Gestion des prestataires TIC critiques DORA

02L'essentiel

Ce qu'il faut retenir

Les entités financières doivent tenir un registre d'information à jour de leurs accords contractuels avec les prestataires TIC, communiqué à l'autorité compétente au moins une fois par an. S'y ajoutent des clauses contractuelles obligatoires et une évaluation de la criticité de chaque prestataire.

03En détail

Ce que le règlement implique ici

DORA traite le risque lié aux prestataires tiers de services TIC comme une composante à part entière du risque TIC, et non comme un sujet annexe. L'externalisation ne dilue pas la responsabilité de l'entité financière : elle l'oblige à maîtriser et à documenter cette dépendance.

L'obligation la plus concrète est le registre d'information (RoI) : un inventaire à jour des accords contractuels conclus avec les prestataires de services TIC, communiqué à l'autorité compétente au moins une fois par an. C'est souvent le premier livrable que les entités structurent.

S'y ajoutent des clauses contractuelles obligatoires dans les contrats avec les prestataires TIC et une évaluation de la criticité de chaque prestataire. Les prestataires eux-mêmes ont intérêt à anticiper ces exigences, car elles se répercutent dans les contrats de leurs clients financiers.

Le registre d'information, premier livrable du risque prestataires

Le quatrième pilier de DORA se matérialise d'abord par un document concret : le registre d'information (RoI, pour Register of Information). Chaque entité financière doit tenir à jour un inventaire de ses accords contractuels conclus avec ses prestataires de services TIC, et le communiquer à l'autorité compétente au moins une fois par an. Ce n'est pas un simple tableau interne : c'est une obligation déclarative, dont le format est encadré, et qui donne au superviseur une vision consolidée de la dépendance technologique du secteur financier.

Sa construction est souvent plus lourde qu'anticipé. Elle suppose de recenser des contrats dispersés entre métiers et filiales, de rattacher chaque accord aux fonctions qu'il soutient, et de qualifier la nature du service rendu. Beaucoup d'entités découvrent à cette occasion que leur cartographie des prestataires était incomplète. C'est pourquoi le registre est généralement le premier chantier que les équipes structurent dans une démarche de mise en conformité DORA. Notre guide du registre des prestataires TIC détaille les informations attendues et l'ordre dans lequel les rassembler.

Clauses contractuelles obligatoires et évaluation de la criticité

Au registre s'ajoutent deux exigences indissociables. D'une part, DORA impose des clauses contractuelles obligatoires dans les contrats conclus avec les prestataires TIC : droits d'accès et d'audit, niveaux de service, localisation des données, conditions de réversibilité et de sortie, coopération avec les autorités. Les contrats existants doivent être relus et, le plus souvent, renégociés pour intégrer ces stipulations. D'autre part, l'entité doit évaluer la criticité de chaque prestataire, c'est-à-dire mesurer l'impact d'une défaillance sur ses fonctions critiques ou importantes.

Cette évaluation de la criticité n'est pas un exercice ponctuel : elle conditionne le niveau d'exigence appliqué à chaque relation et alimente les plans de continuité. L'externalisation ne dilue jamais la responsabilité de l'entité financière, qui reste seule comptable de la maîtrise du risque devant son superviseur. Les prestataires eux-mêmes ont intérêt à anticiper ces attentes, puisqu'elles se répercutent mécaniquement dans les contrats de leurs clients du secteur financier.

Le prestataire tiers critique, supervisé directement par les autorités européennes

DORA crée une catégorie particulière : le prestataire tiers critique de services TIC (CTPP, pour Critical Third-Party Provider). Ces prestataires, dont la défaillance pourrait affecter la stabilité du système financier, sont désignés puis supervisés directement par les trois autorités européennes de surveillance (EBA pour la banque, EIOPA pour l'assurance, ESMA pour les marchés), sous l'égide d'un superviseur principal (Lead Overseer). C'est une nouveauté de fond : pour la première fois, des fournisseurs de services TIC entrent dans le champ d'une supervision européenne, alors qu'ils n'étaient jusqu'ici régulés qu'indirectement, à travers leurs clients.

Côté entité financière, recourir à un prestataire désigné critique ne transfère pas l'obligation de conformité. L'entité reste tenue de documenter cette relation dans son registre, d'y appliquer les clauses contractuelles obligatoires et d'intégrer ce prestataire dans son évaluation de la criticité et ses scénarios de continuité. La supervision directe du CTPP par les autorités européennes vient en complément du dispositif de l'entité, jamais à sa place. Pour situer cette obligation au sein des cinq piliers et des autres exigences du texte, voir nos repères sur les exigences de conformité DORA.

