DORA · Règlement (UE) 2022/2554 · En vigueur depuis le 17 janvier 2025

Le guide complet du DORA pour la gestion du risque tiers ICT

Toute entité financière dans le périmètre (banques, assureurs, sociétés d'investissement, établissements de paiement) doit mettre en œuvre une gouvernance structurée et auditable du risque tiers en vertu des articles 28 à 44. Voici le guide opérationnel, et comment Supplier Shield et Acuna GRC s'intègrent à votre programme de conformité.

Jan 2025
DORA pleinement en vigueur. Les soumissions supervisory sont attendues.
Art. 30
dispositions contractuelles obligatoires par contrat ICT critique, détaillées dans le RTS ABE JC 2023/84
Art. 28–44
articles dédiés exclusivement à la gouvernance ICT tiers

§ Qu'est-ce que le DORA

Résilience mesurable, pas conformité par cases à cocher

Le DORA est le règlement européen qui standardise la résilience opérationnelle numérique dans le secteur financier. Il impose aux établissements de prouver qu'ils peuvent prévenir, résister, contenir et se remettre des perturbations ICT, y compris celles causées par les prestataires tiers dont ils dépendent pour des services critiques.

Le DORA est entré en application le 17 janvier 2025. Les autorités nationales compétentes (BCE, BaFin, AMF, ACPR, DNB, FMA et autres) demandent désormais les Registres d'information et les preuves de gouvernance ICT tiers. Les ébauches de politique ne suffisent plus. C'est une mise en œuvre auditable que les superviseurs attendent.

Dans le périmètre

  • Établissements de crédit et banques
  • Entreprises d'assurance et de réassurance
  • Sociétés d'investissement et AIFM
  • Établissements de paiement et de monnaie électronique
  • Prestataires de services sur crypto-actifs
  • Sociétés de gestion d'OPCVM
  • Prestataires ICT désignés critiques (CTPP)

§ Cinq piliers

Ce que le DORA exige dans les cinq domaines

Le DORA s'articule autour de cinq piliers. Supplier Shield et Acuna GRC se concentrent principalement sur le pilier 4 (gestion du risque tiers ICT), tandis que la plateforme Acuna GRC couvre également les piliers 1 et 2.

01Art. 5–16

Gestion du risque ICT

Maintenir un cadre documenté de gestion du risque ICT intégré dans la gouvernance globale de l'entité, couvrant l'identification, la protection, la détection, la réponse et le rétablissement.

Acuna GRC
02Art. 17–23

Gestion des incidents ICT

Classer, journaliser, gérer et déclarer les incidents ICT majeurs aux autorités compétentes dans des délais stricts. Alerte précoce sous 24 heures, rapport complet sous 72 heures.

Acuna GRC
03Art. 24–27

Tests de résilience

Mener des programmes réguliers de tests de résilience opérationnelle numérique, y compris des tests de pénétration basés sur les menaces (TLPT) pour les établissements importants désignés par les superviseurs.

Focus principal
04Art. 28–44

Gestion du risque tiers ICT

Mettre en œuvre une stratégie, une gouvernance et une surveillance continue des prestataires ICT. Tenir le Registre d'information, appliquer les dispositions contractuelles, surveiller le risque de concentration et maintenir des stratégies de sortie.

Supplier Shield
05Art. 45–49

Partage d'informations

Participer volontairement aux dispositifs de partage de renseignements sur les cybermenaces avec d'autres entités financières et autorités compétentes afin de renforcer la résilience sectorielle.

§ Art. 28–44 en détail

Obligations ICT tiers : ce que les superviseurs vérifieront

Voici les obligations spécifiques des articles 28 à 44 que la BCE, BaFin, AMF, ACPR, DNB et d'autres autorités compétentes vérifient lors des revues supervisory, des inspections sur site et des soumissions annuelles du Registre d'information.

Art. 28(2)Supplier Shield
Politique de risque tiers ICT et Registre d'information

Définir et tenir une politique documentée de risque tiers ICT. Constituer et maintenir un Registre d'information couvrant chaque arrangement contractuel ICT, les fonctions supportées, les systèmes concernés et la chaîne complète de sous-traitance. Le Registre est transmis annuellement à votre ANC dans le format du modèle ABE/AEMF Annexe III.

