Ce référentiel DORA a été élaboré par June Factory et son
comité d’experts techniques afin de traduire la réglementation
européenne en exigences de conformité concrètes et actionnables.
La version en accès libre comprend 10 exigences de conformité, déclinées en
plus de 100 actions opérationnelles, utilisables à la fois par les
auditeurs, risk managers et les équipes opérationnelles.
L’objectif : permettre une évaluation structurée et démontrable de la conformité DORA,
au-delà d’une simple lecture réglementaire.
🔍
Pour l'Audit Interne (3ème ligne) Actions de vérification, preuves attendues, red flags — pour construire vos programmes d'audit DORA.
⚙️
Pour Direction & Opérationnels (1ère/2ème ligne) Actions de mise en conformité, responsables par fonction — pour piloter l'implémentation.
📊
Sources : Le référentiel s’appuie sur les textes officiels DORA ainsi que sur des
rapports de référence, notamment ceux de l’IFACI, afin d’aligner
exigences réglementaires et pratiques professionnelles d’audit et de contrôle interne.
10
Exigences DORA enrichies
+100
Actions de conformité
Double usage
Audit & opérationnel
🔁 DORA, un enjeu transverse
Une erreur fréquente : traiter DORA comme un sujet purement technique confié à la DSI. DORA crée des obligations à chaque niveau de l'organisation. Le référentiel identifie, pour chaque article, les fonctions directement concernées.
Fonction
Rôle DORA
🔍 Audit Interne
Vérifier la conformité, émettre des recommandations, suivre les plans d'action
🛡️ RSSI
Définir les exigences de sécurité TIC, valider les architectures, superviser les tests
💻 DSI / CTO
Implémenter les contrôles techniques, piloter les prestataires, gérer les incidents
📋 Achats & Juridique
Négocier les clauses contractuelles DORA, gérer les registres de prestataires
⚖️ Conformité
Coordonner le programme DORA, assurer le reporting réglementaire
🎯 Direction Générale
Valider la stratégie de résilience, allouer les ressources, assumer la responsabilité
💡
Selon l'enquête IFACI 2024, le manque de compétences TIC des auditeurs internes est le 4ème obstacle à la conformité DORA. Ce référentiel y répond en explicitant ce que l'Audit Interne doit vérifier — sans supposer d'expertise technique préalable.
📖 Explorer les 10 exigences essentielles
Cette bibliothèque en accès libre permet de parcourir les
10 exigences essentielles pour initier une démarche de
mise en conformité DORA.
Pour aller plus loin, 10 exigences complémentaires sont accessibles en
ouvrant gratuitement une sandbox Auditool, afin d’explorer l’ensemble
du référentiel dans un cadre opérationnel.
Il est également possible de télécharger au format PDF la
totalité des actions de conformité associées aux
10 exigences disponibles en accès libre, directement depuis cette page.
Art. 5.1 – Cadre de gouvernance et contrôle interne
Gestion efficace du risque TIC · Politiques, procédures et rôles · Comité de gouvernance
GratuitGouvernance
13 actions · 4 fonctions↗ Ouvrir
Art. 5.2 – Responsabilité de l'organe de direction
Approbation et supervision du cadre TIC · Appétence au risque · Reporting au conseil
GratuitGouvernance
12 actions · 5 fonctions↗ Ouvrir
Art. 5.3 – Suivi des prestataires de services TIC
Rôle de supervision des tiers TIC · Registre des contrats · Reporting d'exposition
GratuitGouvernance
12 actions · 5 fonctions↗ Ouvrir
Art. 5.4 – Formation et compétences des dirigeants
Suivi des formations TIC · Évaluation des compétences · Plan de développement
Gouvernance
Dans Auditool🔒 Dans Auditool
Art. 6.1 – Cadre de gestion du risque TIC
Cadre solide et documenté · Intégration au système de gestion des risques · Résilience numérique
GratuitGestion du risque
12 actions · 4 fonctions↗ Ouvrir
Art. 6.2 – Contenu du cadre de gestion du risque TIC
Les entités financières disposent d'un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC.
