Le piège classique
Le considérant 13 pose la règle du principle-based proportionnel : même cadre pour tous, mais calibre selon taille et profil de risque. La CSSF sanctionné deux derives opposees. D'un cote, la fintech régulée qui invoque sa petite taille pour négliger l'hygiene de base (MFA, patching, backups testes). De l'autre, le petit gestionnaire AIFM qui copie-colle le dispositif d'une grande banque, produit 400 pages de procédures inapplicables, et echoue au premier contrôle car rien n'est reellement opère. La proportionnalite n'est pas une excuse, c'est une obligation de calibrage démontrable.
Le test de proportionnalite : comment justifier votre calibrage devant la CSSF
Un dispositif DORA proportionné doit pouvoir être defendu sur trois axes auditables :
- Taille et profil de risque global : nombre de clients, encours sous gestion, volumetrie de transactions, exposition transfrontalière, criticite systemique.
- Nature et complexité des services : exécution d'ordres haute fréquence vs. gestion discretionnaire, services payants cloud-native vs. core banking on-premise, dependances tierces critiques.
- Hygiene informatique de base intangible : même un EMI de 8 personnes doit démontrer MFA generalisee, gestion des correctifs, sauvegardes restaurees régulièrement, journalisation centralisee, sensibilisation. Ces fondamentaux ne se proportionnalisent pas, ils s'appliquent.
Comment Luxgap automatise ce risque
Notre Luxgap Proportionality Compass transforme la justification de votre calibrage DORA en preuve opposable a la CSSF, générée automatiquement et non plus redigee en panique avant un contrôle. L'outil ingere votre profil reel (encours, transactions, headcount IT, registre des fournisseurs TIC, périmètre cloud) depuis Sage BOB 50, vos systèmes core et Microsoft Defender, puis le confronte aux exigences DORA pour produire un calibrage defendable article par article.
- Calcule un score de profil de risque global pondere selon les critères CSSF (taille, complexité, interconnexion, criticite des services TIC) et le recalibre automatiquement chaque trimestre.
- Vérifié en temps reel la presence des contrôles d'hygiene de base intangibles (MFA generalisee via Azure AD, patching via Intune, backups testes via Veeam ou Rubrik, EDR deploye) et alerte sur toute regression.
- Genere une matrice de proportionnalite article par article qui justifie chaque choix de calibrage avec les données factuelles sous-jacentes.
- Detecte automatiquement les dispositifs sur-dimensionnes (procédures jamais executees, comites jamais réunis) et les dispositifs sous-dimensionnes au regard du profil reel.
- Produit un rapport PDF horodate, cryptographiquement scelle, opposable a la CSSF, qui démontré la coherence entre votre calibrage et votre profil de risque effectif.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer l'ecart entre votre dispositif actuel et un calibrage DORA defendable.