Art. 28(4)Supplier Shield
Diligence raisonnable précontractuelle

Avant d'intégrer tout prestataire ICT, effectuer une diligence structurée proportionnée à la criticité du service. Évaluer les contrôles de sécurité, la résilience opérationnelle, la stabilité financière et les arrangements de sous-traitance. Les résultats doivent être documentés et conservés comme preuves.

Art. 29Supplier Shield
Risque de concentration ICT au niveau de l'entité

Évaluer et surveiller le risque de concentration : identifier les cas où un seul prestataire soutient plusieurs fonctions critiques ou importantes, analyser la concentration géographique et évaluer la substituabilité. Quand le remplacement dans un délai raisonnable n'est pas possible, le risque doit être escaladé et documenté. Les établissements ayant des CTPP dans leur registre font l'objet d'un contrôle renforcé.

Art. 30Supplier Shield
Dispositions contractuelles obligatoires pour les contrats ICT critiques

Les contrats avec des prestataires de services ICT critiques ou importants doivent inclure : description complète du service et SLA, clauses de localisation et d'accessibilité des données, droits d'audit et d'accès pour l'établissement et les autorités compétentes, obligations de sécurité et de résilience, exigences de notification d'incidents, droits de divulgation et d'approbation de la sous-traitance, coopération pour la continuité des activités, et modalités de résiliation et d'assistance à la sortie. Le RTS ABE/AEMF sur les exigences contractuelles (JC 2023/84) précise le contenu attendu pour chaque élément.

Art. 31+33-44Supplier Shield
Prestataires tiers ICT critiques (CTPP)

L'ABE, l'EIOPA et l'AEMF désignent conjointement certains prestataires comme CTPP et les soumettent à une supervision directe. Si un prestataire de votre Registre est désigné CTPP (les principaux hyperscalers cloud, notamment AWS, Microsoft Azure et Google Cloud, sont en cours d'évaluation), vous devez adapter votre gouvernance, renforcer l'intensité du suivi et vous assurer que vos arrangements contractuels couvrent les obligations supplémentaires liées à la supervision des CTPP.

Art. 32Supplier Shield
Stratégies de sortie

Pour chaque prestataire ICT critique, documenter et tester périodiquement une stratégie de sortie couvrant : les options de substitution du service, la portabilité et la migration des données, les calendriers de transition et la continuité des opérations pendant la transition. Les stratégies de sortie doivent être révisées annuellement et réévaluées lors de la désignation CTPP d'un prestataire, après un incident ou lors d'un changement matériel de l'arrangement contractuel.

Art. 5–16Acuna GRC
Cadre de gestion du risque ICT

Maintenir un cadre documenté de gestion du risque ICT intégré à la gouvernance globale, avec responsabilité au niveau du conseil d'administration. Couvrir l'identification, la protection, la détection, la réponse et le rétablissement. Le cadre doit être révisé au moins annuellement et après des incidents ICT significatifs ou des changements majeurs.

§ Comment la plateforme couvre le DORA

Ce que Supplier Shield et Acuna GRC font pour chaque obligation

Supplier Shield est le module TPRM d'Acuna GRC. Ensemble, ils couvrent les obligations ICT tiers et le cadre plus large de gestion du risque ICT que le DORA impose.

Register of Information
Art. 28 · Annex III EBA/ESMA template

Importez votre liste de fournisseurs ICT existante, classifiez chaque prestataire par criticité (critique, important ou standard), documentez les chaînes de sous-traitance et cartographiez les fonctions et systèmes que chaque contrat couvre. Exportez le Registre complété au format Annexe III attendu pour la soumission annuelle à l'ANC. Les champs sont alignés sur les ITS publiés dans EBA/GL/2024/02.

Notation automatique des risques OSINT
Art. 28(4) · continuous · A–F grades

Avant même l'envoi d'un questionnaire de diligence raisonnable, Supplier Shield analyse chaque prestataire ICT de l'extérieur : hygiène DNS, configuration TLS, exposition aux violations et signaux de renseignement sur les menaces. Chaque prestataire reçoit une note composite A–F mise à jour automatiquement. Votre équipe démarre la diligence avec la posture externe déjà quantifiée, sans questionnaire envoyé dans le vide.

