Dora : Gestion des risques liés au TIC

Pourquoi et comment gérer les prestataires de services TIC critiques ?

Votre capacité à maintenir la continuité de votre activité et la sécurité informatique de votre entreprise dépend directement de la maîtrise des risques liés à vos prestataires de services TIC critiques. Un prestataire défaillant peut provoquer une interruption opérationnelle, compromettre la sécurité de vos données sensibles et entraîner des conséquences réglementaires et financières immédiates.

Depuis l’entrée en vigueur de DORA le 17 janvier 2025, les entités financières doivent structurer, documenter et justifier le suivi continu de leurs prestataires de services TIC critiques. Cette supervision permanente couvre la phase contractuelle et impose une vigilance constante sur les engagements des prestataires, la traçabilité des incidents, la solidité des stratégies de réversibilité et la validité permanente du registre TIC exigé par le règlement.

En tant que Tiers de Collecte Probatoire (TCP), Provigis accompagne les établissements financiers soumis à DORA en automatisant la collecte, l’actualisation et l’archivage des données de conformité de leurs prestataires TIC critiques. Dans cet article, la rédaction vous explique comment :

1. Identifier les services TIC critiques selon les critères DORA ;
2. Distinguer les services critiques de la notion réglementaire de « prestataire TIC critique » ;
3. Intégrer les clauses DORA dans vos contrats ;
4. Organiser le suivi et la supervision continue de vos prestataires TIC critiques (audit, revue périodique, test de réversibilité).

Rappel : comprendre DORA en deux minutes chrono

Le règlement DORA (Digital Operational Resilience Act) est un texte européen publié au Journal officiel de l’Union européenne le 27 décembre 2022, sous la référence Règlement (UE) 2022/2554. Il établit un cadre unique pour garantir que l’ensemble du secteur financier de l’Union dispose des capacités nécessaires pour résister aux perturbations opérationnelles d’origine informatique.

💡 Le chiffre à connaître

Selon le baromètre Hiscox, deux tiers des entreprises françaises rapportent une augmentation du nombre de cyberattaques subies en 2024 (moyenne de 66 par an, contre 63 en 2023).

DORA impose aux entités financières une obligation de résilience opérationnelle numérique, c’est-à-dire la capacité à prévenir, résister, détecter, gérer et se rétablir à la suite d’incidents informatiques. Il couvre notamment :

• la gouvernance de la gestion des risques informatiques ;
• la gestion des incidents et des notifications ;
• la résilience opérationnelle des réseaux et systèmes ;
• les tests de pénétration basés sur des scénarios de menace (TLPT) ;
• la gestion des prestataires de services des technologies de l’information et de la communication (prestataires TIC) ;
• la coordination entre les superviseurs.

Contrairement au RGPD qui couvre tous les secteurs d’activité et à NIS 2 qui couvre tous les secteurs dits « essentiels » (énergie, santé, transport, etc.), DORA cible uniquement les entités financières, avec une approche centrée sur la continuité d’activité face aux risques TIC.

Quand DORA est-il entré en vigueur ?

Le règlement DORA est entré en application le 17 janvier 2025. Contrairement aux directives, les règlements européens sont d'application directe : les entreprises concernées sont donc tenues de s’y conformer sans attendre de transposition nationale.

Mais il y a une nuance : une directive associée (2022/2556) a été adoptée pour adapter certaines directives sectorielles existantes (comme Solvabilité II ou la directive CRD sur les exigences de fonds propres) afin de les aligner sur les exigences de DORA.

Cette directive nécessite par définition une transposition nationale. Les États membres devaient notifier cette transposition à la Commission européenne au plus tard le 17 janvier 2025. Mi-mars 2025, la Commission a engagé des procédures d’infraction contre plusieurs États (dont la France) pour retard de transposition.

