Toute entité financière dans le périmètre (banques, assureurs, sociétés d'investissement, établissements de paiement) doit mettre en œuvre une gouvernance structurée et auditable du risque tiers en vertu des articles 28 à 44. Voici le guide opérationnel, et comment Supplier Shield et Acuna GRC s'intègrent à votre programme de conformité.
§ Qu'est-ce que le DORA
Le DORA est le règlement européen qui standardise la résilience opérationnelle numérique dans le secteur financier. Il impose aux établissements de prouver qu'ils peuvent prévenir, résister, contenir et se remettre des perturbations ICT, y compris celles causées par les prestataires tiers dont ils dépendent pour des services critiques.
Le DORA est entré en application le 17 janvier 2025. Les autorités nationales compétentes (BCE, BaFin, AMF, ACPR, DNB, FMA et autres) demandent désormais les Registres d'information et les preuves de gouvernance ICT tiers. Les ébauches de politique ne suffisent plus. C'est une mise en œuvre auditable que les superviseurs attendent.
Dans le périmètre
§ Cinq piliers
Le DORA s'articule autour de cinq piliers. Supplier Shield et Acuna GRC se concentrent principalement sur le pilier 4 (gestion du risque tiers ICT), tandis que la plateforme Acuna GRC couvre également les piliers 1 et 2.
Maintenir un cadre documenté de gestion du risque ICT intégré dans la gouvernance globale de l'entité, couvrant l'identification, la protection, la détection, la réponse et le rétablissement.
Acuna GRCClasser, journaliser, gérer et déclarer les incidents ICT majeurs aux autorités compétentes dans des délais stricts. Alerte précoce sous 24 heures, rapport complet sous 72 heures.
Acuna GRCMener des programmes réguliers de tests de résilience opérationnelle numérique, y compris des tests de pénétration basés sur les menaces (TLPT) pour les établissements importants désignés par les superviseurs.
Mettre en œuvre une stratégie, une gouvernance et une surveillance continue des prestataires ICT. Tenir le Registre d'information, appliquer les dispositions contractuelles, surveiller le risque de concentration et maintenir des stratégies de sortie.
Supplier ShieldParticiper volontairement aux dispositifs de partage de renseignements sur les cybermenaces avec d'autres entités financières et autorités compétentes afin de renforcer la résilience sectorielle.
§ Art. 28–44 en détail
Voici les obligations spécifiques des articles 28 à 44 que la BCE, BaFin, AMF, ACPR, DNB et d'autres autorités compétentes vérifient lors des revues supervisory, des inspections sur site et des soumissions annuelles du Registre d'information.
Définir et tenir une politique documentée de risque tiers ICT. Constituer et maintenir un Registre d'information couvrant chaque arrangement contractuel ICT, les fonctions supportées, les systèmes concernés et la chaîne complète de sous-traitance. Le Registre est transmis annuellement à votre ANC dans le format du modèle ABE/AEMF Annexe III.
Avant d'intégrer tout prestataire ICT, effectuer une diligence structurée proportionnée à la criticité du service. Évaluer les contrôles de sécurité, la résilience opérationnelle, la stabilité financière et les arrangements de sous-traitance. Les résultats doivent être documentés et conservés comme preuves.
Évaluer et surveiller le risque de concentration : identifier les cas où un seul prestataire soutient plusieurs fonctions critiques ou importantes, analyser la concentration géographique et évaluer la substituabilité. Quand le remplacement dans un délai raisonnable n'est pas possible, le risque doit être escaladé et documenté. Les établissements ayant des CTPP dans leur registre font l'objet d'un contrôle renforcé.
Les contrats avec des prestataires de services ICT critiques ou importants doivent inclure : description complète du service et SLA, clauses de localisation et d'accessibilité des données, droits d'audit et d'accès pour l'établissement et les autorités compétentes, obligations de sécurité et de résilience, exigences de notification d'incidents, droits de divulgation et d'approbation de la sous-traitance, coopération pour la continuité des activités, et modalités de résiliation et d'assistance à la sortie. Le RTS ABE/AEMF sur les exigences contractuelles (JC 2023/84) précise le contenu attendu pour chaque élément.
