Gestion des risques tiers DORA : exigences pour les prestataires TIC
DORA reconnaît que la résilience du secteur financier dépend des chaînes d'approvisionnement technologiques. Le chapitre V établit des exigences complètes pour la gestion des prestataires TIC tiers, de la due diligence pré-contractuelle à la surveillance continue jusqu'à la planification de sortie.
Cela représente une extension significative des obligations de surveillance des tiers. Les entités financières peuvent externaliser des services technologiques, mais elles ne peuvent pas externaliser la responsabilité. Vous restez pleinement responsable de vous assurer que vos prestataires respectent les standards DORA.
Points clés
| Point | Résumé |
|---|---|
| Approche cycle de vie | Les exigences couvrent la sélection, la contractualisation, la surveillance et la sortie |
| Registre d'informations | Registre complet de tous les arrangements TIC tiers requis |
| Exigences contractuelles | Dispositions obligatoires pour tous les accords de services TIC |
| Fonctions critiques | Exigences renforcées pour les services supportant les fonctions critiques |
| Stratégies de sortie | Plans de sortie requis pour tous les services TIC |
Réponse rapide : DORA exige des entités financières qu'elles mettent en œuvre un cadre complet de gestion des risques tiers couvrant l'ensemble du cycle de vie de la relation avec les prestataires de services TIC. Les exigences clés incluent une stratégie documentée, une due diligence pré-contractuelle, des dispositions contractuelles obligatoires, une surveillance continue, un Registre d'informations documentant tous les arrangements, et des stratégies de sortie pour tous les services TIC. Des exigences renforcées s'appliquent lorsque les prestataires supportent des fonctions critiques ou importantes.
Stratégie de gestion des risques tiers
Exigences de la stratégie
Les non-microentreprises doivent adopter et revoir régulièrement une stratégie sur les risques TIC tiers qui inclut :
| Élément | Description |
|---|---|
| Cadre de politiques | Politiques régissant l'utilisation des services TIC, notamment pour les fonctions critiques |
| Appétit au risque | Tolérance définie pour le risque de concentration TIC tiers |
| Critères de sélection | Facteurs à considérer lors de la sélection des prestataires |
| Approche de surveillance | Comment la performance et les risques des prestataires seront supervisés |
| Planification de sortie | Principes généraux pour le développement des stratégies de sortie |
Proportionnalité
La stratégie doit être proportionnée à votre taille, votre profil de risque et votre dépendance aux services TIC tiers. Une fintech fortement dépendante des services cloud aura besoin d'une approche plus sophistiquée qu'une institution avec une externalisation minimale.
Due diligence pré-contractuelle
Avant de conclure des arrangements avec des prestataires de services TIC tiers, les entités financières doivent effectuer une due diligence.
Facteurs de due diligence
| Facteur | Évaluation |
|---|---|
| Capacités du prestataire | Compétence technique, ressources, capacité |
| Stabilité financière | Capacité à maintenir les opérations et investissements |
| Posture de sécurité | Pratiques de sécurité de l'information et certifications |
| Conformité réglementaire | Conformité du prestataire aux exigences applicables |
| Risque de concentration | Impact sur votre concentration de services TIC |
| Sous-traitance | Utilisation de sous-traitants par le prestataire |
| Localisation géographique | Considérations de résidence des données et de juridiction |
Évaluation des fonctions critiques
Lorsque le service supporte une fonction critique ou importante :
- Profondeur renforcée de la due diligence
- Évaluation des capacités de résilience du prestataire
- Évaluation de la faisabilité de sortie
- Considération de prestataires alternatifs
Exigences contractuelles
L'article 30 de DORA spécifie les dispositions obligatoires pour les contrats avec les prestataires de services TIC tiers.