Malgré ce retard, les obligations suivantes sont effectives depuis le 17 janvier 2025 :

• Déclaration des incidents TIC majeurs aux autorités compétentes (ACPR, AMF) ;
• Remise du registre d’informations TIC à l’ACPR, au plus tard le 15 avril 2025, pour transmission aux autorités européennes de supervision (EBA, ESMA, EIOPA) ;
• Mise en place des cadres de gouvernance et de contrôle interne sur les risques liés aux TIC, y compris la désignation claire des rôles et responsabilités, les mécanismes de pilotage, les dispositifs de remontée d’alerte et les tests de résilience.

Ces obligations s’appliquent immédiatement aux entités financières relevant du champ de DORA, sans période transitoire.

Qui est concerné par DORA ?

Le champ d’application de DORA couvre l’ensemble des entités du secteur financier supervisées à l’échelle européenne ou nationale :

• les établissements de crédit ;
• les entreprises d’assurance et de réassurance ;
• les entreprises d’investissement ;
• les établissements de paiement et de monnaie électronique ;
• les sociétés de gestion d’OPCVM ou de FIA ;
• les prestataires de services de cryptoactifs (PSCA) ;
• les chambres de compensation, dépositaires centraux et plateformes de négociation ;
• les agences de notation et les référentiels centraux ;
• les intermédiaires en crédit immobilier ou à la consommation, ainsi que les conseillers en investissement.

Au total, plus de 22 000 entités financières en Europe sont directement concernées. À cela s’ajoutent les prestataires de services TIC tiers, qui font l’objet d’un encadrement renforcé lorsqu’ils sont jugés critiques (voir partie suivante).

💡 DORA : des exigences proportionnées

Les microentreprises (moins de 10 salariés et moins de 2 M€ de chiffre d’affaires ou de total de bilan) bénéficient de certaines exemptions, notamment concernant les tests de résilience ou les obligations de reporting. Mais elles doivent tout de même assurer un niveau minimal de maîtrise des risques numériques.

Quels sont les risques de non-conformité à DORA ?

En cas de non-conformité à DORA, les entités financières s’exposent à des sanctions financières et réglementaires graduées, proportionnelles à la gravité des manquements constatés et à leur impact potentiel sur la stabilité du système financier :

• Amendes administratives jusqu’à 10 millions d’euros ou 5 % du chiffre d’affaires annuel total, le montant le plus élevé étant retenu ;
• Obligation de remédier aux insuffisances ou aux défaillances de la résilience opérationnelle constatées par les autorités de supervision (ACPR, AMF, ESMA, EBA, EIOPA…) ;
• Les ****autorités peuvent rendre publique la décision de sanction, ce qui peut avoir un impact direct sur la réputation et les relations commerciales de l’entité concernée ;
• En cas de manquement répété ou jugé particulièrement grave, les autorités peuvent aller jusqu’à retirer l’autorisation d’exercer.

Qu’est-ce qu’un prestataire TIC au sens de DORA ?

Le règlement DORA utilise l’expression « prestataire de services TIC » (ICT third-party service provider) pour désigner toute entité externe qui fournit aux entreprises financières assujetties un service lié aux technologies de l’information et de la communication :

• l’hébergement (dans les locaux de l’entreprise ou sur le Cloud) ;
• les services de télécommunications ;
• les logiciels fournis en SaaS ;
• les services de traitement ou de sauvegarde de données ;
• les services de sécurité informatique ;
• les services d’infogérance ou de maintenance IT ;
• les services de développement applicatif externalisés.

Peu importe la taille du prestataire ou la durée du contrat : ce qui compte, c’est la dépendance opérationnelle de l’entreprise financière aux services du prestataire TIC.

Le champ s’étend aussi aux prestataires indirects (sous-traitants des prestataires TIC)

Si un prestataire TIC fait appel à un sous-traitant pour exécuter tout ou partie de ses engagements envers l’entreprise financière soumise à DORA, celui-ci est également considéré comme un prestataire de services TIC au sens du règlement.