L'ABE, l'EIOPA et l'AEMF désignent conjointement certains prestataires comme CTPP et les soumettent à une supervision directe. Si un prestataire de votre Registre est désigné CTPP (les principaux hyperscalers cloud, notamment AWS, Microsoft Azure et Google Cloud, sont en cours d'évaluation), vous devez adapter votre gouvernance, renforcer l'intensité du suivi et vous assurer que vos arrangements contractuels couvrent les obligations supplémentaires liées à la supervision des CTPP.
Pour chaque prestataire ICT critique, documenter et tester périodiquement une stratégie de sortie couvrant : les options de substitution du service, la portabilité et la migration des données, les calendriers de transition et la continuité des opérations pendant la transition. Les stratégies de sortie doivent être révisées annuellement et réévaluées lors de la désignation CTPP d'un prestataire, après un incident ou lors d'un changement matériel de l'arrangement contractuel.
Maintenir un cadre documenté de gestion du risque ICT intégré à la gouvernance globale, avec responsabilité au niveau du conseil d'administration. Couvrir l'identification, la protection, la détection, la réponse et le rétablissement. Le cadre doit être révisé au moins annuellement et après des incidents ICT significatifs ou des changements majeurs.
§ Comment la plateforme couvre le DORA
Supplier Shield est le module TPRM d'Acuna GRC. Ensemble, ils couvrent les obligations ICT tiers et le cadre plus large de gestion du risque ICT que le DORA impose.
Importez votre liste de fournisseurs ICT existante, classifiez chaque prestataire par criticité (critique, important ou standard), documentez les chaînes de sous-traitance et cartographiez les fonctions et systèmes que chaque contrat couvre. Exportez le Registre complété au format Annexe III attendu pour la soumission annuelle à l'ANC. Les champs sont alignés sur les ITS publiés dans EBA/GL/2024/02.
Avant même l'envoi d'un questionnaire de diligence raisonnable, Supplier Shield analyse chaque prestataire ICT de l'extérieur : hygiène DNS, configuration TLS, exposition aux violations et signaux de renseignement sur les menaces. Chaque prestataire reçoit une note composite A–F mise à jour automatiquement. Votre équipe démarre la diligence avec la posture externe déjà quantifiée, sans questionnaire envoyé dans le vide.
Des listes de contrôle structurées vérifient les dispositions contractuelles DORA obligatoires pour chaque contrat ICT critique : description du service, SLA, localisation des données, droits d'audit, obligations d'incident, divulgation de la sous-traitance, assistance à la sortie et coopération pour la continuité. Aligné sur le RTS ABE/AEMF sur les exigences contractuelles (JC 2023/84). Les lacunes alimentent une file de remédiation avec attribution des responsables et échéances.
Identifier les cas où un seul prestataire ICT soutient plusieurs fonctions critiques ou importantes. Suivre la concentration géographique et les notes de substituabilité par prestataire. Quand un CTPP est dans votre registre, signaler automatiquement l'obligation de surveillance renforcée. Générer les données de risque de concentration dont votre équipe a besoin pour la soumission supervisory annuelle.
Pour chaque prestataire ICT critique, documenter les options de substitution du service, l'approche de portabilité et de migration des données, les calendriers de transition et les obligations de continuité pendant la transition. Supplier Shield suit les dates de révision et déclenche une réévaluation lors de la désignation CTPP d'un prestataire, après un incident ou quand un changement contractuel matériel est enregistré.
Les dispositions contractuelles DORA Art. 30, les accords de traitement des données RGPD Art. 28 et les clauses 5.19–5.22 de l'ISO 27001:2022 (relations fournisseurs) régissent la même relation fournisseur sous-jacente. Dans Acuna GRC, un seul dossier fournisseur est cartographié simultanément sur les trois référentiels. Votre registre ICT et votre registre de protection des données sont le même dossier ; sans questionnaires en double, sans preuves contradictoires.
Présentation complète de la plateforme : Plateforme cloud Acuna GRC
§ Feuille de route d'implémentation
Une séquence pratique pour les entités financières qui construisent ou font évoluer leur programme de risque tiers DORA, de l'inventaire initial aux preuves supervisory continues.
