Conseil en conformité DORA pour les entités financières en Belgique
Rendez la résilience opérationnelle numérique auditable. Nous aidons les entités financières belges et leurs prestataires TIC à satisfaire les cinq piliers de DORA — du cadre de gestion du risque TIC à la notification d'incidents, aux tests de résilience et à la surveillance des tiers.
Le Digital Operational Resilience Act (Règlement (UE) 2022/2554) s'applique depuis le 17 janvier 2025 et lie la quasi-totalité des entités financières de l'UE — banques, assureurs, entreprises d'investissement, établissements de paiement et de monnaie électronique, prestataires de services sur crypto-actifs — ainsi que les prestataires tiers de services TIC critiques qui les servent. DORA remplace des orientations nationales fragmentées par un corpus de règles harmonisé reposant sur cinq piliers : gestion du risque TIC, gestion et notification des incidents liés aux TIC, tests de résilience opérationnelle numérique, gestion du risque lié aux prestataires tiers de TIC et partage d'informations. ICTLAB aide les entités belges à rendre ces obligations opérationnelles sous la supervision de la BNB et de la FSMA, en intégrant DORA aux programmes NIS2, ISO 27001 et NIST existants afin que la résilience opérationnelle devienne démontrable plutôt qu'aspirationnelle.
Ce que nous livrons
Évaluation de périmètre et d'écarts DORA
Évaluation par rapport aux cinq piliers de DORA et aux RTS/ITS applicables, avec détermination de la proportionnalité et éléments de remédiation priorisés.
Cadre de gestion du risque TIC
Gouvernance, politiques et contrôles répondant aux articles 5 à 16 de DORA, y compris la responsabilité de l'organe de direction, le cadre de risque TIC et les dispositifs de sauvegarde et de continuité d'activité.
Procédures de classification et de notification des incidents
Seuils de classification des incidents majeurs et flux de notifications initiale, intermédiaire et finale à la BNB/FSMA conformément aux articles 17 à 23.
Programme de tests de résilience opérationnelle numérique
Un plan de tests couvrant les évaluations de vulnérabilités, les tests par scénarios et, pour les entités importantes, les tests de pénétration fondés sur la menace (TLPT) alignés sur TIBER-EU au titre des articles 24 à 27.
Risque lié aux prestataires tiers TIC et registre d'information
Politique de risque lié aux tiers, registre d'information complet et clauses contractuelles de l'article 30, y compris les droits d'audit et des stratégies de sortie documentées.
Feuille de route de résilience et reporting au conseil
Un plan de mise en œuvre en plusieurs phases avec des délais, des responsabilités et un reporting au niveau du conseil pour démontrer et maintenir la conformité DORA.
Comment nous travaillons
Cadrage et évaluation de proportionnalité
Confirmer si votre entité est dans le périmètre, si le cadre de risque TIC simplifié ou complet s'applique, et associer les obligations aux attentes prudentielles de la BNB/FSMA.
Analyse des écarts par rapport à DORA et aux RTS/ITS
Évaluer les contrôles actuels en matière de risque TIC, d'incidents, de tests et de tiers par rapport au règlement et à ses normes techniques, puis prioriser la remédiation.
Mise en œuvre du cadre de risque TIC et des politiques
Construire le cadre de gestion du risque TIC, la gouvernance et la documentation exigés par le chapitre II, en intégration avec les contrôles ISO 27001 et NIS2 existants.
Mise en place de la notification d'incidents et des tests de résilience
Mettre en place les flux de classification et de notification des incidents ainsi qu'un programme de tests, y compris la coordination TLPT/TIBER-EU lorsque cela est requis.
Registre des tiers et surveillance continue
Établir le registre d'information, intégrer les clauses de l'article 30 dans les contrats et maintenir une surveillance continue à mesure que les normes et le paysage des menaces évoluent.
Technologies que nous utilisons
Questions fréquemment posées
DORA s'applique-t-elle à mon organisation ?
DORA s'applique à un large éventail d'entités financières de l'UE — banques, assureurs, entreprises d'investissement, établissements de paiement et de monnaie électronique, prestataires de services sur crypto-actifs, et plus — ainsi qu'aux prestataires tiers de services TIC critiques. Les petites entités peuvent bénéficier d'un cadre de risque TIC simplifié au titre du principe de proportionnalité. Nous évaluons votre périmètre spécifique.