👉 Prenons un exemple : si votre éditeur de logiciel de gestion de portefeuille externalise l’hébergement de ses données ou la maintenance de ses serveurs à un autre prestataire, ce dernier entre dans votre chaîne de dépendance numérique. Il doit donc figurer dans votre registre des prestataires TIC et faire l’objet d’une évaluation, au même titre que le fournisseur principal.

💡 À savoir

Certains prestataires sont hors champ de cette définition, dès lors qu’ils ne participent pas au fonctionnement des systèmes d’information. C’est par exemple le cas des consultants purement stratégiques, des formateurs ou des services juridiques sans accès aux systèmes numériques de l’entreprise.

Quid des prestataires TIC intra-groupe ?

Même les entités du même groupe sont considérées comme des prestataires TIC dès lors qu’elles fournissent un service informatique à une entité financière assujettie. L’article 3 (point 19) du règlement DORA est très clair sur la question.

Par exemple, une holding qui gère les serveurs, le Cloud ou les outils IT de ses filiales financières doit impérativement figurer dans le registre des prestataires TIC DORA et faire l’objet d’une évaluation des risques, comme un fournisseur externe.

La notion de « criticité » dans le règlement DORA

DORA impose aux entités financières de déterminer si les services TIC externalisés soutiennent une fonction « critique ou importante ». Cette évaluation ne porte pas sur la nature du prestataire, mais sur la place opérationnelle du service dans le fonctionnement de l’entreprise.

Cette désignation conditionne le niveau de détail attendu dans le registre d'informations TIC (article 28), les clauses à intégrer dans les contrats (article 30), les exigences de supervision interne et de test de réversibilité (article 28 et 32) ainsi que la fréquence des contrôles ou audits à mener.

Elle doit être formalisée, révisée périodiquement et justifiable en cas de contrôle. L’entité doit pouvoir démontrer sur quels critères repose la qualification d’un service comme critique ou non, et quelles mesures ont été prises en conséquence.

Comment identifier un service TIC critique ou important au sens DORA ?

Un service TIC est considéré comme critique ou important si son indisponibilité, sa défaillance ou sa compromission a un impact significatif sur la continuité, la sécurité ou la conformité de l’activité. L’article 28 impose cette évaluation avant toute contractualisation. DORA ne fournit pas de grille standardisée, mais différents articles permettent de rassembler les pièces du puzzle.

Le tableau suivant résume les principaux critères à prendre en compte.

Distinguer les services critiques des prestataires TIC critiques au sens DORA

Le règlement DORA utilise le mot « critique » dans deux contextes différents, avec une ambiguïté sémantique manifeste. Il faut en effet distinguer :

• d’un côté, les services TIC critiques ou importants identifiés par chaque entité financière pour elle-même ;
• de l’autre, les prestataires tiers critiques de services TIC désignés par les autorités européennes.

Dans le premier cas

c’est à l’entreprise financière de déterminer, service par service, si une dépendance opérationnelle forte justifie l’application des mesures renforcées prévues par DORA : clauses dans les contrats, stratégie de sortie, registre détaillé, suivi rigoureux, etc.

Cette analyse est propre à chaque entité, en fonction de son organisation, de ses systèmes et de ses contraintes réglementaires.

⚠️ Un même prestataire pourra donc être qualifié de critique par une entreprise, et non critique par une autre.

Dans le second cas

La qualification de « prestataire tiers critique » relève d’une désignation officielle par les autorités européennes de supervision (article 31), sur la base de critères objectifs comme :

• Le risque systémique ;
• La concentration de marché ;
• La difficulté de remplacement.

Cette désignation entraîne la mise en place d’une supervision directe du prestataire au niveau de l’Union. Elle ne dépend pas des analyses individuelles des entreprises clientes.