Créer un Registre d'information complet couvrant tous les prestataires ICT, les services, les systèmes concernés et les responsables. Cartographier les chaînes de sous-traitance et les dépendances de quatrième niveau.
Classer chaque prestataire en critique, important ou standard selon la criticité métier, la sensibilité des données, la substituabilité et l'exposition au risque de concentration. Le niveau de criticité détermine la profondeur de la diligence et la fréquence du suivi.
Évaluer les contrôles de sécurité et de résilience selon les exigences DORA. Vérifier que chaque contrat ICT critique inclut les dispositions obligatoires de l'Art. 30 telles que précisées dans le RTS ABE (JC 2023/84). Assigner les responsables de remédiation et fixer des échéances pour chaque lacune identifiée.
Identifier et quantifier les dépendances envers un prestataire unique sur des fonctions critiques. Documenter des stratégies de sortie testées pour chaque prestataire ICT critique. Préparer le rapport de risque de concentration Annexe III pour la soumission supervisory.
Assurer un suivi continu de tous les prestataires critiques. Mettre à jour le Registre d'information au fil de l'évolution des relations. Produire des rapports pour le conseil d'administration et les régulateurs sur la posture ICT tiers.
§ Acuna GRC
Supplier Shield est le module TPRM d'Acuna GRC. Votre registre de prestataires ICT se connecte directement à votre registre des risques global, à votre cadre de protection des données, à la cartographie multi-référentiel et à vos processus d'audit interne. Une seule plateforme, hébergée en Suisse, couvrant plus de 50 référentiels GRC dont DORA, NIS2, RGPD, ISO 27001 et SOC 2.
§ Ressources
De la vue d'ensemble réglementaire aux contrôles opérationnels et aux preuves d'audit, ces pages couvrent l'intégralité du parcours d'implémentation.
§ FAQ
Le DORA est le règlement européen qui impose aux entités financières de prouver qu'elles peuvent prévenir, résister et se remettre des perturbations ICT, y compris celles causées par des prestataires tiers critiques.
Le DORA s'applique aux établissements de crédit, aux établissements de paiement, aux émetteurs de monnaie électronique, aux sociétés d'investissement, aux entreprises d'assurance et de réassurance, aux AIFM, aux sociétés de gestion d'OPCVM, aux prestataires de services sur crypto-actifs et à d'autres entités listées à l'Art. 2. Les groupes dont le siège est en Suisse disposant d'entités régulées dans l'UE sont dans le périmètre pour ces entités. Les microentreprises (moins de 10 salariés, moins de 2 M€ de CA) peuvent appliquer le cadre simplifié de gestion du risque ICT prévu à l'Art. 4.
Le DORA est entré en application le 17 janvier 2025. Les autorités nationales compétentes ont rapidement commencé à demander les soumissions du Registre d'information et les preuves de gouvernance ICT tiers. Les établissements présentant encore des ébauches de politique plutôt qu'une mise en œuvre opérationnelle sont en retard sur les attentes supervisory.
Les articles 28 à 44 exigent : une politique documentée de risque tiers ICT, un Registre d'information transmis annuellement à l'ANC, une diligence structurée précontractuelle (Art. 28(4)), des dispositions contractuelles obligatoires pour les services ICT critiques ou importants (Art. 30, détaillées dans le RTS ABE JC 2023/84), l'évaluation et la surveillance du risque de concentration (Art. 29), des stratégies de sortie pour les prestataires critiques (Art. 32), et une gouvernance adaptée quand un prestataire est désigné Prestataire tiers ICT critique (Art. 31, 33–44).
L'Art. 30 du DORA exige que les contrats de services ICT critiques ou importants incluent : une description complète du service et des SLA, des clauses de localisation et d'accessibilité des données, des droits d'audit et d'accès pour l'établissement et son autorité compétente, des obligations de sécurité et de résilience, des exigences de coopération et de notification d'incidents, des droits de divulgation et d'approbation de la sous-traitance, une coopération pour la continuité des activités, et des dispositions de résiliation et d'assistance à la sortie. Les ABE et AEMF ont publié le RTS détaillé sur les exigences contractuelles (JC 2023/84) précisant le contenu attendu pour chaque élément.