Accès gratuit›
🔍 Audit Interne
4 / 7 actions
Demander le document-cadre de gouvernance TIC et vérifier sa version, date d'approbation et périmètre
Vérifier l'alignement avec les exigences de gestion du risque TIC en contrôlant politiques, procédures et rôles décrits
Contrôler l'existence d'une instance de gouvernance (ex. comité risques/IT) et examiner les PV attestant du suivi régulier
Examiner l'organigramme et les matrices RACI pour confirmer des lignes de responsabilité claires
Vérifier la prise en compte du principe de proportionnalité dans la structuration du cadre…
Échantillonner des processus métiers supportés par TIC et confronter contrôles documentés au réel…
Vérifier la diffusion interne du cadre et les mécanismes de revue périodiques…
⚙️ Direction & Opérationnels
3 / 6 actions
Formaliser et approuver le cadre de gouvernance du risque TIC incluant politiques, procédures et rôles (Direction)
Définir et documenter les lignes de responsabilité via une matrice RACI couvrant toutes les fonctions clés (Direction / RSSI / DSI)
Mettre en place un comité de gouvernance du risque TIC avec calendrier, quorum et ordre du jour type (Direction / RSSI)
Intégrer le principe de proportionnalité dans le cadre (critères, seuils, exemples d'adaptation)…
Diffuser le cadre (intranet, sessions d'acculturation) et tracer la prise de connaissance…
Planifier une revue formelle au moins annuelle avec plan d'actions et propriétaire désigné…
L'organe de direction définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC.
Accès gratuit›
📊 Benchmark IFACI 2024 : Les directions sont identifiées comme responsables ultimes dans 85% des cas, mais seuls 40% ont formalisé des indicateurs de pilotage du risque TIC présentés régulièrement au conseil.
🔍 Audit Interne
4 / 6 actions
Demander les décisions/PV attestant que l'organe de direction a défini, approuvé et supervise le cadre de gestion du risque TIC
Vérifier l'existence d'indicateurs et reportings périodiques vers l'organe de direction sur le risque TIC
Examiner les budgets et plans de ressources dédiés à la résilience opérationnelle numérique et apprécier leur adéquation
Contrôler le document d'appétence/tolérance au risque TIC (seuils, KRI, limites) et vérifier son usage dans la priorisation
Vérifier la structure de gouvernance : comités, chartes, délégations et clarté des lignes d'imputabilité…
Examiner le registre des incidents TIC importants et les procédures de notification rapide…
⚙️ Direction & Opérationnels
4 / 6 actions
Définir, approuver et superviser le cadre de gestion du risque TIC avec un sponsor explicite au niveau de la direction (Direction)
Allouer des ressources et un budget dédiés pluriannuels pour atteindre un niveau élevé de résilience opérationnelle (Direction / Finance)
Définir et formaliser l'appétence/tolérance au risque TIC et les seuils d'alerte associés (Direction / Risk Manager / RSSI)
Instituer des comités, chartes et délégations précisant l'imputabilité et les circuits de décision (Direction / RSSI / DSI)
Mettre en place et tenir à jour un registre des incidents TIC avec procédure de notification…
Établir un reporting périodique au conseil incluant état du risque, incidents et plans de remédiation…
Les entités financières instituent un rôle de suivi des accords conclus avec des prestataires tiers de services TIC, ou désignent un membre de la direction générale chargé de superviser l'exposition aux risques connexe.
Accès gratuit›
🔍 Audit Interne
4 / 6 actions
Demander l'acte de nomination du rôle de suivi des accords tiers TIC ou la désignation d'un membre de la DG responsable
Vérifier la description de fonction (missions : supervision de l'exposition au risque, tenue de documentation, coordination)
Contrôler l'existence d'un registre centralisé des contrats TIC (inventaire, criticité, clauses DORA, durée, réversibilité)
Examiner les rapports de suivi périodiques (exposition aux risques, incidents fournisseurs, résultats d'audits) et leur communication
Échantillonner des contrats critiques pour vérifier la complétude de la documentation et la traçabilité des revues…
Vérifier l'articulation avec la gestion du risque TIC globale (intégration dans le registre des risques)…
⚙️ Direction & Opérationnels
4 / 6 actions
Nommer officiellement un responsable du suivi des accords TIC ou désigner un membre de la DG et publier sa lettre de mission (Direction)
Centraliser et maintenir le registre des contrats TIC avec criticité, cartographie des dépendances et sous-traitants (Achats / DSI / RSSI)
Mettre en place un processus de due diligence initiale et continue des prestataires (Achats / RSSI / Juridique)
Standardiser les exigences contractuelles DORA (SLA, notification d'incidents, droit d'audit, réversibilité) (Juridique / Achats)
Produire un reporting trimestriel sur l'exposition aux risques tiers et le présenter en comité de direction…
Intégrer les risques tiers critiques dans le registre des risques TIC et déclencher des plans de contingence…
Les entités financières disposent d'un cadre de gestion du risque lié aux TIC solide, complet et bien documenté, faisant partie de leur système global de gestion des risques, garantissant un niveau élevé de résilience opérationnelle numérique.