💡 À retenir

La criticité d’un service est contextuelle et décidée par l’entreprise, alors que la criticité d’un prestataire au sens réglementaire est structurelle et décidée par l’Union européenne. Les deux logiques coexistent mais ne doivent pas être confondues. Aucune entreprise n’est tenue d’ « identifier ses prestataires critiques » au sens de l’article 31 du règlement DORA, mais toutes doivent déterminer si les services qu’elles externalisent sont critiques pour leur propre fonctionnement.

Clauses à intégrer dans les contrats en cas de service TIC critique ou important

Lorsque l’analyse montre qu’un service TIC externalisé soutient une fonction critique ou importante, l’entreprise financière doit intégrer des clauses DORA dans ses contrats. Ces dernières sont listées à l’article 30 et portent notamment sur l’audit, la sécurité, la réversibilité, la résiliation et la localisation des données.

Le tableau suivant résume les principales clauses à inclure dans les contrats portant sur des services TIC critiques ou importants, avec leur objectif et un exemple de formulation possible.

Élément contractuel Explication Exemple de mention dans le contrat Description du service Décrire précisément ce que couvre le service, ses fonctions, les responsabilités du prestataire et les modalités d’exécution. « Le prestataire assure l’hébergement, la maintenance corrective et évolutive de la plateforme de gestion des ordres clients. » Localisation des données Indiquer les pays dans lesquels les données sont traitées, stockées ou sauvegardées, y compris via les sous-traitants. « Les données seront exclusivement traitées et stockées dans des centres de données situés dans l’Union européenne. » Obligations de sécurité Préciser les normes de sécurité exigées, les protocoles à respecter et les mécanismes de notification d’incident. « Le prestataire s’engage à appliquer la norme ISO 27001 et à notifier tout incident de sécurité dans un délai de 24h. » Sous-traitance Encadrer le recours à des sous-traitants, prévoir une obligation d’information et un droit d’opposition ou d’approbation. « Toute sous-traitance devra être notifiée à l’entité contractante au moins 30 jours avant son entrée en vigueur. » Droit d’audit Garantir à l’entreprise un droit d’accès à l’information, aux systèmes et aux locaux pour évaluer les risques liés au service. « Le client peut procéder à un audit annuel des systèmes utilisés via un cabinet mandaté. » Continuité d’activité Prévoir les engagements du prestataire en cas de défaillance, les tests de reprise et les délais de redémarrage. « Le prestataire garantit une reprise de service dans un délai de 4 heures après interruption majeure. » Résiliation Énoncer les motifs de résiliation anticipée en cas de non-respect des obligations ou de modification de situation du prestataire. « Le client peut résilier de plein droit le contrat en cas de violation grave des engagements de sécurité. » Stratégie de sortie Anticiper la fin du contrat : transfert des données, calendrier, accompagnement, suppression des accès, réversibilité. « Le prestataire s’engage à restituer l’ensemble des données au format exploitable et à supprimer toute copie sous 15 jours. »

Comment organiser le suivi des prestataires TIC en charge de fonctions critiques

Les exigences de DORA ne s’arrêtent pas à la qualification et aux clauses contractuelles avec les prestataires TIC.

Une fois le service en production, l’entreprise doit pouvoir documenter en continu le respect des engagements pris par le prestataire TIC, détecter les défaillances potentielles et restituer ces éléments en cas de contrôle.

Ce suivi se traduit par l’actualisation du registre DORA, l’historique des incidents, le niveau de sécurité, la validité des sous-traitants impliqués et la capacité à enclencher une stratégie de sortie. Sans outils adaptés, cette supervision devient rapidement coûteuse, fragmentée ou incomplète, avec un risque de non-conformité latent.

#1 Gérer ses prestataires TIC critiques avec Provigis

Provigis centralise la collecte, l’actualisation et l’archivage des informations relatives aux prestataires tiers. Pour une entité financière assujettie à DORA, notre solution digitale permet d’automatiser une partie du suivi réglementaire sur les services TIC critiques ou importants.

