globale est envoyé une heure après la formation.
- Un questionnaire "à froid" portant sur la mise en œuvre des acquis est envoyé 2 mois après la formation.
ACCESSIBILITÉ DE NOS FORMATIONS AUX PERSONNES EN SITUATION DE HANDICAP
L'équipe de l'Académie France Invest est formée à l'accueil d'un public en situation de handicap et est en lien avec les différents réseaux partenaires (AGEFIPH, CAP EMPLOI et MDPH).
Pour permettre aux personnes en situation de handicap de suivre nos formations dans les meilleures conditions, l'équipe de l'Académie France Invest se tient à leur disposition pour trouver la solution adaptée à chaque situation et anticiper les aménagements nécessaires.
Pré-requis
Être sensibilisé à la règlementation DORA ou avoir suivi la matinée « DORA : cybersécurité et résilience opérationnelle digital appliquée au capital-investissement ».
Intervenant(s)
Monique Tavares, Directrice, experte règlementaire au sein de PwC France & Maghreb
Monique a suivi les travaux d’élaboration du règlement DORA depuis la proposition de la Commission européenne en 2020 et aujourd’hui avec la publication des normes techniques réglementaires et d’exécution (RTS/ITS). Monique a contribué à la publication en février 2023 du livre blanc « DORA Les 10 enjeux clés pour une mise en conformité réussie » et publie régulièrement des focus et des analyses partagés avec nos clients. Monique apporte son expertise dans les missions d’analyse d’écarts et de détermination de la feuille de route ainsi que dans les missions de mise en œuvre réalisées pour les entités financières et les prestataires de services TIC. Elle est membre du groupe de travail PwC DORA qui travaille en collaboration avec les experts du réseau PwC.
Plus largement, Monique suit les initiatives réglementaires visant à renforcer la résilience opérationnelle numérique et cyber (NIS 2, CRA, IA act,…).
Emmanuel Vandangeon, Directeur en gestion des risques technologiques, PwC France & Maghreb
Emmanuel est spécialisé dans la maitrise des risques IT dans le secteur des services financiers. Il accompagne notamment des entreprises dans leur mise en conformité avec la Réglementation DORA depuis 2022 (analyse d'écarts, élaboration et mise en œuvre de feuille de route). Il anime également des sessions de formation et de sensibilisation sur ces sujets auprès du management, d'équipes opérationnelles et au sein d'associations professionnelles.
Il est membre du groupe de travail PwC DORA qui travaille en collaboration avec les experts du réseau PwC et il a développé un outil d'auto-évaluation sur la mise en conformité DORA.
