Le piège classique
Beaucoup d'entités financières luxembourgeoises pensent que la liberté de modèle offerte par ce considérant 47 les autorise à conserver leur cadre de gestion du risque TIC existant tel quel (souvent calqué sur ISO 27005, NIST CSF ou COBIT). Erreur fréquente sanctionnée par la CSSF lors de ses inspections sur place : le modèle maison ne couvre pas explicitement les six fonctions DORA (identification, protection et prévention, détection, réponse et rétablissement, apprentissage et évolution, communication). Le considérant 47 n'est pas un blanc-seing : c'est une autorisation conditionnelle de réutiliser votre cadre, à condition de démontrer une cartographie de correspondance entre vos processus internes et les exigences des articles 5 à 14 du règlement.
Le test de correspondance : ce que la CSSF vérifie réellement
Quand un inspecteur CSSF arrive, il ne vous demande pas de jeter votre référentiel NIST. Il vous demande de prouver que chaque exigence DORA est tracée dans votre modèle. Les six points de contrôle :
- Identification : inventaire des actifs TIC, classification, cartographie des dépendances (art. 8 DORA).
- Protection et prévention : politiques de sécurité, gestion des accès, chiffrement, segmentation (art. 9).
- Détection : mécanismes de monitoring continu, seuils d'alerte, SOC ou MSSP (art. 10).
- Réponse et rétablissement : plans de continuité TIC, RTO/RPO, tests de restauration (art. 11 et 12).
- Apprentissage et évolution : analyse post-incident, mise à jour du référentiel risques (art. 13).
- Communication : plan de communication de crise interne, clients, CSSF (art. 14).
Si un seul de ces six volets n'est pas adressé explicitement, votre liberté de modèle tombe et vous êtes en non-conformité, indépendamment de la qualité réelle de votre dispositif.
Comment Luxgap automatise ce risque
Notre Luxgap DORA Framework Mapper élimine la zone grise du considérant 47 en produisant automatiquement la matrice de correspondance entre votre cadre TIC existant (ISO 27001, NIST CSF, COBIT, FFIEC, cadre maison) et les six fonctions DORA exigées par les articles 5 à 14. L'outil ingère vos politiques, procédures et registres de risque depuis SharePoint, Confluence, GRC tools (ServiceNow GRC, Archer, OneTrust) et les confronte au référentiel DORA via un agent LLM spécialisé entraîné sur les RTS et ITS publiés par les ESAs.
- Analyse vos documents de politique TIC existants et détecte automatiquement quelle fonction DORA chaque procédure couvre, avec un score de complétude par article (5 à 14).
- Identifié les zones d'ombre où votre cadre maison ne couvre pas explicitement une exigence DORA (typiquement la fonction apprentissage et évolution et la fonction communication, souvent absentes des cadres NIST classiques).
- Génère la matrice de correspondance officielle prête à présenter à la CSSF, format Excel et PDF horodaté, démontrant que votre modèle alternatif respecte les principes du considérant 47.
- Propose des modèles de procédures à intégrer pour combler les écarts détectés, déclinés par typologie d'entité (banque, fonds, PSF, assurance, intermédiaire).
- Réactualise la matrice automatiquement à chaque mise à jour de vos politiques internes ou à chaque publication d'un nouveau RTS par l'EBA, l'ESMA ou l'EIOPA.
Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre cadre TIC réel, avec un audit blanc gratuit sous 48h pour mesurer votre niveau de correspondance avec les six fonctions DORA avant tout engagement.