Provigis interroge des sources publiques (URSSAF, INSEE, Infogreffe, etc.), des sources privées et les tiers eux-mêmes. Les données sont organisées par groupes (par exemple « prestataires critiques », « prestataires IT hors DORA », « fournisseurs classiques »), ce qui permet de caler la collecte documentaire sur la typologie DORA définie en interne.

Provigis facilite également l’identification des services TIC critiques en croisant les documents recueillis avec les classifications internes issues du registre DORA. Les preuves de conformité (contrats, attestations, audits, documents RGPD, preuves de certifications, etc.) sont archivées dans un environnement sécurisé. Elles sont traçables et exploitables en cas de contrôle.

L’outil permet enfin de limiter les relances manuelles : si plusieurs clients Provigis interrogent le même prestataire. Les réponses sont mutualisées, ce qui réduit la sollicitation inutile et améliore le taux de complétion.

Provigis couvre d'autres usages (KYS, lutte contre la fraude au virement, conformité Sapin 2, etc.), ce qui évite la multiplication des outils et permet un pilotage global à coût maîtrisé. La plateforme est certifiée ISO 27001, ce qui garantit un niveau de sécurité compatible avec les exigences DORA sur la gestion des données sensibles.

#2 Mettre en place une revue périodique formalisée

DORA exige un suivi continu des prestataires de services TIC critiques. Cela suppose de mettre en place un dispositif de revue périodique, documenté, traçable et proportionné à la criticité du service concerné.

Chaque revue doit vérifier si :

• Les documents contractuels et de conformité sont toujours valides ;
• Les niveaux de service et engagements de sécurité sont respectés ;
• Des incidents, manquements ou changements dans le périmètre ont eu lieu depuis la dernière évaluation ;
• Les informations du registre DORA doivent être mises à jour.

La fréquence de la revue dépend du niveau de dépendance au prestataire, du type de service rendu, de son intégration dans les systèmes internes et des résultats des contrôles précédents. Certaines entreprises appliquent une périodicité annuelle par défaut, avec des revues plus fréquentes pour les prestataires les plus sensibles.

💡 Quel livrable ?

Chaque revue doit donner lieu à une fiche d’évaluation formalisée (niveau de risque résiduel, plan d’actions si nécessaire, validation ou alerte), conservée comme preuve en cas de contrôle ACPR/AMF. Le recours à une grille de scoring (impact x probabilité) ou à des seuils automatiques de déclenchement (par exemple pour certificat expiré, changement d’actionnaire, incident non résolu…) permet de déclencher des alertes ciblées.

#3 Exploiter le registre d’informations TIC comme outil de supervision

Le registre prévu à l’article 28 du règlement DORA doit lister tous les accords contractuels portant sur des services TIC en distinguant ceux qui soutiennent une fonction critique. Il doit être tenu à jour, conservé au niveau individuel ou consolidé et transmis à l’ACPR sur demande ou lors de campagnes annuelles.

Ce registre doit contenir au minimum :

• l’identité du prestataire et son rôle exact ;
• la date de début du contrat, sa durée, et ses conditions de résiliation ;
• le périmètre technique et fonctionnel du service ;
• le caractère critique ou non du service, avec la justification ;
• la localisation des données traitées, stockées ou sauvegardées ;
• les sous-traitants impliqués, leur rôle et leur localisation ;
• les mécanismes contractuels liés à la sécurité, à la continuité et à la réversibilité ;
• la date de la dernière revue interne ou du dernier audit effectué.

Il doit pouvoir être extrait en tout ou partie, dans un format structuré, et remis aux autorités compétentes en cas de demande. Certaines entreprises intègrent ce registre dans un outil GRC ou un portail tiers, en lien avec leur base fournisseurs, pour déclencher des alertes (par exemple : certificat expiré, clause absente, audit non réalisé dans les délais).

Si le registre est mal tenu, l’entreprise ne pourra pas justifier la conformité, détecter les risques de concentration ou opérer une sortie contractuelle fluide en cas d’incident.

