Savoir auditer la règlementation dora : exemples de plan d’audit annuel et de méthodologie de réalisation

Formation inter-entreprise

À qui s'adresse la formation?

  • Responsables Résilience Opérationnelle.
  • Responsables PUPA.
  • RSSI.
  • Responsables informatiques.
  • Responsables des risques opérationnels.
  • Directeurs des risques.
  • Fonctions contrôle permanent, conformité.
  • Fonction Audit-inspection.

Durée

1,00 jour(s)

Prochaine session

Objectifs

  • Connaître le dispositif réglementaire DORA et construire un plan d’audit interne.
  • Découvrir des exemples de stratégie et méthodologie d’audit interne DORA
  • Identifier les principaux impacts et réaliser des missions d’audit interne :
  • Pilier 1 gouvernance/risque.
  • Pilier 2 gestion des incidents.
  • Pilier 3 test de résilience.
  • Pilier 4 maitrise des tiers.

Contenu

PARTIE 1 : CONNAITRE LE DISPOSITIF RÈGLEMENTAIRE DORA ET CONSTRUIRE UN PLAN D’AUDIT INTERNE

Enjeux et contexte réglementaire :

  • Enjeux du risque Cyber pour l’industrie bancaire européenne.
  • Risque Opérationnel vs Résilience Opérationnelle.
  • Limites actuelles du cadre réglementaire européen.
  • Objectifs et principales obligations de DORA.
  • Périmètre des entités concernées.
  • Calendrier d’application.
  • ITS/RTS/Guidelines.
  • Définition Fonction Critique ou Importante.

PARTIE 2 : DECOUVRIR DES STRATÉGIES ET MÉTHODOLOGIE DE RÉALISATION DE MISSION D’AUDIT INTERNE

Savoir utiliser les techniques d’analyse et de détection des risques dans une mission d’audit :

  • Préparer les livrables d’audit interne
  • Exemples de plan d’approche.
  • Exemples de plan de contrôles et des objectifs de contrôles.
  • Exemple de cartographie des risques.
  • Exemples de test d’audit.
  • Exemples de planning.

PARTIE 3 : LES STRATÉGIES DE LA RÉALISATION DES MISSIONS D’AUDIT DE SYSTÈME D’INFORMATION

Gestion du risque informatique dans DORA.
Rôles de l’organe de Direction.
Principes de gouvernance.
Cadre de gestion du risque informatique.
Stratégie opérationnelle de résilience numérique.
Continuité d’Activité Sauvegardes et restauration.
Cadre simplifié.
Définitions.
Processus de gestion des incidents informatiques
Classification des incidents Majeurs
Reporting incidents majeurs :
¦Reporting gains et pertes annuelles.
¦Centralisation des notifications d’incidents majeurs.
Exigences en matière de tests - partie intégrante du cadre de gestion des risques liés aux TIC.
Approche par les risques et principes de proportionnalité.
Principes du programme de tests et typologies de tests.
Test de pénétration basé sur la menace (TLPT).
La gestion de crise.
Analyse comparée DORA / Guidelines EBA externalisation.
Définitions et périmètre des tiers concernés.
Politique de gestion des risques liés aux prestataires tiers.
Accords contractuels.
Registre relatif aux services TIC Final report ITS.
Obligations contractuelles.

PARTIE 4 : SYNTHÈSE ET CONCLUSION

Synthèse de la journée.
Évaluation de la formation.

Méthodes pédagogiques

  • Documentation en PowerPoint.
  • Alternance d’illustrations et d’exercices pratiques, d’exercices.
  • QCU, Vrai/Faux, questions/réponses pour vérifier, réviser et confirmer les acquis.
  • Synthèses.

Contact pour cette formation

Maxence Duhayon

Ces formations pourraient vous intéresser