Registre des prestataires TIC : obligation DORA

Le règlement (UE) 2022/2554, dit DORA, impose aux entités financières de tenir un registre d'information (RoI, pour Register of Information) de leurs accords contractuels conclus avec les prestataires de services TIC. Ce registre n'est pas un document interne facultatif : il doit être tenu à jour et communiqué à l'autorité compétente au moins une fois par an.

Derrière cette obligation se joue l'un des points les plus structurants de DORA : la maîtrise du risque que les prestataires tiers font peser sur la résilience opérationnelle numérique de l'entité. Le registre en est la pièce maîtresse, là où se rejoignent inventaire contractuel, évaluation de criticité et clauses obligatoires.

Ce qu'est le registre d'information

Le registre d'information recense les accords contractuels passés avec les prestataires de services TIC. Il s'agit d'un état exhaustif et à jour de la chaîne de sous-traitance numérique de l'entité financière : qui fournit quoi, dans quel cadre contractuel, pour soutenir quelles fonctions. L'objectif est que l'entité, comme son superviseur, dispose d'une vision claire de la dépendance de l'entité à ses fournisseurs informatiques.

Cette transparence n'a pas qu'une vertu déclarative. Elle conditionne la capacité de l'entité à raisonner sur sa propre exposition : un registre incomplet ou approximatif rend impossible toute évaluation sérieuse du risque que ces prestataires concentrent.

Une transmission annuelle à l'autorité compétente

DORA prévoit que le registre soit communiqué à l'autorité compétente au moins une fois par an. En France, selon l'entité concernée, l'autorité compétente est l'ACPR (Autorité de contrôle prudentiel et de résolution), qui supervise notamment les banques et assurances, ou l'AMF (Autorité des marchés financiers), qui supervise notamment les entreprises d'investissement, les sociétés de gestion et les infrastructures de marché.

La périodicité annuelle est un plancher : le registre doit rester à jour en continu, et non être reconstitué à la veille de l'échéance. Le superviseur attend un document vivant, reflet fidèle de la réalité contractuelle au moment de la transmission.

Des clauses contractuelles obligatoires

Le registre ne se conçoit pas indépendamment des contrats qu'il recense. DORA impose en effet des clauses contractuelles obligatoires dans les accords conclus avec les prestataires de services TIC. Le texte attend que ces contrats encadrent les points sensibles de la relation : niveaux de service, droits d'accès et d'audit, coopération avec l'autorité, modalités de réversibilité et de fin de contrat.

Concrètement, alimenter le registre suppose souvent de revisiter le parc contractuel existant : un contrat antérieur à DORA ne comporte pas nécessairement les stipulations désormais requises. Le registre devient ainsi le révélateur des écarts à combler dans la documentation contractuelle.

L'évaluation de la criticité des prestataires

DORA impose également une évaluation de la criticité des prestataires de services TIC. Tous ne pèsent pas le même poids sur la résilience de l'entité : un fournisseur soutenant une fonction critique ou importante n'appelle pas le même niveau d'exigence qu'un prestataire accessoire. L'évaluation de criticité permet de hiérarchiser l'attention et de calibrer les exigences contractuelles et de surveillance.

Cette logique fait écho à la désignation, à l'échelle européenne, des prestataires tiers critiques de services TIC, que les autorités européennes de surveillance identifient dans le cadre des normes techniques précisant DORA. À son niveau, chaque entité doit mener sa propre lecture de criticité, prestataire par prestataire.

Le registre, expression du quatrième pilier

Registre, clauses obligatoires et évaluation de criticité ne sont pas des obligations isolées : ils forment ensemble le quatrième pilier de DORA, consacré à la gestion du risque lié aux prestataires tiers de services TIC. Ce pilier pose un principe simple : le risque porté par un fournisseur est une composante à part entière du risque TIC de l'entité, et doit être gouverné comme tel.

C'est pourquoi le registre dépasse la simple formalité administrative. Bien tenu, il devient l'outil de pilotage de la gestion du risque tiers TIC, et la preuve, opposable au superviseur, que l'entité connaît et maîtrise sa chaîne de dépendances numériques. Pour en faire un véritable levier plutôt qu'un livrable de façade, mieux vaut l'inscrire dans une démarche de gestion du risque prestataires TIC qui part de la cartographie réelle des contrats. C'est l'une des briques d'une mise en conformité DORA menée à partir de l'écart constaté plutôt que d'un modèle théorique.

Poursuivre la lecture

Poursuivre la lecture