L'ABE, l'EIOPA et l'AEMF désignent conjointement certains prestataires ICT comme CTPP et les soumettent à une supervision directe. Les principaux hyperscalers cloud (AWS, Microsoft Azure, Google Cloud) sont parmi ceux en cours d'évaluation pour désignation. Si un CTPP figure dans votre Registre d'information, vous devez adapter votre gouvernance : le cadre de supervision des CTPP (Art. 33–44) introduit des obligations supplémentaires en matière de suivi, de reporting et de coopération contractuelle. Les entités financières doivent signaler tout prestataire de leur registre ayant reçu ou étant en cours d'évaluation pour une désignation CTPP.
Le Registre d'information est un inventaire structuré de tous les arrangements contractuels ICT, les services fournis, les fonctions supportées et la chaîne complète de sous-traitance. Les entités financières doivent le transmettre annuellement à leur ANC. L'ABE et l'AEMF ont publié les ITS définitifs (EBA/GL/2024/02) précisant les champs de données exacts et le format du modèle Annexe III requis pour la soumission. Supplier Shield exporte le Registre directement au format Annexe III.
Oui. Le DORA impose aux établissements de classer chaque prestataire ICT par criticité (critique, important ou standard) selon l'impact métier, la substituabilité, la sensibilité des données et l'exposition au risque de concentration. Le niveau de criticité détermine la profondeur de la diligence, les exigences en matière de dispositions contractuelles, la fréquence du suivi et les obligations de stratégie de sortie applicables.
Le DORA ne fixe pas d'amendes harmonisées au niveau européen équivalentes aux 4 % de CA mondial du RGPD. L'application est déléguée aux autorités nationales compétentes, qui peuvent imposer des sanctions administratives dans leurs propres cadres nationaux. Les constats supervisory lors des revues DORA (Registres d'information insuffisants, dispositions contractuelles manquantes, stratégies de sortie non documentées) peuvent entraîner des ordres de remédiation, des lettres supervisory et des conséquences réputationnelles affectant les conditions de licence. Le cadre de supervision des CTPP comprend le réseau de supervision conjointe (JON), où la BCE, l'ABE, l'EIOPA et l'AEMF coordonnent l'application.
Le DORA remplace les orientations ABE sur les arrangements d'externalisation (GL/2019/02) pour les services ICT et ajoute des obligations substantielles : le Registre d'information remplace les registres d'externalisation par un format plus structuré et une soumission annuelle obligatoire à l'ANC ; les dispositions contractuelles Art. 30 sont plus détaillées que ce qu'exigeaient les orientations sur l'externalisation ; l'évaluation du risque de concentration (Art. 29) est désormais une obligation formelle, documentée et déclarée ; et les stratégies de sortie doivent être documentées et testées périodiquement. Les registres d'externalisation existants constituent un point de départ, mais la quasi-totalité des établissements nécessite une remédiation substantielle pour satisfaire au DORA.
Le DORA porte sur la résilience opérationnelle numérique des entités financières. Le RGPD régit la protection des données personnelles. Le NIS2 encadre la cybersécurité des entités essentielles et importantes dans tous les secteurs. Un établissement financier soumis au DORA peut également être soumis au RGPD et, selon la juridiction, au NIS2. Les obligations de contrôle qui se chevauchent (notamment autour des contrats fournisseurs ICT) peuvent être cartographiées sur des contrôles partagés dans Acuna GRC, de sorte qu'une seule évaluation satisfait simultanément plusieurs référentiels.
Supplier Shield est le module TPRM d'Acuna GRC. Il couvre les obligations Art. 28–44 : registre structuré des prestataires au format Annexe III, pré-évaluation OSINT, analyse des lacunes contractuelles Art. 30 par contrat, surveillance et reporting du risque de concentration, gestion des stratégies de sortie et surveillance continue avec déclencheurs automatiques de révision. Acuna GRC couvre le cadre plus large de gestion du risque ICT (Art. 5–16) et la cartographie multi-référentiel sur DORA, RGPD et ISO 27001.
Réservez une session de travail avec notre équipe. Nous cartographierons votre posture ICT tiers actuelle par rapport aux articles 28 à 44 et vous montrerons précisément où Supplier Shield comble les lacunes.