DORA ICT : gestion du risque lié aux TIC

02L'essentiel

Ce qu'il faut retenir

Le pilier « gestion du risque lié aux TIC » impose un cadre de gouvernance et de contrôle interne : identifier, cartographier et surveiller en continu les fonctions et actifs critiques, et tenir des plans de continuité et de reprise testés. C'est la fondation du dispositif DORA.

03En détail

Ce que le règlement implique ici

« ICT » (Information and Communication Technologies) correspond aux TIC en français : c'est l'objet central de DORA. Le règlement (UE) 2022/2554 fait du risque lié aux TIC une catégorie de risque à gérer au même titre que les autres risques de l'entité financière.

Le premier pilier impose un cadre de gouvernance et de contrôle interne : identifier, cartographier et surveiller en continu les fonctions et actifs critiques ou importants, mener des évaluations périodiques du risque, et tenir des plans de continuité d'activité et de reprise après incident, testés et actualisés.

C'est la fondation sur laquelle reposent les autres piliers : sans cartographie fiable des fonctions critiques et des dépendances TIC, ni la notification des incidents, ni les tests de résilience, ni la maîtrise du risque prestataires ne peuvent être conduits sérieusement.

Le risque lié aux TIC, socle du règlement

Le premier pilier du règlement (UE) 2022/2554 ne se contente pas de recommander de bonnes pratiques informatiques : il érige le risque lié aux technologies de l'information et de la communication (TIC) en catégorie de risque à part entière, à gérer au même titre que les risques financiers ou opérationnels classiques. Ce changement de statut est la clé de lecture de tout le texte. Tant que le risque TIC restait un sujet technique relégué à la direction des systèmes d'information, il échappait à la gouvernance ; DORA le fait remonter au niveau de l'organe de direction, qui en devient responsable.

Concrètement, l'entité financière doit construire un cadre de gouvernance et de contrôle interne documenté. Cela commence par identifier et cartographier ses fonctions et actifs critiques ou importants, ainsi que leurs dépendances aux systèmes et aux prestataires TIC. Cette cartographie n'est pas un livrable figé : elle doit être surveillée en continu et nourrir des évaluations périodiques du risque, afin de suivre l'évolution des menaces, des systèmes et des dépendances. Sans cette base, aucune des autres exigences du règlement ne peut être conduite sérieusement. C'est pourquoi nous la plaçons au centre de la démarche de mise en conformité DORA.

Continuité d'activité et reprise : des plans testés, pas des classeurs

Le cadre de gestion du risque TIC ne vise pas seulement à prévenir les incidents, mais aussi à garantir que l'entité puisse continuer à fonctionner quand ils surviennent. DORA impose donc des plans de continuité d'activité et de reprise après incident. La nuance qui change tout tient en deux mots : ces plans doivent être testés et actualisés. Un plan rédigé une fois, rangé et jamais éprouvé n'offre aucune garantie réelle de résilience le jour d'une panne majeure ou d'une cyberattaque.

Tester un plan suppose de définir des scénarios de défaillance crédibles, de mesurer le temps réel de bascule et de remise en service, et de tirer les enseignements de chaque exercice pour corriger le dispositif. Les résultats alimentent en retour la cartographie et l'évaluation du risque : un test qui révèle une dépendance non documentée ou un délai de reprise hors cible est une information à intégrer au cadre de gouvernance. Cette boucle entre cartographie, surveillance continue et tests fait la cohérence du premier pilier, dont nous détaillons les mécanismes dans notre guide de la gestion du risque TIC sous DORA.

Les prestataires tiers : une composante du risque TIC, pas un sujet annexe

Une particularité du règlement est qu'il refuse de traiter l'externalisation comme un angle mort. Le risque lié aux prestataires tiers de services TIC est explicitement intégré au risque TIC, et non isolé dans un volet contractuel séparé. La logique est simple : confier l'hébergement, l'infogérance ou un service cloud à un tiers ne transfère pas la responsabilité de l'entité financière vis-à-vis de son superviseur. Elle reste comptable de la résilience de fonctions qu'elle ne maîtrise plus directement, ce qui l'oblige à connaître et à documenter ces dépendances.

Trois obligations en découlent. D'abord, des clauses contractuelles obligatoires doivent figurer dans les contrats conclus avec les prestataires TIC. Ensuite, l'entité évalue la criticité de chaque prestataire, afin de calibrer la surveillance selon l'importance de la fonction concernée. Enfin, elle tient un registre d'information à jour de ses accords contractuels, communiqué à l'autorité compétente au moins une fois par an. Ce registre est souvent le premier chantier concret par lequel les entités structurent leur conformité ; nous lui consacrons un guide dédié au registre des prestataires TIC. Replacer ces obligations dans l'ensemble du dispositif relève de la conformité au règlement (UE) 2022/2554.

L'architecture des textes : du règlement aux normes techniques

Comprendre l'obligation de gestion du risque TIC suppose de savoir comment le droit applicable se construit. Le règlement (UE) 2022/2554 constitue le texte de niveau 1 : il pose les principes et les obligations de fond, directement applicables dans tous les États membres sans transposition nationale. Mais un règlement de ce type ne peut pas tout détailler. Il est précisé par des normes techniques de réglementation (RTS) et des normes techniques d'exécution (ITS), qui en explicitent la mise en oeuvre concrète.