Accès gratuit›
🔍 Audit Interne
4 / 6 actions
Demander le document décrivant le cadre (version, date, propriétaire, périmètre)
Vérifier l'intégration du cadre dans le système global de gestion des risques (références croisées, cartographie des risques d'entreprise)
Contrôler que les objectifs de résilience opérationnelle numérique sont formalisés et mesurables
Examiner l'approbation par l'organe de direction (compte-rendu de comité, décision formelle)
Vérifier la diffusion interne du cadre (canaux, destinataires, preuves de communication)…
Tester sur un échantillon que les équipes appliquent le cadre (entretiens, preuves d'application)…
⚙️ Direction & Opérationnels
4 / 6 actions
Formaliser le cadre de gestion du risque TIC avec périmètre, objectifs, rôles et métriques (Direction)
Intégrer le cadre au référentiel de management des risques d'entreprise (Direction / Risk Manager)
Désigner un propriétaire du cadre et des suppléants (Direction / RSSI)
Valider le cadre en comité de direction et consigner la décision (Direction)
Diffuser le cadre à l'ensemble des équipes concernées et archiver la preuve (RSSI / Communication)…
Former les équipes clés à l'application du cadre (RSSI / DRH)…
Le cadre de gestion du risque TIC englobe au moins les stratégies, politiques, procédures, protocoles et outils nécessaires pour protéger tous les actifs informationnels et TIC, y compris logiciels, matériels, serveurs et infrastructures physiques.
Accès gratuit›
🔍 Audit Interne
3 / 5 actions
Demander l'inventaire des actifs informationnels et TIC (y compris locaux, centres de données, zones sensibles)
Vérifier l'existence de stratégies/politiques/procédures couvrant chaque catégorie d'actifs
Contrôler la prise en compte des risques d'accès/usage non autorisés, dommages et pertes
Examiner la cohérence entre politiques et contrôles techniques/physiques effectifs (échantillons de preuves)…
Vérifier la mise à jour périodique des documents et référentiels d'actifs…
⚙️ Direction & Opérationnels
3 / 6 actions
Cartographier et classer tous les actifs informationnels et TIC, y compris sites et salles sensibles (RSSI / DSI )
Établir et mettre à jour les politiques et procédures de sécurité correspondantes (RSSI)
Déployer les contrôles techniques et physiques alignés (contrôle d'accès, vidéosurveillance, durcissement) (DSI)
Outiller la gestion (CMDB, référentiel d'actifs, solutions IAM / EDR / backup) (DSI)…
Définir un cycle de revue et d'amélioration continue des protections (RSSI)…
Documenter et archiver toutes les preuves de mise en œuvre (Conformité)…
Les entités financières réduisent au minimum l'incidence du risque lié aux TIC en déployant des stratégies, politiques, procédures et outils adéquats, et fournissent des informations complètes et actualisées aux autorités compétentes à leur demande.
Accès gratuit›
🔍 Audit Interne
3 / 5 actions
Vérifier les mesures déployées pour atténuer les risques (plans, contrôles, tableaux de bord)
Examiner le processus de préparation et réponse aux demandes d'information des autorités
Contrôler l'exhaustivité et l'actualisation des informations tenues prêtes (formats, référents)
Tester un cas simulé de demande d'autorité (délais, exhaustivité, traçabilité)…
Vérifier la conservation des preuves et la gouvernance des données transmises…
⚙️ Direction & Opérationnels
3 / 6 actions
Déployer les politiques, procédures et outils de réduction de risque identifiés dans le cadre (RSSI / DSI)
Désigner un point de contact autorité et un suppléant (Direction / Conformité)
Mettre en place un dossier de conformité "prêt à transmettre" (inventaires, politiques, incidents, KPI) (Conformité / RSSI)
Définir un SLA interne pour produire les éléments sur demande des autorités (Direction / RSSI)…
Tenir à jour les informations et journaliser toute transmission aux autorités (Conformité / Juridique)…
Former les équipes impliquées à la gestion de ces demandes réglementaires (Conformité / DRH)…
Gouvernance et indépendance des fonctions de contrôle
Les entités financières confient la responsabilité de la gestion du risque TIC à une fonction de contrôle indépendante, selon le modèle des trois lignes de défense.