Analyse des lacunes contractuelles Art. 30
Key contractual provisions · per contract

Des listes de contrôle structurées vérifient les dispositions contractuelles DORA obligatoires pour chaque contrat ICT critique : description du service, SLA, localisation des données, droits d'audit, obligations d'incident, divulgation de la sous-traitance, assistance à la sortie et coopération pour la continuité. Aligné sur le RTS ABE/AEMF sur les exigences contractuelles (JC 2023/84). Les lacunes alimentent une file de remédiation avec attribution des responsables et échéances.

Surveillance du risque de concentration
Art. 29 · entity-level · annual reporting

Identifier les cas où un seul prestataire ICT soutient plusieurs fonctions critiques ou importantes. Suivre la concentration géographique et les notes de substituabilité par prestataire. Quand un CTPP est dans votre registre, signaler automatiquement l'obligation de surveillance renforcée. Générer les données de risque de concentration dont votre équipe a besoin pour la soumission supervisory annuelle.

Gestion des stratégies de sortie
Art. 32 · documented and periodically reviewed

Pour chaque prestataire ICT critique, documenter les options de substitution du service, l'approche de portabilité et de migration des données, les calendriers de transition et les obligations de continuité pendant la transition. Supplier Shield suit les dates de révision et déclenche une réévaluation lors de la désignation CTPP d'un prestataire, après un incident ou quand un changement contractuel matériel est enregistré.

Cartographie multi-référentiel
DORA + GDPR + ISO 27001 · one record

Les dispositions contractuelles DORA Art. 30, les accords de traitement des données RGPD Art. 28 et les clauses 5.19–5.22 de l'ISO 27001:2022 (relations fournisseurs) régissent la même relation fournisseur sous-jacente. Dans Acuna GRC, un seul dossier fournisseur est cartographié simultanément sur les trois référentiels. Votre registre ICT et votre registre de protection des données sont le même dossier ; sans questionnaires en double, sans preuves contradictoires.

Présentation complète de la plateforme : Plateforme cloud Acuna GRC

§ Feuille de route d'implémentation

La conformité ICT tiers DORA en cinq étapes

Une séquence pratique pour les entités financières qui construisent ou font évoluer leur programme de risque tiers DORA, de l'inventaire initial aux preuves supervisory continues.

1

Constituer l'inventaire des prestataires ICT

Créer un Registre d'information complet couvrant tous les prestataires ICT, les services, les systèmes concernés et les responsables. Cartographier les chaînes de sous-traitance et les dépendances de quatrième niveau.

Supplier Shield : importez votre liste de fournisseurs existante, classifiez automatiquement par criticité, identifiez les données manquantes sur les sous-traitants.
2

Classer les prestataires par criticité DORA

Classer chaque prestataire en critique, important ou standard selon la criticité métier, la sensibilité des données, la substituabilité et l'exposition au risque de concentration. Le niveau de criticité détermine la profondeur de la diligence et la fréquence du suivi.

Supplier Shield : notation de criticité configurable avec attribution automatique des niveaux.
3

Conduire la diligence et combler les lacunes contractuelles

Évaluer les contrôles de sécurité et de résilience selon les exigences DORA. Vérifier que chaque contrat ICT critique inclut les dispositions obligatoires de l'Art. 30 telles que précisées dans le RTS ABE (JC 2023/84). Assigner les responsables de remédiation et fixer des échéances pour chaque lacune identifiée.

Supplier Shield : questionnaires structurés alignés sur les exigences Art. 29, et liste de contrôle contractuelle Art. 30 par contrat.
4

Surveiller le risque de concentration et la disponibilité des sorties

Identifier et quantifier les dépendances envers un prestataire unique sur des fonctions critiques. Documenter des stratégies de sortie testées pour chaque prestataire ICT critique. Préparer le rapport de risque de concentration Annexe III pour la soumission supervisory.

Supplier Shield : rapports de risque de concentration alignés sur les orientations ABE/AEMF ; format d'export Annexe III.
5

Maintenir la surveillance continue et les preuves supervisory

Assurer un suivi continu de tous les prestataires critiques. Mettre à jour le Registre d'information au fil de l'évolution des relations. Produire des rapports pour le conseil d'administration et les régulateurs sur la posture ICT tiers.

