{"id":12791,"date":"2026-03-30T09:00:44","date_gmt":"2026-03-30T07:00:44","guid":{"rendered":"https:\/\/jimber.io\/?p=12791"},"modified":"2026-03-30T09:00:44","modified_gmt":"2026-03-30T07:00:44","slug":"registre-dinformation-dora-comment-le-construire-et-le-maintenir-avec-votre-plateforme-sase","status":"publish","type":"post","link":"https:\/\/jimber.io\/fr\/blog\/registre-dinformation-dora-comment-le-construire-et-le-maintenir-avec-votre-plateforme-sase\/","title":{"rendered":"Registre d&rsquo;information DORA : comment le construire et le maintenir avec votre plateforme SASE"},"content":{"rendered":"<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Chaque entit\u00e9 financi\u00e8re r\u00e9glement\u00e9e par la loi DORA doit soumettre un registre d&rsquo;informations \u00e0 son autorit\u00e9 de surveillance nationale. Les premiers cycles de soumission au d\u00e9but de l&rsquo;ann\u00e9e 2026 ont r\u00e9v\u00e9l\u00e9 une r\u00e9alit\u00e9 douloureuse : environ 235 000 erreurs de validation dans plus de 1 000 institutions participantes au cours de la phase d&rsquo;essai du SEC. La plupart des erreurs provenaient de champs manquants, d&rsquo;identifiants incorrects et de donn\u00e9es contractuelles incompl\u00e8tes. Si votre \u00e9quipe travaille encore \u00e0 partir de feuilles de calcul, les chances ne sont pas en votre faveur.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Ce guide explique ce que le registre exige, comment le construire \u00e0 partir de z\u00e9ro, quelles sont les erreurs qui entra\u00eenent le rejet des soumissions et comment votre architecture de s\u00e9curit\u00e9 d\u00e9termine directement le degr\u00e9 de complexit\u00e9 du registre. Pour un aper\u00e7u plus large de la mani\u00e8re dont SASE s&rsquo;articule avec les cinq piliers de DORA, consultez <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/fr\/blog\/sase-pour-les-services-financiers-comment-les-banques-et-les-gestionnaires-de-patrimoine-securisent-les-equipes-hybrides-dans-le-cadre-de-dora\/\">notre guide de SASE pour les services financiers sous DORA<\/a>. <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Qu&rsquo;est-ce que le registre d&rsquo;information DORA ?<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le registre d&rsquo;informations DORA est un ensemble de donn\u00e9es structur\u00e9es que les entit\u00e9s financi\u00e8res doivent conserver en vertu de l&rsquo;article 28, paragraphe 3, de la loi sur la r\u00e9silience op\u00e9rationnelle num\u00e9rique. Il documente chaque accord contractuel avec des fournisseurs de services TIC tiers, y compris les conditions contractuelles, les lieux de stockage des donn\u00e9es, les \u00e9valuations de la criticit\u00e9, les cha\u00eenes de sous-traitance et les strat\u00e9gies de sortie. Les autorit\u00e9s de surveillance nationales utilisent le registre pour surveiller le risque de concentration dans le syst\u00e8me financier. Les autorit\u00e9s europ\u00e9ennes de surveillance peuvent s&rsquo;appuyer sur les donn\u00e9es agr\u00e9g\u00e9es du registre pour d\u00e9signer les fournisseurs de TIC critiques devant faire l&rsquo;objet d&rsquo;une surveillance directe.   <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Ce que l&rsquo;article 28 de la loi DORA exige dans le registre<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">L&rsquo;article 28, paragraphe 3, impose aux entit\u00e9s financi\u00e8res de tenir un registre complet au niveau de l&rsquo;entit\u00e9, au niveau sous-consolid\u00e9 et au niveau consolid\u00e9. Il ne s&rsquo;agit pas d&rsquo;une simple liste de fournisseurs. Il s&rsquo;agit d&rsquo;un ensemble de donn\u00e9es relationnelles couvrant 15 mod\u00e8les interconnect\u00e9s d\u00e9finis par les normes techniques de mise en \u0153uvre (ITS) de l&rsquo;ABE, publi\u00e9es dans le cadre du Reporting Framework 4.0.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Chaque mod\u00e8le aborde une dimension diff\u00e9rente de la relation entre les TIC et les tiers. Les principaux mod\u00e8les et leurs domaines d&rsquo;int\u00e9r\u00eat : <\/p>\n<div class=\"overflow-x-auto w-full px-2 mb-6\">\n<table class=\"min-w-full border-collapse text-sm leading-[1.7] whitespace-normal\">\n<thead class=\"text-left\">\n<tr>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Mod\u00e8le<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Focus<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Points cl\u00e9s<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.01.01<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Entit\u00e9 d\u00e9clarante<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Code LEI de l&rsquo;entit\u00e9 qui tient le registre<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.02.01<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Dispositions contractuelles (g\u00e9n\u00e9ralit\u00e9s)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Date de d\u00e9but et de fin du contrat, num\u00e9ro de r\u00e9f\u00e9rence<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.02.02<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Dispositions contractuelles (sp\u00e9cifiques)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Lieu de stockage des donn\u00e9es, d\u00e9lais de pr\u00e9avis, \u00e9valuation de la criticit\u00e9<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.03.02<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Signature des tiers TIC<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Nom l\u00e9gal et LEI du fournisseur de TIC<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.04.01<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Entit\u00e9s utilisant les services<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Quelles unit\u00e9s internes utilisent quels services TIC<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.05.01<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Fournisseurs de services TIC<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Donn\u00e9es de base pour tous les prestataires externes, y compris les soci\u00e9t\u00e9s m\u00e8res<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.05.02<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Cha\u00eene d&rsquo;approvisionnement en TIC<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Sous-traitants et accords de sous-traitance<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.06.01<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Identification des fonctions<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Correspondance entre les services TIC et les activit\u00e9s sous licence<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">RT.07.01<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">\u00c9valuation des services TIC<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">R\u00e9sultats de l&rsquo;\u00e9valuation des risques, droits d&rsquo;audit, strat\u00e9gies de sortie<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les mod\u00e8les forment une structure relationnelle. L&rsquo;identifiant d&rsquo;un contrat dans RT.02.01 est li\u00e9 au fournisseur dans RT.05.01, aux fonctions qu&rsquo;il prend en charge dans RT.06.01 et \u00e0 l&rsquo;\u00e9valuation des risques dans RT.07.01. Un champ erron\u00e9 peut entra\u00eener des erreurs en cascade dans plusieurs mod\u00e8les.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le format de soumission final est xBRL-CSV. Bien que certains superviseurs aient propos\u00e9 une conversion temporaire sur Excel pour le premier cycle, il est pr\u00e9vu qu&rsquo;\u00e0 partir de 2026, les institutions soumettent leurs donn\u00e9es directement dans le format prescrit. <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Quelles sont les entit\u00e9s qui doivent tenir un registre (et dans quel d\u00e9lai) ?<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La loi DORA s&rsquo;applique largement. Les \u00e9tablissements de cr\u00e9dit, les prestataires de services de paiement, les compagnies d&rsquo;assurance, les entreprises d&rsquo;investissement et les prestataires de services de crypto-actifs entrent tous dans son champ d&rsquo;application. La d\u00e9finition de \u00ab\u00a0prestataire de services TIC\u00a0\u00bb est tout aussi large : il s&rsquo;agit de toute entreprise qui fournit des services num\u00e9riques, des services de donn\u00e9es ou une assistance mat\u00e9rielle de mani\u00e8re continue. Cela inclut votre fournisseur d&rsquo;h\u00e9bergement en nuage, votre syst\u00e8me de RH SaaS, votre fournisseur de pare-feu g\u00e9r\u00e9 et votre fournisseur de t\u00e9l\u00e9communications.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les micro-entreprises b\u00e9n\u00e9ficient d&rsquo;exemptions limit\u00e9es \u00e0 certaines exigences en mati\u00e8re de gestion des risques li\u00e9s aux TIC, mais l&rsquo;obligation de tenir un registre s&rsquo;applique \u00e0 la quasi-totalit\u00e9 des entit\u00e9s r\u00e9glement\u00e9es.<\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Les \u00e9ch\u00e9ances du Benelux pour 2026<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les d\u00e9lais de soumission varient d&rsquo;un superviseur \u00e0 l&rsquo;autre. Tous utilisent le 31 d\u00e9cembre 2025 comme date de r\u00e9f\u00e9rence pour les contrats actifs. <\/p>\n<div class=\"overflow-x-auto w-full px-2 mb-6\">\n<table class=\"min-w-full border-collapse text-sm leading-[1.7] whitespace-normal\">\n<thead class=\"text-left\">\n<tr>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Pays<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Superviseur<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Date limite<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Portail<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Belgique<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">BNB<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">13 mars 2026<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">OneGate<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Belgique<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">FSMA<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">20 mars 