Accès gratuit›
🔍 Audit Interne
3 / 5 actions
Demander l'organigramme et la charte de la fonction de contrôle du risque TIC
Vérifier l'indépendance de la fonction (lignes de reporting, absence de conflits d'intérêts)
Contrôler la séparation des trois lignes (gestion, contrôle, audit interne) dans les processus TIC
Examiner des dossiers où la fonction de contrôle a émis des avis et vérifier leur suivi…
Vérifier la couverture des activités TIC critiques par la fonction de contrôle…
⚙️ Direction & Opérationnels
3 / 6 actions
Désigner formellement la fonction de contrôle du risque TIC et son rattachement hiérarchique (Direction)
Établir une charte précisant missions, pouvoirs, indépendance et reporting (Direction / Conformité)
Définir un RACI aligné "trois lignes de défense" sur les processus TIC (RSSI / Audit interne)
Outiller le suivi des avis et contrôles (registre, workflows, escalades) (Conformité / RSSI)…
Prévenir les conflits d'intérêts par séparation d'accès et de rôles (Direction / RH / RSSI)…
Présenter périodiquement au comité de direction l'état des contrôles TIC (Fonction de contrôle)…
Les entités financières assurent un suivi et un contrôle permanents de la sécurité et du fonctionnement des systèmes et outils de TIC, et réduisent au minimum l'incidence du risque TIC par le déploiement d'outils, de stratégies et de procédures appropriés.
Accès gratuit›
🔍 Audit Interne
4 / 7 actions
Demander la cartographie des moyens de surveillance (SIEM, EDR, supervision infra/applicative) et les procédures associées
Collecter des preuves d'un suivi en continu sur une période représentative (journaux, tickets, tableaux de bord, rapports SOC)
Vérifier que la surveillance couvre à la fois sécurité et fonctionnement (disponibilité/performance) des systèmes TIC
Vérifier les seuils d'alerte, critères de criticité et délais d'escalade définis pour les fonctions critiques ou importantes
Échantillonner des incidents/alertes récents pour retracer la détection, l'escalade et les actions de réponse…
Examiner les KPI/KRI et rapports périodiques présentés à la direction (fréquence, contenu, décisions prises)…
Contrôler l'existence et la mise à jour des politiques/procédures de sécurité TIC déployées pour réduire le risque…
⚙️ Direction & Opérationnels
3 / 6 actions
Définir et approuver une stratégie de supervision continue couvrant sécurité et fonctionnement (Direction / RSSI / DSI)
Déployer et configurer les outils de collecte-corrélation d'événements et de supervision applicative/infrastructure (DSI Sécurité)
Paramétrer des cas d'usage d'alerte et des seuils adaptés aux fonctions critiques et importantes (RSSI / Responsable SOC)
Établir des procédures d'escalade et des scénarios de réponse, avec astreinte proportionnée (RSSI / DSI)…
Tenir un registre de preuves (journaux, tickets, rapports) et formaliser le reporting périodique (SOC / RSSI)…
Réviser au moins annuellement la couverture, les seuils et la capacité de surveillance (Direction / RSSI)…
Les entités financières conçoivent, acquièrent et mettent en œuvre des stratégies, politiques, procédures et outils de sécurité TIC pour garantir la résilience, la continuité et la disponibilité des systèmes, et maintenir des normes élevées en matière de disponibilité, authenticité, intégrité et confidentialité des données.
Accès gratuit›
🔍 Audit Interne
3 / 6 actions
Demander le corpus documentaire (stratégie SSI, politiques, procédures, protocoles) et vérifier l'approbation par la direction
Vérifier la prise en compte de la résilience, continuité et disponibilité des systèmes, en particulier pour les fonctions critiques
Contrôler la couverture des quatre propriétés des données (disponibilité, authenticité, intégrité, confidentialité) au repos, en usage et en transit
Examiner l'alignement entre politiques et déploiements effectifs (échantillonnage d'actifs/systèmes)…
Vérifier l'existence d'un cycle de vie (mise en œuvre, exploitation, revue régulière, amélioration continue)…
Examiner les résultats de tests/exercices pertinents (basculement, restitution de sauvegardes)…
⚙️ Direction & Opérationnels
3 / 5 actions
Concevoir et approuver la stratégie de sécurité TIC et les politiques afférentes (Direction / RSSI)
Décliner des procédures et standards opérationnels (chiffrement, sauvegarde, haute disponibilité, gestion des accès) (DSI Sécurité)
Sélectionner et acquérir les outils de sécurité requis (IAM, chiffrement, DLP, EDR, WAF) via un processus achat conforme (Achats / DSI / RSSI)
Déployer et configurer les contrôles techniques et organisationnels avec dossiers de configuration (DSI Sécurité)…
Organiser des revues périodiques d'efficacité et de conformité des contrôles, avec plans d'actions (RSSI)…
Les entités financières utilisent des solutions et processus TIC appropriés garantissant la sécurité des transferts, réduisant les risques de corruption ou perte de données, d'accès non autorisé, et protégeant les données contre les risques découlant de la gestion des données.
