Le reglement DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025. Les institutions financieres doivent desormais demontrer que leur personnel est forme sur la gestion des risques TIC, la reponse aux incidents et la surveillance des tiers — avec des preuves verifiables.

Cette checklist couvre les 12 elements de preuve que votre auditeur recherchera. Utilisez-la pour identifier les lacunes de votre programme de formation avant votre prochaine revue reglementaire.

Les 12 elements de preuve

1. Plan de formation documente et aligne sur les risques TIC

Votre organisation doit disposer d’un plan de formation formel qui correspond directement a votre evaluation des risques TIC. Le plan doit identifier les populations cibles, les objectifs pedagogiques et les echeances de deploiement.

Ce que l’auditeur verifie : Un document signe et date reliant chaque risque identifie a une action de formation specifique.

2. Preuve de completion par collaborateur

Chaque collaborateur concerne doit avoir un enregistrement de completion horodate. “Nous avons envoye un email” n’est pas une preuve. L’auditeur a besoin d’une evidence par personne que la formation a ete accedee et terminee.

Ce que l’auditeur verifie : Des logs de completion avec dates, identifiants collaborateur et identifiants de module.

3. Evaluation de la comprehension (pas seulement la presence)

L’article 13(6) de DORA exige que le personnel demontre sa comprehension, pas simplement sa presence. Un quiz, une evaluation par scenario ou un exercice valide est obligatoire.

Ce que l’auditeur verifie : Des scores individuels ou resultats de type reussite/echec lies aux objectifs pedagogiques evalues.

4. Registre de frequence et de recurrence

La formation n’est pas un evenement ponctuel. Les regulateurs attendent des rappels periodiques — au minimum annuellement, et a chaque modification materielle des reglementations ou procedures internes.

Ce que l’auditeur verifie : Un calendrier montrant les intervalles de recurrence et les preuves de completions repetees.

5. Couverture de tous les sujets pertinents DORA

Le reglement couvre de multiples domaines : gouvernance TIC, classification des incidents, tests de continuite d’activite, risque tiers. Votre formation doit couvrir tous les sujets applicables, pas uniquement les bases de la cybersecurite.

Ce que l’auditeur verifie : Une cartographie des modules de formation sur chaque chapitre et article DORA pertinent pour votre type d’entite.

6. Differenciation par role

Les membres du conseil d’administration, la direction generale et le personnel operationnel ont des obligations differentes sous DORA. Votre formation doit refleter cette hierarchie avec du contenu adapte par audience.

Ce que l’auditeur verifie : Des modules ou parcours distincts par role, avec preuve d’affectation appropriee.

7. Sensibilisation aux tiers et a l’externalisation

DORA exige que le personnel comprenne les risques de concentration lies aux tiers TIC et les strategies de sortie de l’organisation. C’est frequemment neglige dans les formations cybersecurite generiques.

Ce que l’auditeur verifie : Du contenu de formation specifique sur la gestion des fournisseurs, les chaines de sous-traitance et la planification de sortie.

8. Registres d’exercices de reponse aux incidents

Au-dela de la formation theorique, DORA attend des tests operationnels reguliers incluant des exercices sur table et des simulations de crise. La preuve de participation compte comme evidence de formation.

Ce que l’auditeur verifie : Des rapports d’exercice avec listes de participants, scenarios testes et lecons apprises documentees.

9. Controle de version et actualite du contenu

Lorsqu’une reglementation change (ex : mises a jour RTS/ITS de DORA), vos modules doivent etre mis a jour rapidement. L’auditeur verifiera l’absence de contenu obsolete referençant des exigences depassees.

Ce que l’auditeur verifie : Un historique de version des modules montrant les dates de mise a jour correlees aux calendriers de changements reglementaires.

10. Accessibilite et conformite linguistique

La formation doit etre disponible dans une langue que le collaborateur comprend. Pour les operations multinationales, le contenu localise n’est pas optionnel — c’est une attente reglementaire.

Ce que l’auditeur verifie : Les versions linguistiques disponibles, et que les collaborateurs non-natifs ont reçu le contenu dans leur langue de travail.

11. Integrite de la piste d’audit

Les enregistrements doivent etre infalsifiables et exportables. Des tableurs Excel avec des saisies manuelles souleveront des questions. Les auditeurs attendent des logs generes par le systeme depuis un LMS ou une plateforme de formation.

Ce que l’auditeur verifie : Des logs automatises avec horodatages, de preference des donnees de completion SCORM issues d’un LMS certifie.

12. Preuves de formation de l’organe de direction

L’article 5(4) de DORA exige explicitement que l’organe de direction maintienne des connaissances suffisantes sur les risques TIC. Des preuves distinctes doivent exister pour la formation des dirigeants et du conseil.

Ce que l’auditeur verifie : Des enregistrements de formation dedies pour les administrateurs et dirigeants nommes, distincts du personnel general.

Comment utiliser cette checklist

  1. Auditez votre etat actuel — Pour chaque element, indiquez si vous disposez d’une preuve complete, partielle, ou d’une lacune.
  2. Priorisez les lacunes — Les elements 1 a 3 et 12 sont generalement les premiers demandes par les auditeurs. Commencez par la.
  3. Automatisez la generation de preuves — Le suivi manuel ne passe pas a l’echelle. Utilisez une plateforme qui genere des donnees de completion SCORM et des registres d’evaluation horodates automatiquement.
  4. Planifiez des revues trimestrielles — Les reglementations evoluent. Votre portfolio de preuves doit rester a jour.

Accelerez la conformite avec Bubble Teach

Bubble Teach a ete conçu exactement pour ce cas d’usage. Deposez vos procedures de risque TIC, directives de conformite ou politiques internes — et generez des modules de formation prets pour l’audit en moins de 10 minutes.

Chaque module inclut :

  • Suivi de completion horodate (elements 2, 4, 11)
  • Evaluations integrees avec scoring reussite/echec (element 3)
  • Export SCORM pour votre LMS existant (element 11)
  • Versionnement automatique quand les documents sources changent (element 9)
  • Ciblage par role des modules (element 6)
  • Generation multilingue a partir d’une source unique (element 10)

Reservez une demo pour voir comment Bubble Teach repond a chaque point de cette checklist — ou demarrez votre essai gratuit pour le tester avec vos propres documents.