2026<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">FiMiS<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Pays-Bas<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">DNB<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">20 mars 2026<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">MyDNB Rapportage Service<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Pays-Bas<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">AFM<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">31 mars 2026<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Portail de l&rsquo;AFM<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Luxembourg<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">CSSF<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">31 mars 2026<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">eDesk<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La BNB recommande vivement de tester les soumissions dans l&rsquo;environnement OneGate TEST avant la date limite de production. Compte tenu des taux d&rsquo;erreurs constat\u00e9s lors de l&rsquo;essai \u00e0 blanc, cette recommandation m\u00e9rite d&rsquo;\u00eatre prise au s\u00e9rieux. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">En Belgique, on estime \u00e0 plus de 200 le nombre d&rsquo;entit\u00e9s financi\u00e8res qui doivent s&rsquo;inscrire chaque ann\u00e9e au registre, qu&rsquo;il s&rsquo;agisse d&rsquo;\u00e9tablissements de cr\u00e9dit, d&rsquo;assureurs, d&rsquo;entreprises d&rsquo;investissement ou de prestataires de services de paiement. Pour les institutions dot\u00e9es de petites \u00e9quipes de conformit\u00e9, le registre est en concurrence avec les rapports NIS2, la v\u00e9rification CyFun et les op\u00e9rations quotidiennes. <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">\u00c9tape par \u00e9tape : cr\u00e9ation d&rsquo;un registre \u00e0 partir de z\u00e9ro<\/h2>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">\u00c9tape 1 : Inventaire de tous les fournisseurs de services TIC<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Commencez par les contrats, pas par la technologie. Consultez vos dossiers d&rsquo;achats, les donn\u00e9es relatives aux comptes fournisseurs et les listes de fournisseurs existantes. Tout fournisseur qui fournit un service num\u00e9rique, g\u00e8re des donn\u00e9es, livre des logiciels ou assure une assistance mat\u00e9rielle permanente doit figurer dans le registre.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les cat\u00e9gories souvent n\u00e9glig\u00e9es comprennent les outils de cybers\u00e9curit\u00e9 (fournisseurs de VPN, vendeurs de pare-feu, services de filtrage web, protection des points d&rsquo;extr\u00e9mit\u00e9), les plateformes SaaS pour les processus non essentiels (RH, CRM, billetterie), les fournisseurs de t\u00e9l\u00e9communications et de connectivit\u00e9, et les vendeurs de mat\u00e9riel avec des accords de maintenance continue ou de mise \u00e0 jour des microprogrammes.<\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">C&rsquo;est ici que votre architecture de s\u00e9curit\u00e9 a son premier impact sur la complexit\u00e9 du registre. Une organisation qui utilise des produits distincts pour l&rsquo;acc\u00e8s VPN, le filtrage web, la gestion des pare-feux et la connectivit\u00e9 SD-WAN a quatre fournisseurs de s\u00e9curit\u00e9 \u00e0 documenter. Une organisation utilisant la plateforme SASE unifi\u00e9e de Jimber, qui combine ZTNA, SWG, FWaaS et SD-WAN en un seul service, n&rsquo;en documente qu&rsquo;un seul. L&rsquo;\u00e9tape de l&rsquo;inventaire \u00e0 elle seule s&rsquo;en trouve consid\u00e9rablement all\u00e9g\u00e9e.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">\u00c9tape 2 : Collecte des donn\u00e9es contractuelles et attribution des identifiants<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pour chaque fournisseur, recueillez les dates de d\u00e9but et de fin du contrat, les p\u00e9riodes de pr\u00e9avis, les conditions de renouvellement et l&rsquo;identifiant de l&rsquo;entit\u00e9 juridique (LEI). Le LEI est un code alphanum\u00e9rique de 20 caract\u00e8res qui sert d&rsquo;identifiant global pour les personnes morales. Votre superviseur l&rsquo;utilise pour agr\u00e9ger le risque de concentration sur l&rsquo;ensemble du march\u00e9.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">De nombreux fournisseurs de TIC du march\u00e9 interm\u00e9diaire n&rsquo;ont pas de LEI. Dans ce cas, DORA autorise l&rsquo;utilisation d&rsquo;un identifiant unique europ\u00e9en (EUID), compos\u00e9 du code ISO du pays suivi d&rsquo;un point et du num\u00e9ro d&rsquo;enregistrement national. Veillez \u00e0 ce que ce format soit correct. Un EUID mal structur\u00e9 entra\u00eene un rejet automatique.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Avec une pile de s\u00e9curit\u00e9 consolid\u00e9e, cette \u00e9tape se r\u00e9duit proportionnellement. Un seul fournisseur signifie un seul LEI \u00e0 v\u00e9rifier, un seul contrat \u00e0 documenter, un seul ensemble de conditions de renouvellement \u00e0 suivre. Avec cinq fournisseurs de s\u00e9curit\u00e9 distincts, vous r\u00e9p\u00e9tez ce processus cinq fois, chacun avec son propre risque d&rsquo;erreurs de saisie de donn\u00e9es.