Accès gratuit›
🔍 Audit Interne
3 / 5 actions
Vérifier la sécurité des moyens de transfert de données (TLS/VPN, politiques de chiffrement, durcissement des protocoles)
Contrôler les mesures réduisant corruption/perte, accès non autorisé et défauts techniques (contrôles d'intégrité, sauvegardes, IAM)
Vérifier les dispositifs prévenant indisponibilité, atteintes à l'authenticité/intégrité et violations de confidentialité (HA, anti-DDoS)
Évaluer les protections contre les risques de gestion des données (gouvernance, classification, validation, traçabilité)…
Échantillonner des flux/actifs pour confirmer chiffrement en transit/au repos, contrôles d'accès et restaurations testées…
⚙️ Direction & Opérationnels
3 / 6 actions
Chiffrer les flux et sécuriser les canaux de transfert (TLS robuste, VPN, politiques de suites cryptographiques) (DSI Réseau / DSI Sécurité)
Implémenter IAM/contrôles d'accès avec principe du moindre privilège et journalisation exhaustive (RSSI / DSI Sécurité)
Mettre en place une stratégie de sauvegarde/restauration testée (3-2-1, tests réguliers de reprise) (DSI Production)
Déployer des architectures à haute disponibilité et mécanismes de tolérance aux pannes (DSI Infrastructures)…
Définir et appliquer une gouvernance de données (classification, règles de qualité, traçabilité) (Data Owner / RSSI / DPO)…
Automatiser des contrôles pour réduire l'erreur humaine (revue à quatre yeux, validations, pipelines) (DSI Sécurité)…
18 exigences DORA structurées pour démarrer une mise en conformité concrète.
Exploitables en audit et en contrôle interne via une sandbox Auditool
(preuves, rapports, plans d’actions).
Suivez cette démo guidée pour découvrir comment le référentiel DORA est structuré dans Auditool : navigation dans les 18 exigences, consultation des actions de conformité, accès aux contrôles détaillés.
❓ Questions fréquentes
›Pourquoi seulement 10 exigences en accès libre dans cette section ?
Les 10 exigences gratuites couvrent les fondations de DORA : gouvernance (5.1–5.3), cadre de gestion du risque (6.1–6.4) et sécurité TIC (9.1–9.3). Elles permettent de démarrer des audits concrets sans attendre, et donnent une idée précise du niveau de détail du référentiel complet.
›Ce référentiel est-il adapté aux assurances comme aux banques ?
Oui. DORA s'applique à toutes les entités financières concernées (banques, assurances, sociétés de gestion, prestataires de paiement…). Les benchmarks intégrés proviennent de l'enquête IFACI 2024 réalisée sur 70 organisations, dont 29 compagnies d'assurance.
›Le référentiel intègre-t-il les derniers RTS/ITS de 2024 ?
Oui. Le référentiel couvre le Règlement UE 2022/2554 et les normes techniques (RTS/ITS) publiées par les ESA (EBA, ESMA, EIOPA) en 2024. Il est mis à jour en continu.
›Comment fonctionne l'essai gratuit Auditool ?
L'essai dure 7 jours, sans carte bancaire. Les 10 exigences DORA déclinées en +100 actions de conformité sont directement intégrées dans votre espace. Vous pouvez créer des missions d'audit, uploader des preuves, et générer des rapports Word/PDF dès le premier jour.
✏️
Ce référentiel évolue. Il est mis à jour au fil des clarifications réglementaires et des retours de la communauté des auditeurs.
Auditool · Référentiel DORA
Démarrer votre essai gratuit
7 jours · Accès aux 18 exigences · Sans carte bancaire
Auditool · Référentiel DORA
Télécharger l'aperçu PDF
Recevez gratuitement les 100 actions de conformité DORA en version PDF imprimable
Gérer le consentement
Afin de fournir les meilleures expériences, nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations relatives à l'appareil. Le fait de consentir à ces technologies nous permettra de traiter des données telles que le comportement de navigation ou des identifiants uniques sur ce site. Le fait de ne pas consentir ou de retirer son consentement peut avoir un effet négatif sur certaines caractéristiques et fonctions.
Functional
Toujours activé
Le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique explicitement demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication sur un réseau de communications électroniques.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiques
The technical storage or access that is used exclusively for statistical purposes.Le stockage ou l'accès technique est utilisé exclusivement à des fins statistiques anonymes. En l'absence de citation à comparaître, de conformité volontaire de la part de votre fournisseur d'accès à Internet ou d'enregistrements supplémentaires de la part d'un tiers, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
