DORA Mixte : présentiel / à distance

A l'issue de la formation, le stagiaire sera capable de prendre en compte les exigences réglementaires du référentiel DORA en matière de résilience numérique.

• Connaître la réglementation DORA
• Savoir mettre en place les mesures de conformité
• Anticiper les impacts opérationnels dans son organisation

Jour 1

• Présentation du cadre réglementaire DORA : piliers fondamentaux et périmètre d'application.
• Analyse des impacts concrets sur l'organisation et ses métiers.
• Cartographie des obligations DORA.
• Mise en perspective avec les normes ISO 27001, ISO 22301 et les systèmes de management internes (SMI).
• Approche intégrée de la gouvernance de la résilience numérique.

Fil rouge en partant d'un cas fictif d'entreprise : cartographier en sous-groupe les impacts DORA sur plusieurs métiers (IT, projets, juridique)

Module 2 : Gestion des risques TIC et identification des prestations critiques (PCI)

• Application des articles 5 à 9 du règlement DORA relatifs à la gestion des risques TIC.
• Méthodologie d'identification des Prestations Critiques d'Importance (PCI).
• Évaluation des risques basée sur l'usage métier et la dépendance client (et non la technologie seule).
• Corrélation entre PCI, DSI, directions métiers, contrats clients, PCA/PRA.

Fil rouge en partant d'un cas fictif d'entreprise : identifier les PCI de cette entreprise et évaluer les risques associés

Module 3 : Identification et notification des incidents liés aux TIC

• Application des articles 17 à 20 de DORA concernant les incidents TIC.
• Identification d'un incident majeur selon les critères réglementaires.
• Déclinaison du processus de notification : délais, rapports initiaux, intermédiaires et finaux.
• Répartition des responsabilités : organisation, client, autorité régulatrice.

Fil rouge en partant d'un cas fictif d'entreprise : dans le cas d'un incident majeur, qualifier l'incident et préparer le rapport de notification en sous-groupe, puis débrief collectif en intégrant les exigences DORA

Jour 2

• Mise en œuvre d'un programme de test de résilience numérique (articles 24 à 27 de DORA).
• Priorisation des actifs critiques à tester selon l'approche TIBER-EU, Red Team, etc.
• Typologie des tests, critères de sélection et indicateurs clés de pilotage.
• Alignement avec les exigences ISO 22301, bonnes pratiques ANSSI PIA/PRA.

Module 5 : Audit des prestataires et contractualisation DORA

• Approfondissement des articles 28 à 31 de DORA relatifs à la sous-traitance.
• Introduction aux principes de l'ISO 19011 pour la réalisation d'audits internes/externes.
• Analyse des avenants contractuels et identification des écarts de conformité.
• Méthodologie d'audit des prestataires de services TIC et suivi des engagements contractuels.

Fil rouge en partant d'un cas fictif d'entreprise : analyse d'un test pour identifier les points forts et les pistes d'amélioration

Module 6 : Échange sécurisé d'informations sur les cybermenaces

• Mise en place d'un dispositif d'échange volontaire d'informations sur les menaces, conformément aux articles 14 à 16 de DORA.
• Typologie des menaces et définition des responsabilités croisées entre acteurs.
• Utilisation de canaux sécurisés et respect des normes ISO 27010, RGPD et exigences DORA.
• Promotion d'une culture de coopération inter-entreprises pour renforcer la résilience collective.

Fil rouge en partant d'un cas fictif d'entreprise : définir les règles d'un accord d'échange sécurisé d'informations entre entreprises

Module 7 : Bilan de la formation

• Questions / Réponses
• Elaboration d'une feuille de route individuelle : priorités d'actions pour engager son organisation

E-learning « Tout comprendre sur le règlement DORA » mis à disposition post-formation et consultable pendant 1 mois pour renforcer ou réviser ses connaissances (e-learning de 40 minutes)

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
  • En groupe (inter-entreprises ou intra-entreprise)
  • En individuel (monitorat)
  • En journée ou en cours du soir (sur demande spécifique)
• Formation en distanciel
  • Distanciel synchrone
  • Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Équilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation :

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulement de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation :

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation :

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.

• Admission sans disposition particulière