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">\u00c9tape 3 : Associer les services aux fonctions de l&rsquo;entreprise<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le mod\u00e8le RT.06.01 vous demande de relier chaque service TIC aux activit\u00e9s sous licence qu&rsquo;il soutient. C&rsquo;est ici que les responsables de la conformit\u00e9 et les responsables informatiques doivent collaborer. Le responsable de la conformit\u00e9 sait quelles sont les activit\u00e9s soumises \u00e0 licence. Le responsable informatique sait quels syst\u00e8mes les soutiennent.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pour une soci\u00e9t\u00e9 de gestion de patrimoine, le syst\u00e8me de gestion de portefeuille correspond aux services d&rsquo;investissement. La plateforme de courrier \u00e9lectronique correspond \u00e0 la communication avec les clients. Une plateforme SASE comme Jimber correspond aux contr\u00f4les d&rsquo;acc\u00e8s au r\u00e9seau, \u00e0 la s\u00e9curit\u00e9 du web et \u00e0 la surveillance de la s\u00e9curit\u00e9, tous ces \u00e9l\u00e9ments \u00e9tant document\u00e9s comme des fonctions d&rsquo;un seul service plut\u00f4t que comme trois ou quatre entr\u00e9es distinctes dans le mod\u00e8le.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">\u00c9tape 4 : \u00c9valuer la criticit\u00e9 et documenter l&#8217;emplacement des donn\u00e9es<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le mod\u00e8le RT.02.02 demande si chaque service TIC soutient une \u00ab\u00a0fonction critique ou importante\u00a0\u00bb. Cette classification d\u00e9clenche des exigences suppl\u00e9mentaires : des strat\u00e9gies de sortie document\u00e9es, des droits d&rsquo;audit et des \u00e9valuations des risques plus d\u00e9taill\u00e9es dans RT.07.01. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pour chaque service, indiquez o\u00f9 les donn\u00e9es sont stock\u00e9es et trait\u00e9es. Une granularit\u00e9 au niveau du pays est attendue. Si votre fournisseur de s\u00e9curit\u00e9 web traite le trafic via des n\u0153uds situ\u00e9s dans l&rsquo;UE mais stocke les m\u00e9tadonn\u00e9es aux \u00c9tats-Unis, c&rsquo;est important. Cela d\u00e9clenche des exigences suppl\u00e9mentaires en mati\u00e8re de documentation sur les garanties de transfert des donn\u00e9es.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Jimber traite toutes les donn\u00e9es au sein de l&rsquo;EEE, ce qui simplifie le champ de localisation des donn\u00e9es dans RT.02.02 : une entr\u00e9e, une juridiction, aucune documentation de transfert transfrontalier n&rsquo;est requise. Comparez cette situation \u00e0 celle d&rsquo;un fournisseur de s\u00e9curit\u00e9 bas\u00e9 aux \u00c9tats-Unis, pour lequel vous devez documenter l&rsquo;exposition au CLOUD Act, les clauses contractuelles types et les \u00e9valuations des risques r\u00e9siduels pour chaque composant du service. <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">\u00c9tape 5 : Documenter la sous-traitance et les cha\u00eenes d&rsquo;approvisionnement<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le mod\u00e8le RT.05.02 couvre les sous-traitants. Si votre fournisseur de s\u00e9curit\u00e9 informatique utilise un fournisseur d&rsquo;infrastructure bas\u00e9 aux \u00c9tats-Unis, cette relation doit \u00eatre document\u00e9e. Demandez \u00e0 chaque fournisseur de vous communiquer par \u00e9crit les accords de sous-traitance qu&rsquo;il a conclus. Nombre d&rsquo;entre eux n&rsquo;accepteront pas de communiquer ces informations sans en avoir fait directement la demande.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Moins de fournisseurs signifie moins de cha\u00eenes de sous-traitance \u00e0 tracer. Un fournisseur SASE unique dot\u00e9 d&rsquo;une architecture transparente vous permet de documenter une seule cha\u00eene d&rsquo;approvisionnement au lieu de cinq. <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">\u00c9tape 6 : \u00c9valuer les risques et \u00e9laborer des strat\u00e9gies de sortie<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pour les services class\u00e9s comme critiques ou importants, RT.07.01 exige une \u00e9valuation document\u00e9e des risques et la confirmation de l&rsquo;existence de strat\u00e9gies de sortie. La strat\u00e9gie de sortie doit \u00eatre plus qu&rsquo;une simple clause dans un contrat. Elle doit d\u00e9crire les modalit\u00e9s de transition vers un autre fournisseur ou de reprise de la fonction en interne, y compris les d\u00e9lais, les m\u00e9canismes de portabilit\u00e9 des donn\u00e9es et les \u00e9valuations d&rsquo;impact.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les plateformes cloud-natives comme Jimber simplifient la planification de la sortie parce qu&rsquo;il n&rsquo;y a pas de d\u00e9pendance \u00e0 l&rsquo;\u00e9gard d&rsquo;un mat\u00e9riel propri\u00e9taire. La configuration peut \u00eatre export\u00e9e via une API, les journaux suivent des formats standardis\u00e9s et les politiques d&rsquo;acc\u00e8s sont document\u00e9es de mani\u00e8re centralis\u00e9e. Comparez cette situation \u00e0 celle d&rsquo;un fournisseur de pare-feu traditionnel pour lequel la sortie signifie la mise hors service d&rsquo;appareils physiques sur chaque site.  <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Cinq erreurs qui entra\u00eenent le rejet des registres<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">L&rsquo;essai \u00e0 blanc du SEC a produit environ 235 000 erreurs de validation. Ces mod\u00e8les repr\u00e9sentent la majorit\u00e9 d&rsquo;entre elles. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Champs obligatoires manquants.<\/strong>  Il s&rsquo;agit de la cat\u00e9gorie d&rsquo;erreurs la plus importante, repr\u00e9sentant plus de 86 % de tous les \u00e9checs de validation. Les dossiers contractuels incomplets, les correspondances de fonctions manquantes et les \u00e9valuations de criticit\u00e9 vierges sont les coupables les plus fr\u00e9quents. La solution est syst\u00e9matique : il s&rsquo;agit de v\u00e9rifier l&rsquo;exhaustivit\u00e9 de chaque champ obligatoire de la sp\u00e9cification STI avant de la soumettre.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Codes LEI invalides ou expir\u00e9s.<\/strong>  Les codes LEI doivent \u00eatre \u00e0 jour et correctement format\u00e9s. Un LEI expir\u00e9 ou une faute de frappe dans la cha\u00eene de 20 caract\u00e8res entra\u00eene un rejet automatique. V\u00e9rifiez chaque LEI dans la base de donn\u00e9es de la Global LEI Foundation avant de le soumettre. Cela repr\u00e9sente environ 6,5 % des erreurs.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Valeurs non standard dans les champs d\u00e9roulants.<\/strong>  Les mod\u00e8les ITS utilisent des listes de codes prescrits pour des champs tels que le type de service, le niveau de criticit\u00e9 et les codes pays. La saisie d&rsquo;un texte libre l\u00e0 o\u00f9 une valeur de liste d\u00e9roulante est attendue, ou l&rsquo;utilisation d&rsquo;une terminologie interne au lieu de la taxonomie de l&rsquo;ABE, entra\u00eenent le rejet de la demande. Environ 4,3 % des erreurs relevaient de cette cat\u00e9gorie.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>N\u00e9gliger les fournisseurs secondaires de TIC.<\/strong>  Les organisations ont tendance \u00e0 enregistrer leur fournisseur de services bancaires centraux et leur h\u00e9bergeur en nuage, mais oublient le service de filtrage web, le fournisseur de VPN, l&rsquo;outil de protection des points d&rsquo;extr\u00e9mit\u00e9 et le syst\u00e8me de billetterie SaaS. Chacun de ces \u00e9l\u00e9ments est un fournisseur de services TIC au sens de la d\u00e9finition large de DORA. C&rsquo;est l&rsquo;un des arguments pratiques les plus forts en faveur de la consolidation des fournisseurs : lorsque votre VPN, votre pare-feu, votre filtre web et votre SD-WAN font tous partie d&rsquo;un seul abonnement Jimber SASE, il n&rsquo;y a rien \u00e0 oublier.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Traiter le registre comme un exercice unique.<\/strong>  L&rsquo;article 28, paragraphe 3, exige des mises \u00e0 jour continues. Lorsque vous changez de fournisseur, que vous ajoutez un nouvel outil SaaS ou que vous reclassez un service comme critique, le registre doit refl\u00e9ter ce changement. La soumission d&rsquo;un instantan\u00e9 statique qui \u00e9tait exact il y a six mois, mais qui a d\u00e9riv\u00e9 depuis, constitue une lacune en mati\u00e8re de conformit\u00e9.  <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Comment une plateforme SASE simplifie votre registre<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le nombre de lignes de votre registre est directement d\u00e9termin\u00e9 par votre architecture de s\u00e9curit\u00e9. Une institution financi\u00e8re de taille moyenne qui utilise une pile fragment\u00e9e typique, avec des fournisseurs distincts pour le VPN, le pare-feu, le filtrage web, la connectivit\u00e9 SD-WAN et la gestion des points finaux, doit documenter chacun de ces fournisseurs individuellement. Cela signifie cinq entr\u00e9es distinctes dans RT.05.01, cinq contrats dans RT.02.01, cinq \u00e9valuations de la criticit\u00e9, cinq strat\u00e9gies de sortie et cinq ensembles de documentation sur la sous-traitance.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Jimber consolide ZTNA, SWG, FWaaS et SD-WAN en une seule plateforme g\u00e9r\u00e9e dans le nuage. L&rsquo;impact sur le registre est imm\u00e9diat. <\/p>\n<div class=\"overflow-x-auto w-full px-2 mb-6\">\n<table class=\"min-w-full border-collapse text-sm leading-[1.7] whitespace-normal\">\n<thead class=\"text-left\">\n<tr>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Dimension du registre<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Pile fragment\u00e9e (5 fournisseurs)<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Jimber SASE (1 fournisseur)<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Entr\u00e9es des fournisseurs (RT.05.01)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">5<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">1<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Entr\u00e9es de contrat (RT.02.01)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">5<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">1<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">\u00c9valuation des risques (RT.07.01)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">5<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">1<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Strat\u00e9gies de sortie requises<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">5<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">1<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">D\u00e9clarations de localisation des donn\u00e9es<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">5 (potentiellement dans plusieurs juridictions)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">1 (traitement dans l&rsquo;EEE uniquement)<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Tracer les cha\u00eenes de sous-traitance<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">5<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">1<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Moins d&rsquo;entr\u00e9es signifie moins de possibilit\u00e9s d&rsquo;erreurs de validation, moins d&rsquo;administration de contrats et un cycle de mise \u00e0 jour annuelle plus facile \u00e0 g\u00e9rer.<\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">La souverainet\u00e9 des donn\u00e9es et la question de la loi CLOUD<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le mod\u00e8le RT.02.02 exige que vous d\u00e9clariez o\u00f9 les donn\u00e9es sont stock\u00e9es et trait\u00e9es. Si votre fournisseur de s\u00e9curit\u00e9 a son si\u00e8ge aux \u00c9tats-Unis, le US CLOUD Act donne aux autorit\u00e9s am\u00e9ricaines le pouvoir d&rsquo;exiger la divulgation des donn\u00e9es, quel que soit l&rsquo;endroit o\u00f9 les serveurs sont physiquement situ\u00e9s. Pour les institutions financi\u00e8res europ\u00e9ennes, cela cr\u00e9e une couche suppl\u00e9mentaire de documentation : vous devez expliquer les mesures de protection en place, g\u00e9n\u00e9ralement des clauses contractuelles types, et \u00e9valuer le risque r\u00e9siduel.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Jimber a son si\u00e8ge en Europe et tous les traitements de donn\u00e9es sont effectu\u00e9s au sein de l&rsquo;EEE. Cela signifie que le champ de localisation des donn\u00e9es dans RT.02.02 est simple \u00e0 remplir et que l&rsquo;\u00e9valuation des risques dans RT.07.01 n&rsquo;a pas besoin d&rsquo;aborder les questions de transfert de donn\u00e9es transfrontalier. Pour en savoir plus sur les raisons pour lesquelles les organisations europ\u00e9ennes r\u00e9\u00e9valuent leurs d\u00e9pendances vis-\u00e0-vis des fournisseurs am\u00e9ricains, consultez notre analyse des <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/european-sase-alternatives-why-network-security-needs-the-same-sovereignty-shift\/\">alternatives europ\u00e9ennes au SASE<\/a>.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Enregistrement centralis\u00e9 comme preuve d&rsquo;audit<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le registre vous demande de d\u00e9montrer qu&rsquo;il existe des contr\u00f4les pour chaque service TIC. Avec cinq outils de s\u00e9curit\u00e9 distincts, cela signifie que vous devez compiler des preuves \u00e0 partir de cinq tableaux de bord, cinq formats de journal et cinq interfaces de rapport. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La console de gestion unique de Jimber fournit une piste d&rsquo;audit unifi\u00e9e couvrant les contr\u00f4les d&rsquo;acc\u00e8s (ZTNA), la s\u00e9curit\u00e9 web (SWG), la politique r\u00e9seau (FWaaS) et la connectivit\u00e9 (SD-WAN). Lorsque votre superviseur vous demande comment vous contr\u00f4lez les services TIC document\u00e9s dans le registre, vous indiquez une plateforme et un flux de donn\u00e9es. Il s&rsquo;agit d&rsquo;une conversation fondamentalement diff\u00e9rente de celle qui consiste \u00e0 expliquer comment cinq tableaux de bord distincts fonctionnent ensemble.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Les strat\u00e9gies de sortie rendues pratiques<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">L&rsquo;article 28, paragraphe 8, exige des strat\u00e9gies de sortie document\u00e9es pour les services TIC soutenant des fonctions critiques. Avec une plateforme native, il est plus facile de d\u00e9montrer la portabilit\u00e9 qu&rsquo;avec des solutions d\u00e9pendantes du mat\u00e9riel. L&rsquo;exportation de la configuration bas\u00e9e sur l&rsquo;API de Jimber, les formats de journaux standardis\u00e9s et l&rsquo;absence d&rsquo;appareils propri\u00e9taires sur site signifient que votre plan de transition peut \u00eatre concret plut\u00f4t que th\u00e9orique. Vous pouvez effectuer un test de migration document\u00e9 et enregistrer les r\u00e9sultats comme preuve pour le mod\u00e8le RT.07.01.