Supplier Shield + Acuna GRC : cycles de révision automatisés, signaux OSINT en temps réel et Aiko IA (l'assistant conformité intégré d'Acuna) pour des questions instantanées sur votre posture tiers.

§ Acuna GRC

DORA, RGPD et ISO 27001 dans un seul contrôle. Sans travail en double.

Supplier Shield est le module TPRM d'Acuna GRC. Votre registre de prestataires ICT se connecte directement à votre registre des risques global, à votre cadre de protection des données, à la cartographie multi-référentiel et à vos processus d'audit interne. Une seule plateforme, hébergée en Suisse, couvrant plus de 50 référentiels GRC dont DORA, NIS2, RGPD, ISO 27001 et SOC 2.

§ FAQ

Questions fréquentes sur le DORA

Qu'est-ce que le DORA en une phrase ?

Le DORA est le règlement européen qui impose aux entités financières de prouver qu'elles peuvent prévenir, résister et se remettre des perturbations ICT, y compris celles causées par des prestataires tiers critiques.

À qui le DORA s'applique-t-il ?

Le DORA s'applique aux établissements de crédit, aux établissements de paiement, aux émetteurs de monnaie électronique, aux sociétés d'investissement, aux entreprises d'assurance et de réassurance, aux AIFM, aux sociétés de gestion d'OPCVM, aux prestataires de services sur crypto-actifs et à d'autres entités listées à l'Art. 2. Les groupes dont le siège est en Suisse disposant d'entités régulées dans l'UE sont dans le périmètre pour ces entités. Les microentreprises (moins de 10 salariés, moins de 2 M€ de CA) peuvent appliquer le cadre simplifié de gestion du risque ICT prévu à l'Art. 4.

Quand le DORA est-il entré en application ?

Le DORA est entré en application le 17 janvier 2025. Les autorités nationales compétentes ont rapidement commencé à demander les soumissions du Registre d'information et les preuves de gouvernance ICT tiers. Les établissements présentant encore des ébauches de politique plutôt qu'une mise en œuvre opérationnelle sont en retard sur les attentes supervisory.

Que requiert le DORA en matière de risque tiers ?

Les articles 28 à 44 exigent : une politique documentée de risque tiers ICT, un Registre d'information transmis annuellement à l'ANC, une diligence structurée précontractuelle (Art. 28(4)), des dispositions contractuelles obligatoires pour les services ICT critiques ou importants (Art. 30, détaillées dans le RTS ABE JC 2023/84), l'évaluation et la surveillance du risque de concentration (Art. 29), des stratégies de sortie pour les prestataires critiques (Art. 32), et une gouvernance adaptée quand un prestataire est désigné Prestataire tiers ICT critique (Art. 31, 33–44).

Quelles sont les dispositions contractuelles obligatoires au titre de l'Art. 30 du DORA ?

L'Art. 30 du DORA exige que les contrats de services ICT critiques ou importants incluent : une description complète du service et des SLA, des clauses de localisation et d'accessibilité des données, des droits d'audit et d'accès pour l'établissement et son autorité compétente, des obligations de sécurité et de résilience, des exigences de coopération et de notification d'incidents, des droits de divulgation et d'approbation de la sous-traitance, une coopération pour la continuité des activités, et des dispositions de résiliation et d'assistance à la sortie. Les ABE et AEMF ont publié le RTS détaillé sur les exigences contractuelles (JC 2023/84) précisant le contenu attendu pour chaque élément.

Que sont les Prestataires tiers ICT critiques (CTPP) et cela nous concerne-t-il ?

L'ABE, l'EIOPA et l'AEMF désignent conjointement certains prestataires ICT comme CTPP et les soumettent à une supervision directe. Les principaux hyperscalers cloud (AWS, Microsoft Azure, Google Cloud) sont parmi ceux en cours d'évaluation pour désignation. Si un CTPP figure dans votre Registre d'information, vous devez adapter votre gouvernance : le cadre de supervision des CTPP (Art. 33–44) introduit des obligations supplémentaires en matière de suivi, de reporting et de coopération contractuelle. Les entités financières doivent signaler tout prestataire de leur registre ayant reçu ou étant en cours d'évaluation pour une désignation CTPP.

