Evidence pack Dossier de preuves à constituer Cochez les éléments disponibles ou prêts à être produits.
Gouvernance ICT · Un responsable de la résilience numérique ou de la gouvernance ICT est identifié. Nomination, matrice RACI ou compte-rendu de comité. Gouvernance ICT · Les risques ICT sont suivis régulièrement par la direction. Tableau de bord, registre des risques ou reporting exécutif. Gouvernance ICT · Les politiques de sécurité, continuité et gestion des incidents sont documentées. Politiques validées, versionnées et accessibles. Gouvernance ICT · Les décisions critiques IT sont tracées et justifiées. PV, arbitrages budgétaires, décisions fournisseurs. Gestion des risques ICT · Les actifs, applications et services critiques sont inventoriés. CMDB simple, registre applicatif ou cartographie de services. Gestion des risques ICT · Les risques ICT sont évalués selon impact métier et probabilité. Matrice de risques, scoring, propriétaire du risque. Gestion des risques ICT · Les sauvegardes et restaurations sont testées périodiquement. Rapport de test, RTO/RPO, preuve de restauration. Gestion des risques ICT · Les vulnérabilités et correctifs sont pilotés avec priorité métier. Scan, plan de patching, exceptions documentées. Incidents et escalade · Une procédure d’incident ICT existe et est connue des équipes clés. Procédure, rôles, contacts, niveaux de gravité. Incidents et escalade · Les incidents significatifs sont journalisés et analysés. Registre incident, timeline, causes, actions correctives. Incidents et escalade · Les seuils d’escalade vers clients, direction ou autorités sont définis. Arbre de décision, responsabilités, modèles de communication. Incidents et escalade · Un retour d’expérience est réalisé après incident majeur. Post-mortem, actions, responsable, échéance. Continuité et résilience · Les processus critiques ont des objectifs de reprise définis. RTO/RPO par service, validation métier. Continuité et résilience · Un plan de continuité ou de reprise existe pour les services essentiels. PCA/PRA, runbook, contacts, procédures de bascule. Continuité et résilience · Des exercices de crise ou tests de reprise sont réalisés. Compte-rendu, scénario, résultats, améliorations. Continuité et résilience · Les dépendances cloud, réseau et prestataires sont intégrées aux scénarios. Cartographie des dépendances et plans alternatifs. Prestataires ICT et contrats · Les prestataires ICT critiques sont identifiés et classés. Registre fournisseurs, criticité, services fournis. Prestataires ICT et contrats · Les contrats couvrent SLA, sécurité, incident, audit et réversibilité. Clauses contractuelles, annexes sécurité, plan de sortie. Prestataires ICT et contrats · Les sous-traitants et dépendances en chaîne sont connus. Déclaration fournisseurs, localisation, sous-traitance. Prestataires ICT et contrats · La performance et les risques fournisseurs sont revus périodiquement. Comité fournisseur, KPI, plans d’action. Preuves et roadmap 90 jours · Les documents clés peuvent être fournis rapidement à un client régulé. Dossier de preuves: politiques, registres, tests, contrats. Preuves et roadmap 90 jours · Les écarts sont priorisés dans une roadmap 30/60/90 jours. Plan d’action, responsable, budget, échéance. Preuves et roadmap 90 jours · Les équipes savent répondre à un questionnaire DORA client. Réponses types, preuves associées, validation interne. Preuves et roadmap 90 jours · Le périmètre exact DORA applicable est clarifié avec conseil juridique ou compliance. Note de cadrage, périmètre, limites, responsabilités.