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/how-a-belgian-wealth-manager-cut-security-costs-58-with-sase\/\">Un gestionnaire de patrimoine belge a r\u00e9duit ses co\u00fbts de s\u00e9curit\u00e9 de 58%<\/a> apr\u00e8s avoir consolid\u00e9 ses multiples produits de pointage vers la <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/sase\/\">plateforme SASE de Jimber<\/a>. L&rsquo;avantage de la conformit\u00e9 a \u00e9t\u00e9 un effet secondaire de la simplification op\u00e9rationnelle : moins de fournisseurs \u00e0 g\u00e9rer, moins de contrats \u00e0 suivre et un seul fournisseur \u00e0 documenter dans le registre. <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Contexte belge et Benelux<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La loi DORA s&rsquo;applique en tant que lex specialis pour le secteur financier et pr\u00e9vaut sur la loi NIS2 pour les entit\u00e9s qui entrent dans son champ d&rsquo;application. Dans la pratique, de nombreuses organisations belges sont confront\u00e9es simultan\u00e9ment aux deux r\u00e9glementations. Une banque class\u00e9e comme entit\u00e9 essentielle sous NIS2 doit se conformer \u00e0 la fois au cadre de v\u00e9rification de la CyFun (date limite : 18 avril 2026) et \u00e0 la soumission du registre DORA \u00e0 la BNB.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le Centre pour la cybers\u00e9curit\u00e9 en Belgique (CCB) g\u00e8re CyFun, tandis que la BNB et la FSMA s&rsquo;occupent de la supervision de DORA. Ce chevauchement cr\u00e9e \u00e0 la fois une charge et une opportunit\u00e9. Les organisations qui ont termin\u00e9 leur inventaire des actifs et leur \u00e9valuation de la cha\u00eene d&rsquo;approvisionnement CyFun disposent d\u00e9j\u00e0 d&rsquo;une grande partie des donn\u00e9es de base n\u00e9cessaires pour le registre DORA. La gestion des actifs et les contr\u00f4les des fournisseurs dans les fonctions Identify et Protect de CyFun se traduisent directement par les inventaires des fournisseurs et les \u00e9valuations de la criticit\u00e9 dans les mod\u00e8les ITS.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pour les <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/nis2-compliance-2026-what-mid-market-teams-must-do-now\/\">obligations de conformit\u00e9 NIS2<\/a> et la <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/nis2-compliance-checklist-for-it-managers-what-your-audit-expects\/\">liste de contr\u00f4le pratique de la conformit\u00e9 NIS2<\/a>, nous avons des guides d\u00e9di\u00e9s qui couvrent le cadre CyFun en d\u00e9tail.<\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Un d\u00e9fi pratique pour les institutions belges est la langue. Les mod\u00e8les de l&rsquo;ABE sont en anglais, mais les communications de la BNB et de la FSMA concernant les erreurs de validation peuvent arriver en n\u00e9erlandais ou en fran\u00e7ais. Les \u00e9quipes internationales doivent s&rsquo;assurer que les personnes qui remplissent les mod\u00e8les et celles qui traitent les commentaires des superviseurs peuvent travailler dans plusieurs langues sans introduire d&rsquo;erreurs de traduction dans les donn\u00e9es.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les Pays-Bas ont activ\u00e9 leur Cyberbeveiligingswet au premier trimestre 2026, soumettant les institutions financi\u00e8res n\u00e9erlandaises \u00e0 des obligations parall\u00e8les NIS2 et DORA. La DNB pr\u00e9voit le format xBRL-CSV pour les soumissions de 2026, avec une tol\u00e9rance limit\u00e9e pour les solutions de contournement bas\u00e9es sur Excel. Les institutions n\u00e9erlandaises qui se sont appuy\u00e9es sur un support de conversion temporaire au cours du premier cycle doivent pr\u00e9voir une soumission directe en xBRL-CSV.  <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Questions fr\u00e9quemment pos\u00e9es<\/h2>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Qu&rsquo;est-ce que le registre d&rsquo;information DORA ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le registre d&rsquo;information est un ensemble de donn\u00e9es structur\u00e9 requis par l&rsquo;article 28(3) de la loi sur la r\u00e9silience op\u00e9rationnelle num\u00e9rique. Il documente tous les accords contractuels entre une entit\u00e9 financi\u00e8re et ses fournisseurs de services TIC tiers. Le registre utilise 15 mod\u00e8les interconnect\u00e9s d\u00e9finis par les normes techniques de mise en \u0153uvre de l&rsquo;ABE et doit \u00eatre soumis chaque ann\u00e9e \u00e0 l&rsquo;autorit\u00e9 de surveillance nationale comp\u00e9tente.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">\u00c0 quelle fr\u00e9quence le registre doit-il \u00eatre mis \u00e0 jour ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le registre n&rsquo;est pas un rapport annuel statique. Le DORA doit \u00eatre tenu \u00e0 jour en permanence. Tout changement dans les accords contractuels, les nouveaux fournisseurs de services TIC, la reclassification d&rsquo;un service comme critique, ou les modifications des cha\u00eenes de sous-traitance doivent \u00eatre refl\u00e9t\u00e9s rapidement. La soumission annuelle \u00e0 votre superviseur est un instantan\u00e9, mais le registre sous-jacent doit \u00eatre \u00e0 jour \u00e0 tout moment.