Depuis quand DORA s'applique-t-elle et quelles sont les échéances ?
DORA est entrée en vigueur en janvier 2023 et s'applique depuis le 17 janvier 2025. Des obligations telles que le registre d'information et la notification des incidents majeurs sont déjà exécutoires : les autorités (BNB/FSMA) attendent une conformité démontrable dès maintenant — toute lacune restante doit être comblée sans délai.
Quel est le lien entre DORA, NIS2, ISO 27001 et NIST ?
DORA agit comme lex specialis pour le secteur financier et recoupe largement les mesures de gestion des risques de NIS2, les contrôles ISO 27001 et le NIST CSF. Les entités disposant d'un SMSI mature ou d'un programme NIS2 ont une longueur d'avance ; nous faisons correspondre les contrôles existants à DORA pour éviter les efforts dupliqués.
Que doit contenir un contrat avec un prestataire TIC selon l'article 30 ?
L'article 30 impose des dispositions contractuelles spécifiques pour les services TIC, notamment des descriptions de service claires, les conditions de localisation et de traitement des données, des droits d'accès, d'inspection et d'audit, des obligations d'assistance en cas d'incident, des conditions de sous-traitance et des stratégies de sortie documentées — le tout consigné dans le registre d'information.
Avons-nous besoin de tests de pénétration fondés sur la menace (TLPT) ?
Les entités financières importantes doivent réaliser des tests de pénétration avancés fondés sur la menace au moins tous les trois ans, alignés sur le cadre TIBER-EU. Nous déterminons si les TLPT s'appliquent à vous et coordonnons les tests avec des équipes red team certifiées et des fournisseurs de renseignement sur les menaces.
De notre blog
13 juin 2026
DORA vs NIS2 : chevauchements, différences et lequel s’applique
DORA et NIS2 encadrent tous deux la résilience cyber — mais lequel s'applique à votre organisation ? Champ d'application, principe lex specialis, les cinq piliers de DORA, dates clés et guide de décision pour les entités belges.
13 juin 2026
DORA risque tiers TIC : construire votre registre d’information
Les règles tiers de DORA (Art. 28-30) : ce que le registre d'information doit contenir, les clauses contractuelles obligatoires (Art. 30(2) vs 30(3)), les fonctions critiques ou importantes et les échéances de remise 2025.
12 juin 2026
NIST CSF 2.0 pour les PME européennes : guide de mise en œuvre pratique
Guide pas-à-pas du NIST Cybersecurity Framework 2.0 pour les PME européennes : les six fonctions (Govern, Identify, Protect, Detect, Respond, Recover), niveaux, profils, et la correspondance avec NIS2 et ISO 27001.
12 juin 2026
NIST AI RMF : bâtir une IA digne de confiance (et son lien avec l’AI Act)
Le NIST AI Risk Management Framework expliqué : les quatre fonctions (Govern, Map, Measure, Manage), le profil IA générative, les caractéristiques d'une IA digne de confiance, et sa complémentarité avec l'AI Act.
9 juin 2026
Classification des risques AI Act : interdit, haut risque ou risque limité ?
Guide de décision pratique pour classer votre système d'IA selon l'AI Act : pratiques interdites (Art. 5), systèmes à haut risque (Annexe III), risque limité et minimal — avec des exemples concrets.
9 juin 2026
RGPD & IA : données d’entraînement, décisions automatisées et AIPD en Belgique
Comment le RGPD s'applique à l'IA pour les entreprises belges : base légale des données d'entraînement, décisions automatisées (Art. 22), AIPD, et où le RGPD rejoint l'AI Act.
Services connexes
Audit de sécurité
Évaluation complète de votre posture de sécurité par rapport aux normes du secteur. Nos audits identifient les lacunes et fournissent des plans de remédiation exploitables.
Conformité NIS2
Naviguez NIS2 en toute confiance. Nous aidons les organisations belges à comprendre leurs obligations, combler les lacunes de conformité et développer les capacités de sécurité exigées par la directive.
SOC as a Service
Surveillance de sécurité de niveau entreprise sans les coûts fixes. Notre SOC-as-a-Service offre une détection des menaces 24/7, une réponse automatisée aux incidents et la conformité NIS2 — conçue pour les PME.
Prêt à commencer ?
Discutons de la façon dont nous pouvons vous aider à atteindre vos objectifs.
Contactez-nous