Qu'est-ce que le Registre d'information et comment est-il soumis ?

Le Registre d'information est un inventaire structuré de tous les arrangements contractuels ICT, les services fournis, les fonctions supportées et la chaîne complète de sous-traitance. Les entités financières doivent le transmettre annuellement à leur ANC. L'ABE et l'AEMF ont publié les ITS définitifs (EBA/GL/2024/02) précisant les champs de données exacts et le format du modèle Annexe III requis pour la soumission. Supplier Shield exporte le Registre directement au format Annexe III.

Faut-il classer les prestataires ICT par criticité ?

Oui. Le DORA impose aux établissements de classer chaque prestataire ICT par criticité (critique, important ou standard) selon l'impact métier, la substituabilité, la sensibilité des données et l'exposition au risque de concentration. Le niveau de criticité détermine la profondeur de la diligence, les exigences en matière de dispositions contractuelles, la fréquence du suivi et les obligations de stratégie de sortie applicables.

Quelles sont les conséquences du non-respect ?

Le DORA ne fixe pas d'amendes harmonisées au niveau européen équivalentes aux 4 % de CA mondial du RGPD. L'application est déléguée aux autorités nationales compétentes, qui peuvent imposer des sanctions administratives dans leurs propres cadres nationaux. Les constats supervisory lors des revues DORA (Registres d'information insuffisants, dispositions contractuelles manquantes, stratégies de sortie non documentées) peuvent entraîner des ordres de remédiation, des lettres supervisory et des conséquences réputationnelles affectant les conditions de licence. Le cadre de supervision des CTPP comprend le réseau de supervision conjointe (JON), où la BCE, l'ABE, l'EIOPA et l'AEMF coordonnent l'application.

Nous avons déjà un programme de gestion des prestataires selon les orientations ABE sur l'externalisation. Que change le DORA ?

Le DORA remplace les orientations ABE sur les arrangements d'externalisation (GL/2019/02) pour les services ICT et ajoute des obligations substantielles : le Registre d'information remplace les registres d'externalisation par un format plus structuré et une soumission annuelle obligatoire à l'ANC ; les dispositions contractuelles Art. 30 sont plus détaillées que ce qu'exigeaient les orientations sur l'externalisation ; l'évaluation du risque de concentration (Art. 29) est désormais une obligation formelle, documentée et déclarée ; et les stratégies de sortie doivent être documentées et testées périodiquement. Les registres d'externalisation existants constituent un point de départ, mais la quasi-totalité des établissements nécessite une remédiation substantielle pour satisfaire au DORA.

Quel est le lien entre le DORA, le RGPD et le NIS2 ?

Le DORA porte sur la résilience opérationnelle numérique des entités financières. Le RGPD régit la protection des données personnelles. Le NIS2 encadre la cybersécurité des entités essentielles et importantes dans tous les secteurs. Un établissement financier soumis au DORA peut également être soumis au RGPD et, selon la juridiction, au NIS2. Les obligations de contrôle qui se chevauchent (notamment autour des contrats fournisseurs ICT) peuvent être cartographiées sur des contrôles partagés dans Acuna GRC, de sorte qu'une seule évaluation satisfait simultanément plusieurs référentiels.

Comment Supplier Shield soutient-il la mise en œuvre du DORA ?

Supplier Shield est le module TPRM d'Acuna GRC. Il couvre les obligations Art. 28–44 : registre structuré des prestataires au format Annexe III, pré-évaluation OSINT, analyse des lacunes contractuelles Art. 30 par contrat, surveillance et reporting du risque de concentration, gestion des stratégies de sortie et surveillance continue avec déclencheurs automatiques de révision. Acuna GRC couvre le cadre plus large de gestion du risque ICT (Art. 5–16) et la cartographie multi-référentiel sur DORA, RGPD et ISO 27001.

Votre registre ICT tiers conforme au DORA, structuré et prêt pour les superviseurs.

Réservez une session de travail avec notre équipe. Nous cartographierons votre posture ICT tiers actuelle par rapport aux articles 28 à 44 et vous montrerons précisément où Supplier Shield comble les lacunes.