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">La loi DORA s&rsquo;applique-t-elle aux fournisseurs de services TIC eux-m\u00eames ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La loi DORA r\u00e9glemente directement les entit\u00e9s financi\u00e8res, et non leurs fournisseurs de TIC. Toutefois, les fournisseurs de services TIC d\u00e9sign\u00e9s comme \u00ab\u00a0critiques\u00a0\u00bb par les autorit\u00e9s europ\u00e9ennes de surveillance sont soumis \u00e0 un cadre de surveillance directe. M\u00eame les fournisseurs non critiques sont soumis \u00e0 une pression indirecte : leurs clients du secteur financier exigeront des dispositions contractuelles couvrant les droits d&rsquo;audit, la notification des incidents, les strat\u00e9gies de sortie et la transparence de l&#8217;emplacement des donn\u00e9es.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Que se passe-t-il si nous ne respectons pas la date limite de soumission ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La loi DORA donne aux autorit\u00e9s de surveillance nationales le pouvoir d&rsquo;imposer des sanctions administratives et des mesures correctives. Les sanctions sp\u00e9cifiques varient selon le pays et le type d&rsquo;entit\u00e9. Au-del\u00e0 des sanctions r\u00e9glementaires, une soumission manqu\u00e9e ou incompl\u00e8te signale \u00e0 votre autorit\u00e9 de surveillance une mauvaise gouvernance des TIC, ce qui peut d\u00e9clencher une surveillance accrue et des exigences plus fr\u00e9quentes en mati\u00e8re de rapports.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Faut-il inclure dans le registre les fournisseurs d&rsquo;infrastructure en nuage comme AWS ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Oui. Tout prestataire fournissant des services TIC de mani\u00e8re continue entre dans le champ d&rsquo;application de la DORA. Cela inclut les fournisseurs d&rsquo;infrastructure en tant que service, les fournisseurs de plateforme en tant que service, les applications SaaS et les fournisseurs de services g\u00e9r\u00e9s. Si AWS h\u00e9berge votre application bancaire principale, il doit figurer dans le registre avec tous les d\u00e9tails du contrat, les informations sur l&#8217;emplacement des donn\u00e9es et une \u00e9valuation de la criticit\u00e9.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Comment la consolidation des outils de s\u00e9curit\u00e9 affecte-t-elle le registre ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Directement. Chaque fournisseur de services TIC n\u00e9cessite ses propres entr\u00e9es dans plusieurs mod\u00e8les : d\u00e9tails du fournisseur, informations sur le contrat, \u00e9valuation de la criticit\u00e9, \u00e9valuation des risques et documentation de la strat\u00e9gie de sortie. La consolidation de cinq produits de points de s\u00e9curit\u00e9 vers la plateforme unifi\u00e9e SASE de Jimber r\u00e9duit le nombre d&rsquo;entr\u00e9es de fournisseurs de cinq \u00e0 une. Cela signifie un seul LEI \u00e0 v\u00e9rifier, un seul contrat \u00e0 documenter, une seule \u00e9valuation des risques \u00e0 r\u00e9aliser et une seule strat\u00e9gie de sortie \u00e0 maintenir. Pour une institution de taille moyenne, cela peut r\u00e9duire de 80 % la partie du registre li\u00e9e \u00e0 la s\u00e9curit\u00e9.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Construire un registre DORA qui survive \u00e0 la validation rel\u00e8ve \u00e0 la fois de la gestion des donn\u00e9es et d&rsquo;une d\u00e9cision d&rsquo;architecture. Moins vous avez de fournisseurs de TIC \u00e0 documenter, plus le registre est simple et moins vous risquez d&rsquo;erreurs lors de la soumission annuelle. Si votre \u00e9quipe se pr\u00e9pare pour le prochain cycle de reporting, <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/contact\/\">r\u00e9servez une d\u00e9monstration<\/a> pour voir comment la consolidation de votre pile de s\u00e9curit\u00e9 avec Jimber change l&rsquo;\u00e9quation.  <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Guide \u00e9tape par \u00e9tape pour construire votre registre d&rsquo;information DORA. Il couvre les mod\u00e8les ITS de l&rsquo;EBA, les erreurs de validation courantes, les d\u00e9lais et la mani\u00e8re dont SASE r\u00e9duit les entr\u00e9es. <\/p>\n","protected":false},"author":5,"featured_media":12788,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[9],"tags":[],"class_list":["post-12791","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorise"],"acf":[],"_links":{"self":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/12791","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/comments?post=12791"}],"version-history":[{"count":1,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/12791\/revisions"}],"predecessor-version":[{"id":12821,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/12791\/revisions\/12821"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media\/12788"}],"wp:attachment":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media?parent=12791"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/categories?post=12791"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/tags?post=12791"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}