Exigences pour tous les contrats
| Disposition | Description |
|---|---|
| Description du service | Spécification claire des services fournis |
| Localisation du service | Où les données seront traitées et stockées |
| Niveaux de service | Objectifs de performance quantitatifs et qualitatifs |
| Notification des incidents | Obligation du prestataire de signaler les incidents TIC |
| Obligation d'assistance | Support du prestataire pendant les incidents sans coût supplémentaire |
| Coopération avec les autorités | Le prestataire doit coopérer avec les autorités compétentes |
| Droits de résiliation | Droits de résilier dans des circonstances spécifiées |
| Assistance à la sortie | Support du prestataire pendant la transition |
Exigences renforcées pour les fonctions critiques
Lorsque les services TIC supportent des fonctions critiques ou importantes, les contrats doivent également inclure :
| Disposition | Description |
|---|---|
| Description complète du service | Spécification exhaustive de tous les services |
| Conditions de sous-traitance | Conditions et visibilité sur les sous-traitants |
| Surveillance des performances | Droits de surveiller la performance de manière continue |
| Droits d'audit et d'accès | Droits illimités d'accès, d'inspection et d'audit |
| Continuité d'activité | Le prestataire doit mettre en œuvre et tester des plans de continuité |
| Participation aux tests | Le prestataire doit participer aux tests de résilience, y compris le TLPT |
| Support à la stratégie de sortie | Dispositions spécifiques supportant la sortie et la transition |
Droits d'audit et d'accès
Pour les fonctions critiques, les contrats doivent prévoir :
« Des droits illimités d'accès, d'inspection et d'audit par l'entité financière, ou un tiers désigné, et par l'autorité compétente. »
Cela ne peut être entravé par d'autres arrangements contractuels ou limitations pratiques.
Sous-traitance
Lorsque les prestataires sous-traitent des services :
- L'entité financière doit être notifiée des sous-traitances matérielles
- Les sous-traitants supportant des fonctions critiques nécessitent une approbation préalable
- Des exigences contractuelles équivalentes doivent s'appliquer en cascade
- L'entité doit maintenir une visibilité sur l'ensemble de la chaîne d'approvisionnement
Registre d'informations
L'article 28(3) de DORA exige des entités financières qu'elles maintiennent un Registre d'informations (RoI) complet documentant tous les arrangements TIC tiers.
Contenu du registre
Le RoI doit inclure :
| Élément | Description |
|---|---|
| Identification du prestataire | Nom, coordonnées d'enregistrement, informations de contact |
| Détails du contrat | Dates du contrat, périmètre, valeur |
| Services fournis | Description des services TIC |
| Indicateur de fonction critique | Si les services supportent des fonctions critiques |
| Localisations des données | Où les données sont traitées et stockées |
| Sous-traitance | Détails des sous-traitants |
| Données au niveau de l'entité | Informations au niveau de chaque entité |
| Données consolidées | Vue agrégée au niveau du groupe |
Soumission aux autorités
Le Registre d'informations doit être :
- Disponible aux autorités compétentes sur demande
- Soumis selon les calendriers réglementaires
- Maintenu aux niveaux de l'entité, sous-consolidé et consolidé
Les premières soumissions sont prévues en 2025/2026, avec la date exacte annoncée par votre autorité compétente.
Utilisation par les AES
Les AES utilisent les données du Registre pour :
- Surveiller le risque de concentration à l'échelle du secteur
- Identifier les candidats à la désignation comme prestataire tiers TIC critique
- Éclairer la planification de la supervision
Surveillance continue
Les entités financières doivent surveiller en continu leurs arrangements TIC tiers.
Activités de surveillance
| Activité | Fréquence |
|---|---|
| Surveillance des performances | Continue (alignée sur les niveaux de service) |
| Mises à jour des évaluations de risques | Au moins annuellement |
| Vérification de conformité | Périodique (alignée sur le cycle d'audit) |
| Analyse des incidents | Suite aux incidents des prestataires |
| Revue contractuelle | Au renouvellement ou changement significatif |
Gestion des performances
Surveiller la performance des prestataires par rapport à :
- Niveaux de service convenus
- Réponse et résolution des incidents
- Métriques de sécurité
- Préparation à la continuité d'activité
- Conformité réglementaire
Réévaluation des risques
Réévaluer le risque du prestataire quand :
- Le renouvellement du contrat approche
- Des changements significatifs de service surviennent
- Le prestataire subit des incidents
- La situation du prestataire change matériellement
- Les exigences réglementaires évoluent
Stratégies de sortie
DORA exige des stratégies de sortie documentées pour les services TIC, avec des exigences renforcées pour les fonctions critiques.
