Ce que change DORA pour les prestataires TIC externalisés
Une nouvelle ère pour la résilience numérique
Introduction — Une réglementation de rupture pour l’écosystème numérique européen
À compter du 17 janvier 2025, les entités financières devront se conformer au règlement (UE) 2022/2554, dit DORA (Digital Operational Resilience Act).
Ce texte majeur vise à garantir la résilience opérationnelle numérique des acteurs du secteur financier.
Mais DORA ne s’adresse pas uniquement aux banques, assurances, prestataires de services de paiement ou sociétés de gestion.
Il impacte directement les prestataires TIC externalisés, qu’ils soient fournisseurs cloud, éditeurs de logiciels ou opérateurs de services critiques.
Ce nouveau cadre impose une reconfiguration profonde des relations de sous-traitance et inaugure une ère de supervision directe de certains prestataires par les autorités européennes.
Contexte réglementaire — Les fondements du règlement DORA
Adopté le 14 décembre 2022 et publié au Journal officiel de l’Union européenne le 27 décembre 2022, le règlement DORA s’inscrit dans le paquet Finance numérique. Il complète les réglementations prudentielles existantes en introduisant des exigences spécifiques sur :
la gestion des risques TIC (Technologies de l’information et de la communication),
la cybersécurité,
le test de résilience opérationnelle numérique,
la gestion des incidents majeurs,
la surveillance des tiers TIC (chapitre V).
🔗 Texte officiel : Règlement (UE) 2022/2554 – DORA
Implications pour les institutions financières
Les entités financières devront :
Cartographier leurs dépendances numériques critiques ;
Qualifier les prestataires TIC “critiques” ;
Intégrer dans leurs contrats des clauses obligatoires définies à l’article 30 ;
Mettre en place un plan de sortie en cas de résiliation ou de défaillance du prestataire ;
Assurer une surveillance continue de la performance et des risques liés à ces prestataires.
Ces obligations viennent compléter celles prévues par les lignes directrices EBA/GL/2019/02 sur l’externalisation et les exigences de l’ACPR.
Zoom sur les prestataires TIC externalisés
DORA distingue deux niveaux d’impact pour les prestataires :
🔸 1. Tous les prestataires TIC
Ils doivent fournir aux entités financières :
les informations nécessaires à l’évaluation des risques,
un accès contractuel aux données, aux systèmes et aux installations,
des engagements en matière de continuité et de sécurité.
🔸 2. Prestataires TIC “critiques”
Ils pourront faire l’objet d’une supervision directe par l’EBA, assistée par l’ESMA et la BCE, si désignés comme tels.
Cela concerne notamment les grands fournisseurs de cloud, de services de sécurité ou de solutions de traitement de données.
👉 Les critères de désignation sont précisés dans l’article 31 du règlement et incluent la concentration de marché, l’interconnexion, ou l’incidence sur la stabilité financière.
Défis et opportunités pour les prestataires et les donneurs d’ordre
Défis :
Mise à niveau des clauses contractuelles (clauses minimales obligatoires à l’article 30)
Alignement avec les exigences de réversibilité et portabilité des données
Formalisation d’un plan de sortie opérationnel
Renforcement du reporting et des mécanismes de contrôle
Opportunités :
Structuration de l’offre selon les normes attendues (ISO 27001, ISO 22301, ENISA)
Différenciation par la conformité réglementaire et la résilience opérationnelle
Développement de partenariats à long terme avec des institutions régulées
Recommandations stratégiques
Pour les entités régulées :
Intégrer les exigences DORA dans votre cartographie des risques et plans d’externalisation
Mettre à jour vos modèles contractuels avec les clauses DORA
Identifier vos prestataires TIC critiques selon les critères EBA
Déployer un dispositif de pilotage et de revue annuelle conforme aux attentes des autorités
Pour les prestataires TIC :
Anticiper les attendus réglementaires dans vos contrats, vos SLA et vos processus internes
Structurer une documentation démontrant la conformité DORA
Former vos équipes sur les enjeux de supervision et les attentes du secteur financier
Conclusion — DORA comme catalyseur de maturité numérique
DORA n’est pas un simple texte technique : il incarne un changement de paradigme dans la gestion des risques liés à l’externalisation numérique.
Pour les acteurs financiers, c’est l’opportunité de renforcer la maîtrise de leurs dépendances technologiques.
Pour les prestataires TIC, c’est une nouvelle ère où la résilience devient un avantage concurrentiel.
Ces articles PEUVENT AUSSI VOUS INTÉRESSER
Externaliser la conformité : gain d’agilité, sécurité réglementaire, performance opérationnelle
De plus en plus d’entreprises externalisent leur fonction conformité. Cette décision stratégique permet d’allier sécurité réglementaire, flexibilité opérationnelle et maîtrise (...)
EN LIRE PLUS
Fonctions essentielles externalisées : comprendre les seuils de matérialité définis par l’EBA et l’EIOPA
La qualification d'une fonction comme “essentielle ou importante” conditionne l’ensemble du dispositif d’externalisation : procédures, clauses contractuelles, plan de sortie, (...)
EN LIRE PLUS
Fonctions externalisées et courtiers en assurance : les nouvelles exigences de l’ACPR
L’externalisation des fonctions clés (conformité, contrôle interne, informatique) est au cœur de la surveillance de l’ACPR. Les courtiers sont désormais (...)
EN LIRE PLUS