Ces normes techniques sont élaborées par les trois autorités européennes de surveillance (AES) : l'EBA pour le secteur bancaire, l'EIOPA pour l'assurance et les pensions, et l'ESMA pour les marchés. Elles couvrent notamment les outils de gestion du risque TIC, la classification et la notification des incidents, ainsi que la désignation des prestataires tiers critiques de services TIC. Ce corpus de RTS et d'ITS est en construction progressive sous l'égide des AES : il faut donc raisonner non pas sur le seul texte du règlement, mais sur l'ensemble formé par le niveau 1 et ses normes techniques d'application. Pour le pilier qui nous occupe, c'est précisément ce qui transforme un principe général (« gérer le risque TIC ») en exigences opérationnelles vérifiables. Nous détaillons cette mécanique dans notre guide des normes techniques RTS et ITS de DORA.

La supervision des prestataires tiers critiques (CTPP)

La logique du risque TIC ne s'arrête pas aux frontières de l'entité financière. DORA introduit un mécanisme inédit : certains prestataires tiers de services TIC, en raison de leur importance systémique pour le secteur financier, sont désignés comme prestataires tiers critiques (CTPP). Ces prestataires ne sont plus seulement surveillés indirectement, à travers les contrats de chacun de leurs clients financiers ; ils font l'objet d'une supervision directe par les autorités européennes de surveillance, dans le cadre d'un dispositif piloté par un superviseur principal (Lead Overseer) désigné parmi les AES.

Pour l'entité financière, cette désignation a une portée concrète. Elle ne la décharge en rien de ses propres obligations : elle reste responsable de la cartographie de ses dépendances, de l'évaluation de la criticité de ses prestataires et de la tenue de son registre d'information. Mais elle doit intégrer le fait qu'un prestataire critique peut faire l'objet de recommandations issues de cette supervision européenne, susceptibles d'influer sur la relation contractuelle et sur les mesures de résilience attendues. Identifier, parmi ses fournisseurs, ceux qui relèvent ou pourraient relever de ce statut fait donc partie d'une démarche de conformité au règlement (UE) 2022/2554 bien menée.

Calendrier et entrée en application

Le pilier de gestion du risque TIC, comme l'ensemble des obligations de DORA, s'apprécie au regard d'un calendrier précis. Le règlement (UE) 2022/2554 est entré en vigueur le 27 décembre 2022, soit vingt jours après sa publication au Journal officiel de l'Union européenne. Son entrée en application, c'est-à-dire la date à partir de laquelle les obligations s'imposent effectivement aux entités concernées, a été fixée au 17 janvier 2025.

Cet intervalle de plus de deux ans entre la vigueur et l'application correspondait à une période de préparation : il s'agissait pour les entités financières de mettre en place leur cadre de gouvernance du risque TIC, de structurer leur cartographie et leur registre, et d'aligner leurs contrats prestataires. Depuis le 17 janvier 2025, ces exigences ne relèvent plus de l'anticipation mais du contrôle : les autorités compétentes, l'ACPR et l'AMF en France, supervisent leur application. Mesurer son écart à ces obligations passe par un cadrage de la gestion du risque TIC sous DORA et, le cas échéant, par un diagnostic structuré.

Questions fréquentes

Qu'appelle-t-on « TIC » dans DORA ?

« TIC » désigne les technologies de l'information et de la communication, soit la traduction française de l'acronyme anglais « ICT » (Information and Communication Technologies). C'est l'objet central du règlement (UE) 2022/2554, qui vise à établir un cadre uniforme dans l'Union pour la gestion des risques liés à ces technologies dans le secteur financier. Le risque TIC y est traité comme une catégorie de risque à part entière, au même titre que les risques financiers ou opérationnels classiques.

Le risque lié aux prestataires fait-il partie du risque TIC ?

Oui. DORA intègre explicitement le risque lié aux prestataires tiers de services TIC à la gestion du risque TIC, plutôt que de l'isoler dans un volet purement contractuel. Externaliser un service, un hébergement ou une fonction cloud ne transfère pas la responsabilité de l'entité financière vis-à-vis de son superviseur. Le règlement impose donc des clauses contractuelles obligatoires, une évaluation de la criticité des prestataires et la tenue d'un registre d'information communiqué à l'autorité compétente au moins une fois par an.

Qu'est-ce qu'un prestataire tiers critique ?

Il s'agit d'un prestataire de services TIC désigné comme « critique » (CTPP) en raison de son importance pour le secteur financier. Contrairement aux autres prestataires, surveillés à travers les contrats de chaque entité cliente, un prestataire critique fait l'objet d'une supervision directe par les autorités européennes de surveillance, sous l'égide d'un superviseur principal (Lead Overseer). L'entité financière conserve néanmoins l'ensemble de ses propres obligations de cartographie, d'évaluation et de tenue de registre.

Depuis quand DORA s'applique-t-il ?

Le règlement (UE) 2022/2554 est entré en vigueur le 27 décembre 2022 et s'applique depuis le 17 janvier 2025. Les obligations de gestion du risque TIC sont donc pleinement opposables aux entités concernées, sous le contrôle des autorités compétentes.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un diagnostic de conformité DORA pose le point de départ documenté de votre démarche.