Exigences de la stratégie de sortie
| Élément | Description |
|---|---|
| Événements déclencheurs | Circonstances qui déclencheraient une sortie |
| Planification de la transition | Étapes pour transitionner vers des arrangements alternatifs |
| Prestataires alternatifs | Alternatives identifiées ou capacités internes |
| Calendrier de transition | Calendrier réaliste pour l'exécution de la sortie |
| Migration des données | Plans d'extraction et de transfert des données |
| Besoins en ressources | Personnel, budget et expertise nécessaires |
| Atténuation des risques | Mesures pour gérer les risques de transition |
Test des stratégies de sortie
Pour les fonctions critiques :
- Les stratégies de sortie doivent être testées périodiquement
- Les exercices sur table valident la faisabilité
- Les résultats éclairent les mises à jour de la stratégie
Support contractuel à la sortie
Assurez-vous que les contrats incluent :
- Délais de préavis adéquats pour la résiliation
- Assistance du prestataire pendant la transition
- Droits d'accès et d'extraction des données
- Continuité du service pendant la transition
- Propriété intellectuelle claire
Risque de concentration
DORA traite du risque de concentration découlant de la dépendance à un nombre limité de prestataires TIC.
Évaluation du risque de concentration
Évaluez la concentration à :
| Niveau | Considération |
|---|---|
| Niveau de l'entité | Dépendances à un seul prestataire |
| Niveau du groupe | Dépendances inter-entités |
| Niveau sectoriel | Concentration à l'échelle de l'industrie |
Approches d'atténuation
- Diversifier les services TIC critiques entre plusieurs prestataires
- Développer des capacités internes pour les fonctions critiques
- Assurer la portabilité des services et des données
- Maintenir une conscience de la concentration à l'échelle du secteur
Questions fréquentes
Comment gérer les contrats existants qui ne respectent pas les exigences DORA ?
Revoyez les contrats existants par rapport aux exigences DORA et négociez des amendements si nécessaire. Priorisez les contrats supportant des fonctions critiques. Lorsque les prestataires refusent les amendements, envisagez une planification de transition vers des alternatives conformes.
Devons-nous auditer tous les prestataires ?
Les droits d'audit et d'accès doivent être contractuellement disponibles, mais vous n'avez pas besoin d'auditer tous les prestataires annuellement. Priorisez les audits selon le risque : les prestataires de fonctions critiques et ceux avec des profils de risque plus élevés justifient des revues plus fréquentes.
Comment gérer les conditions standards des fournisseurs cloud ?
Les grands fournisseurs cloud résistent souvent aux termes contractuels personnalisés. Lorsque les conditions standards ne répondent pas aux exigences DORA, documentez votre évaluation des risques, envisagez des contrôles compensatoires, et engagez-vous avec les prestataires sur des avenants spécifiques à DORA. Certains prestataires ont développé des termes conformes à DORA.
Que se passe-t-il si un prestataire est désigné comme CTPP ?
Si votre prestataire est désigné comme prestataire tiers TIC critique, il fera face à une surveillance directe de l'UE. Cela peut l'obliger à établir une filiale dans l'UE et à se conformer aux recommandations des équipes d'examen conjointes. Votre relation contractuelle continue, mais le prestataire fait face à des obligations réglementaires supplémentaires.
Quel niveau de détail les stratégies de sortie doivent-elles avoir ?
Les stratégies de sortie doivent être réalistes et exécutables. Pour les fonctions critiques, cela signifie des plans spécifiques avec des alternatives identifiées, des calendriers de transition, des estimations de ressources et des procédures testées. Pour les services non critiques, des stratégies de plus haut niveau peuvent suffire.
Comment Bastion peut vous aider
Bastion accompagne les entités financières pour répondre aux exigences DORA de gestion des risques tiers :
- Développement de stratégie : Création de stratégies et politiques de gestion des risques TIC tiers
- Support à la due diligence : Cadres d'évaluation des fournisseurs et évaluation des risques
- Revue contractuelle : Analyse d'écarts des contrats existants par rapport aux exigences DORA
- Registre d'informations : Support à la préparation et à la maintenance du RoI
- Planification de sortie : Développement et test des stratégies de sortie
- Surveillance continue : Cadres de surveillance et support à la réévaluation des risques
Prêt à renforcer votre gestion des risques tiers ? Parlez à notre équipe
Sources
- Chapitre V de DORA - Gestion des risques TIC liés aux tiers
- Article 28 de DORA - Principes généraux et Registre d'informations
- Article 30 de DORA - Dispositions contractuelles clés
- RTS des AES sur les risques tiers - Normes techniques pour la gestion des risques tiers