Un projet à adapter à la maturité de votre organisation
Le coût de la conformité au DORA dépend essentiellement de deux facteurs :
-
Votre niveau de maturité actuel (avez-vous déjà un SMSI ? êtes-vous certifié ISO 27001 ?)
-
La taille et la complexité de votre organisation (SI, nombre d’utilisateurs, prestataires critiques, etc.)
-
Certaines entités sont hors du champ d’application du DORA, en raison de leur taille et de leur chiffre d’affaires.
Cas n° 1 : vous êtes déjà certifié ISO 27001 ou disposez d’un SMSI structuré
Phase 1 :
Une analyse d’écarts DORA et mapping avec votre SMSI
Un plan d’adaptation du SMSI existant et actions priorisées
Essentiel
- PME < 50 collaborateurs
- Analyse des écarts DORA / SMSI
- Plan d’amélioration priorisé
- 1 Site
- Déplacements hors Rhône-Alpes et Suisse Romande non inclus
Étendue
- PME / ETI > 50 collaborateurs
- Analyse des écarts DORA / SMSI
- Plan d’amélioration priorisé
- > 1 Site
- Déplacements hors Rhône-Alpes et Suisse Romande non inclus
Grands Comptes
- –
- Analyse des écarts DORA / SMSI
- Plan d’amélioration priorisé
- > 1 Site
- Déplacements hors Rhône-Alpes et Suisse Romande non inclus
Phase 2 : Gestion des Risques et Documentation
Ré-évaluation des risques, intégration du risque de tiers (Art 29) : (Identification des actifs, évaluation des risques, sélection des mesures de traitement)
Revue du périmètre en fonction des nouveaux risques et évaluation de la nécessité de modification du domaine d’application
Amélioration de la déclaration d’applicabilité
PME < 50
- Accompagnement 5 ateliers EBIOS RM
- Scénarios basés sur la Kill chain MITRE ATT&CK
- +2 jours OFFERTS : Transfert de compétences pour gérer ses risques en autonomie
- Finalisation SoA
PME > 50
- Accompagnement sur les 5 ateliers EBIOS RM
- Scénarios basés sur la Kill chain MITRE ATT&CK
- +2 jours OFFERTS : Transfert de compétences pour gérer ses risques en autonomie
- Finalisation SoA
Grands Comptes
- Accompagnement sur les 5 ateliers EBIOS RM
- Scénarios basés sur la Kill chain MITRE ATT&CK
- +5 jours OFFERTS : Transfert de compétences pour gérer ses risques en autonomie
- Finalisation SoA
Phase 3 : Implémentation et Amélioration Continue
Accompagnement et conception du plan d’action
Accompagnement à l’implémentation / amélioration politiques et des mesures, Système de Déclaration des Incidents, tests TLPT selon le Framework TIBER-EU, amélioration des Documents Contractuels (art.30)
Révision de la surveillance et suivi
Suis-je obligé de me certifier ?
Non !
Vous pouvez adopter l’ISO 27001 comme cadre de cybersécurité librement ou alors dans le but d’obtenir une certification pour un périmètre précis.
Cas n° 2 : vous avez un minimum de sécurité informatique, mais pas de SMSI structuré
Phase 1 :
Package ISO 27001 ou CIS™ IG2 / IG3
Implémentation du DORA
Essentiel
- <strong>PME < 50 collaborateurs</strong>
- Package ISO 27001 – CIS™ IG2 / IG3
- + DORA
- 1 Site
- Déplacements hors Rhône-Alpes et Suisse Romande non inclus
Étendue
- <strong>PME / ETI > 50 collaborateurs</strong>
- Package ISO 27001 – CIS™ IG2 / IG3
- + DORA
- > 1 Site
- Déplacements hors Rhône-Alpes et Suisse Romande non inclus
Grands Comptes
- –
- Package ISO 27001 – CIS™ IG2 / IG3
- + DORA
- > 1 Site
- Déplacements hors Rhône-Alpes et Suisse Romande non inclus
Phase 2 : Gestion des Risques et Documentation
Package ISO 27001 CIS™ IG2 / IG3 Phase 2
- Intégration du risque de tiers (Art 29)
Phase 3 : Implémentation et Amélioration Continue
Accompagnement et conception du plan d’action
Accompagnement à l’implémentation / amélioration politiques et des mesures, Système de Déclaration des Incidents, tests TLPT selon le Framework TIBER-EU, amélioration des Documents Contractuels (art.30)
Révision de la surveillance et suivi
