Gouvernance IT, cybersécurité et transformation digitale en Belgiquecontact@itselect.be
Diagnostic DORA
V1 · DORA readiness

Diagnostic DORA readiness pour PME et prestataires ICT

Évaluez votre capacité à répondre aux exigences de résilience numérique attendues par vos clients financiers : gouvernance ICT, incidents, continuité, tests, fournisseurs et preuves.

Lancer l’évaluationVoir la checklistEN
24questions structurées
6domaines DORA
90 jroadmap actionnable
Précaution d’usage. Cet outil est un support d’aide à la décision et de préparation opérationnelle. Il ne constitue ni un avis juridique, ni une certification de conformité DORA. Le périmètre applicable doit être validé avec les conseils juridiques, compliance ou autorités compétentes.
DORA readiness

Évaluation rapide DORA readiness

Sélectionnez le niveau réel de maturité pour chaque point. “Prouvé” signifie que l’organisation peut produire une preuve datée, validée et exploitable.

01

Gouvernance ICT

Responsabilités, arbitrage, suivi direction et documentation minimale.

Un responsable de la résilience numérique ou de la gouvernance ICT est identifié.

Nomination, matrice RACI ou compte-rendu de comité.

Les risques ICT sont suivis régulièrement par la direction.

Tableau de bord, registre des risques ou reporting exécutif.

Les politiques de sécurité, continuité et gestion des incidents sont documentées.

Politiques validées, versionnées et accessibles.

Les décisions critiques IT sont tracées et justifiées.

PV, arbitrages budgétaires, décisions fournisseurs.
02

Gestion des risques ICT

Inventaire, classification, contrôles, vulnérabilités et dépendances.

Les actifs, applications et services critiques sont inventoriés.

CMDB simple, registre applicatif ou cartographie de services.

Les risques ICT sont évalués selon impact métier et probabilité.

Matrice de risques, scoring, propriétaire du risque.

Les sauvegardes et restaurations sont testées périodiquement.

Rapport de test, RTO/RPO, preuve de restauration.

Les vulnérabilités et correctifs sont pilotés avec priorité métier.

Scan, plan de patching, exceptions documentées.
03

Incidents et escalade

Détection, qualification, notification, journalisation et retour d’expérience.

Une procédure d’incident ICT existe et est connue des équipes clés.

Procédure, rôles, contacts, niveaux de gravité.

Les incidents significatifs sont journalisés et analysés.

Registre incident, timeline, causes, actions correctives.

Les seuils d’escalade vers clients, direction ou autorités sont définis.

Arbre de décision, responsabilités, modèles de communication.

Un retour d’expérience est réalisé après incident majeur.

Post-mortem, actions, responsable, échéance.
04

Continuité et résilience

PCA/PRA, scénarios, tests, reprise et communication de crise.

Les processus critiques ont des objectifs de reprise définis.

RTO/RPO par service, validation métier.

Un plan de continuité ou de reprise existe pour les services essentiels.

PCA/PRA, runbook, contacts, procédures de bascule.

Des exercices de crise ou tests de reprise sont réalisés.

Compte-rendu, scénario, résultats, améliorations.

Les dépendances cloud, réseau et prestataires sont intégrées aux scénarios.

Cartographie des dépendances et plans alternatifs.
05

Prestataires ICT et contrats

Registre fournisseurs, clauses, SLA, sous-traitance et réversibilité.

Les prestataires ICT critiques sont identifiés et classés.

Registre fournisseurs, criticité, services fournis.

Les contrats couvrent SLA, sécurité, incident, audit et réversibilité.

Clauses contractuelles, annexes sécurité, plan de sortie.

Les sous-traitants et dépendances en chaîne sont connus.

Déclaration fournisseurs, localisation, sous-traitance.

La performance et les risques fournisseurs sont revus périodiquement.

Comité fournisseur, KPI, plans d’action.
06

Preuves et roadmap 90 jours

Dossier de preuves, priorités, budget, pilotage et préparation client.

Les documents clés peuvent être fournis rapidement à un client régulé.

Dossier de preuves: politiques, registres, tests, contrats.

Les écarts sont priorisés dans une roadmap 30/60/90 jours.

Plan d’action, responsable, budget, échéance.

Les équipes savent répondre à un questionnaire DORA client.

Réponses types, preuves associées, validation interne.

Le périmètre exact DORA applicable est clarifié avec conseil juridique ou compliance.

Note de cadrage, périmètre, limites, responsabilités.
Score0%Initial

Complétez le diagnostic pour générer une lecture priorisée.

Résultat exécutif

Priorités à traiter

    Rapport

    Recevoir le rapport DORA readiness

    Complétez vos coordonnées pour recevoir la synthèse exécutive par email. Une copie est transmise à Selection ICT pour le suivi commercial.

    Complétez le diagnostic puis renseignez vos coordonnées.

    Roadmap

    Roadmap recommandée 30/60/90 jours

    Une première mission doit produire des preuves simples, exploitables et défendables auprès des clients financiers.

    30 joursCadrer le périmètre

    Cadrer le périmètre, identifier les services critiques, nommer les responsables, constituer le registre fournisseurs et lancer le dossier de preuves.

    60 joursFormaliser incidents

    Formaliser incidents, sauvegardes, PRA/PCA, clauses fournisseurs, RACI et tableau de bord de risques ICT.

    90 joursTester la restauration

    Tester la restauration, jouer un exercice incident, revoir les contrats critiques, produire un pack de preuves client et arbitrer le budget de remédiation.

    Demander un accompagnement DORAOuvrir la checklist de preuves
    Rapport exécutif

    DORA readiness

    Diagnostic DORA readiness

    Préparation opérationnelle des PME et prestataires ICT aux attentes de résilience numérique.

    0 /100
    Organisation
    Contact
    Date du rapport
    Selection ICT

    Rapport de synthèse exécutive

    Diagnostic DORA readiness

    Score global0/100
    Niveau
    Organisation

    Coordonnées

    Synthèse

    Résultats par domaine

    DomaineScoreNiveau

    Recommandations prioritaires

    Réponses collectées

    DomaineQuestionRéponse

    Ce diagnostic est un outil d’aide à la décision. Il ne constitue ni un avis juridique, ni une certification de conformité DORA.