#4 Organiser des audits sur les fonctions TIC critiques

L’article 30 impose aux entités financières d’exercer un droit d’accès, d’inspection et d’audit sur leurs prestataires de services TIC qui soutiennent une fonction critique ou importante. Ce droit doit figurer dans le contrat et être activable à tout moment. Concrètement, l’audit permet de vérifier :

• la conformité du prestataire à ses engagements contractuels ;
• les pratiques en matière de sécurité, de disponibilité, de sauvegarde, de gestion des accès, de sous-traitance et de traçabilité des incidents ;
• la mise en œuvre effective de plans de continuité et de mesures de réversibilité.

Il peut s’agir d’une mission sur site ou à distance réalisée par l’entreprise ou un tiers mandaté, d’un audit documentaire (revue de certificats, résultats de tests de sécurité, rapports ISO ou ISAE) ou d’un audit déclenché à la suite d’un incident ou d’un changement dans le périmètre du service.

Certains prestataires imposent des restrictions contractuelles (fréquence, préavis, périmètre), mais ces limites doivent rester compatibles avec les exigences du règlement. En cas de blocage, DORA autorise explicitement la résiliation du contrat pour non-respect du droit d’audit.

Le résultat de l’audit doit être documenté, tracé, lié au registre TIC et exploitable en cas de contrôle. Les écarts doivent donner lieu à des mesures correctives avec des échéances vérifiables.

#5 Prévoir des tests de réversibilité et une stratégie de sortie documentée

Lorsqu’un service TIC soutient une fonction critique ou importante, DORA impose de prévoir une stratégie de sortie testée, documentée et activable sans rupture d’activité (article 28, paragraphe 8). Elle doit couvrir :

• Les conditions de fin de contrat (résiliation planifiée ou anticipée) ;
• Le transfert complet des données vers un autre prestataire ou en interne ;
• La suppression des accès et des copies résiduelles ;
• L’accompagnement technique par le prestataire sortant ;
• Les modalités de bascule (calendrier, ressources, points de contrôle).

L’entreprise doit tester périodiquement cette stratégie de sortie, comme elle le ferait pour un plan de reprise. Le test peut consister à simuler une résiliation, un export de données ou une migration de l’environnement technique. L’objectif est de vérifier que les engagements contractuels sont techniquement réalisables, dans les délais et conditions annoncés.

Le test permet aussi d’identifier les dépendances invisibles (interconnexions, outils propriétaires, données non structurées…) qui rendraient le retrait du prestataire plus complexe que prévu. En l’absence de test, la stratégie de sortie reste théorique et inapplicable en situation d’urgence.

Les résultats doivent être documentés, remontés aux responsables de la continuité d’activité et intégrés au dispositif global de gestion des risques TIC. La stratégie de sortie doit être actualisée à chaque changement majeur du contrat, du périmètre ou des systèmes techniques.

Provigis vous accompagne dans la gestion des prestataires TIC critiques

Vous êtes un établissement de crédit, une société de gestion, un assureur, un établissement de paiement, un PSCA ou une plateforme de négociation ?

En tant qu’entité financière assujettie à DORA, vous devez documenter, suivre et prouver la conformité de vos services TIC critiques ou importants.

En tant que Tiers de Collecte Probatoire (TCP), Provigis vous propose une solution 100 % digitale pour :

• Qualifier vos prestataires selon la typologie DORA ;
• Structurer un registre à jour et exploitable en cas de contrôle ;
• Collecter automatiquement les pièces contractuelles, attestations, preuves RGPD ou certificats ISO ;
• Déclencher des alertes en cas de non-conformité (certificat expiré par exemple) ;
• Centraliser vos données prestataires critiques au même endroit que vos démarches LCB-FT, Sapin 2, KYS ou cybersécurité.

Toutes les données sont historisées, exportables et archivées dans un environnement certifié ISO 27001. Vous restez maître du suivi réglementaire, sans multiplier les outils ni alourdir les process internes. Réservez votre démo.