Qu'est-ce qu'un prestataire de services TIC au sens de DORA

Avant de bâtir un registre ou de qualifier une criticité, encore faut-il savoir qui entre dans le périmètre. Au sens du règlement (UE) 2022/2554, un prestataire de services TIC est une entité qui fournit, à l'entité financière, des services numériques au titre des technologies de l'information et de la communication. La définition est fonctionnelle : elle s'attache à la nature du service rendu, pas au statut ou à la taille du fournisseur. Hébergement, infrastructure cloud, logiciel applicatif, traitement et stockage de données, services réseau ou maintenance applicative relèvent ainsi du périmètre dès lors qu'ils soutiennent l'activité de l'entité financière.

La distinction avec un prestataire non-TIC se joue précisément sur cet objet. Un fournisseur d'énergie, un cabinet de conseil juridique ou un service de nettoyage ne rend pas un service au titre des TIC et n'entre donc pas, à ce titre, dans le registre d'information des accords TIC ni dans le dispositif du quatrième pilier. C'est la fonction technologique fournie, et non l'identité du prestataire, qui déclenche les obligations de DORA. Cette qualification en amont conditionne tout le reste : un service mal identifié comme non-TIC échappera, à tort, aux clauses contractuelles obligatoires et à l'évaluation de la criticité. Pour replacer cette notion dans l'ensemble du dispositif de risque TIC, voir nos repères sur la mise en conformité DORA.

La notion de criticité, ce qui module le niveau d'exigence

DORA ne traite pas tous les prestataires de la même façon. Le règlement raisonne par fonctions : il distingue les fonctions critiques ou importantes, dont l'interruption serait de nature à compromettre durablement la solidité ou la continuité de l'activité de l'entité financière, ou son respect des conditions de son agrément. La criticité d'un prestataire se déduit alors de la fonction qu'il soutient. Un fournisseur qui sous-tend une fonction critique ou importante appelle un niveau d'exigence renforcé ; un prestataire rattaché à une fonction périphérique reste encadré, mais selon une intensité proportionnée au risque réel.

Cette logique de proportionnalité a une conséquence pratique : l'évaluation de la criticité n'est pas une formalité administrative, c'est elle qui calibre tout le dispositif. Elle détermine la profondeur des clauses contractuelles à négocier, l'intensité de la surveillance attendue, la place du prestataire dans les plans de continuité et de reprise, et l'effort de documentation dans le registre. Mal calibrer la criticité, c'est soit sur-investir sur des relations sans enjeu, soit, plus grave, sous-protéger une dépendance qui pourrait paralyser une fonction essentielle. La criticité est donc le pivot qui relie le risque prestataires au premier pilier, la gestion du risque lié aux TIC, et à la cartographie des fonctions et actifs critiques que DORA impose de tenir à jour.

Questions fréquentes

À quelle fréquence faut-il transmettre le registre d'information à l'autorité compétente ?

Le registre d'information doit être tenu à jour en permanence et communiqué à l'autorité compétente au moins une fois par an. C'est un minimum : l'autorité peut le demander à d'autres moments, et le registre doit refléter à tout instant l'état réel des accords contractuels conclus avec les prestataires de services TIC. Notre guide du registre des prestataires TIC détaille les informations attendues.

Tous les prestataires de l'entité financière sont-ils concernés ?

Non. Seuls les prestataires de services TIC, c'est-à-dire ceux qui fournissent des services numériques au titre des technologies de l'information et de la communication, entrent dans le périmètre du quatrième pilier. Un prestataire qui ne rend pas un service TIC n'est pas concerné à ce titre. La qualification se fait service par service, en fonction de la nature de la prestation.

Qu'est-ce qu'un prestataire tiers critique au sens de DORA ?

Il faut distinguer deux notions. D'un côté, l'entité financière évalue elle-même la criticité de chacun de ses prestataires, selon la fonction qu'il soutient. De l'autre, DORA crée une catégorie spécifique de prestataire tiers critique de services TIC (CTPP), désigné puis supervisé directement par les trois autorités européennes de surveillance (EBA, EIOPA, ESMA) sous l'égide d'un superviseur principal. Recourir à un tel prestataire ne dispense jamais l'entité de ses propres obligations.

L'externalisation transfère-t-elle la responsabilité de conformité ?

Non. Confier une fonction TIC à un prestataire ne dilue pas la responsabilité de l'entité financière, qui reste seule comptable de la maîtrise du risque devant son superviseur. Elle doit documenter la relation dans son registre, y appliquer les clauses contractuelles obligatoires et intégrer le prestataire dans son évaluation de la criticité. Pour cadrer l'ensemble de ces obligations, un audit DORA mesure votre écart au règlement.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit DORA pose le point de départ documenté de votre démarche.