Les banques, assureurs et sociétés d'investissement soumis au DORA doivent documenter chaque relation avec un prestataire ICT tiers, évaluer le risque de concentration et constituer des preuves structurées à l'intention des superviseurs BCE, BaFin, FINMA et ACPR. Supplier Shield vous fournit le registre, les évaluations et les éléments probants nécessaires à la supervision, conçus autour des articles 28 à 44.
Approuvé par des organisations mondiales
§ The challenge
Le DORA est en vigueur. Les superviseurs demandent déjà les registres des tiers ICT. La plupart des entités financières ne sont pas prêtes.
L'article 28 du DORA exige un inventaire documenté de tous les prestataires ICT tiers, y compris les sous-traitants et les parties de quatrième niveau. La plupart des équipes s'appuient sur des tableurs sans contrôle de version, avec des entrées manquantes et sans notation de criticité.
Le DORA impose l'identification des dépendances envers un prestataire unique sur des fonctions critiques. Sans données structurées, les comités des risques ne peuvent pas visualiser la concentration géographique ou par prestataire, alors que c'est précisément ce que les superviseurs ABE et AEMF exigeront.
L'article 30 requiert des stratégies de sortie, des droits d'audit, des définitions de SLA et une transparence sur la sous-traitance dans chaque contrat ICT critique. La plupart des équipes juridiques n'ont aucun moyen systématique de vérifier l'existence et l'actualité de ces dispositions.
§ How we help
Des processus structurés couvrant chaque obligation liée aux tiers ICT, de l'enregistrement initial du fournisseur jusqu'au reporting annuel à l'autorité de supervision.
Constituez et maintenez l'inventaire faisant référence pour les tiers ICT, tel que requis par le DORA.
Importez votre liste de fournisseurs, classez-les automatiquement par criticité (critique, important, standard), documentez les chaînes de sous-traitance et joignez les preuves contractuelles. Le registre est toujours prêt à l'export pour une transmission aux superviseurs.
Identifiez les dépendances systémiques envers un prestataire, une région géographique ou une ligne de services.
Générez des rapports de risque de concentration conformes aux orientations ABE et AEMF. Signalez les prestataires qui soutiennent plusieurs fonctions critiques : c'est exactement ce que votre comité des risques et les superviseurs demanderont.
Vérifiez les contrats ICT pour y détecter les dispositions DORA obligatoires avant que des audits ne révèlent les manquements.
Des listes de contrôle structurées vérifient les stratégies de sortie, les droits d'audit, les clauses SLA et la transparence sur la sous-traitance, contrat par contrat. Les constats alimentent directement une file de remédiation avec attribution des responsables et échéances.
§ Why us
Notre équipe a réalisé plus de 500 audits et conseillé des entités régulées par la BCE, BaFin, FINMA et ACPR. Nous avons développé Supplier Shield pour combler les lacunes de conformité DORA que nous rencontrons dans de vrais mandats clients, pas celles décrites dans un cahier des charges.
Pas de développement sur mesure, pas de projet d'infrastructure, pas de prestation de services professionnels. Importez votre liste de fournisseurs, configurez les niveaux de criticité DORA et lancez votre premier cycle d'évaluation complet. La plupart des équipes comblent leur première lacune supervisory en un trimestre.
Contrairement aux suites GRC d'entreprise qui imposent un appel d'offres rien que pour obtenir un devis, les niveaux de la plateforme Acuna GRC sont publiés sur la page Tarifs. Supplier Shield TPRM est un module complémentaire tarifé en supplément de la plateforme. Frais annuels selon le nombre de fournisseurs ; sans frais par utilisateur, sans négociation.
§ Regulatory obligations
Voici les articles DORA spécifiques que les superviseurs, les auditeurs internes et les réviseurs Big 4 vérifieront. Supplier Shield cartographie votre programme fournisseurs sur chacun d'eux.
Documentez la politique, les rôles et le registre de toutes les relations avec des tiers ICT. Doit inclure les niveaux de criticité et les chaînes de sous-traitance.
Tous les contrats ICT critiques doivent inclure : droits d'accès et d'audit, définitions de niveaux de service, stratégies de sortie, transparence sur la sous-traitance et clauses de localisation des données.
Identifiez les dépendances envers des prestataires uniques. Les entités financières doivent déclarer annuellement les données de risque de concentration à leur autorité compétente (BCE, BaFin, FINMA, ACPR, etc.).
Pour chaque prestataire ICT critique, documentez une stratégie de sortie testée couvrant la substitution du service, le calendrier de transition et la portabilité des données. À réviser annuellement.
§ Acuna GRC
Supplier Shield est le module TPRM d'Acuna GRC. Votre registre fournisseurs ICT se connecte directement à votre registre des risques global, à votre cadre de protection des données et à vos processus d'audit interne ; le tout hébergé en Suisse, sur une seule plateforme.
§ Platform capabilities
Supplier Shield est le module TPRM d'Acuna GRC. Voici ce que cela signifie concrètement pour une entité régulée par le DORA, au-delà des questionnaires.
Chaque prestataire ICT de votre registre est en permanence analysé pour détecter les problèmes DNS, la configuration TLS, les en-têtes de sécurité web, l'exposition aux violations et les flux de renseignements sur les menaces. Les notes composites A–F se mettent à jour automatiquement. Votre comité des risques dispose d'une posture en temps réel, et non d'un instantané du dernier cycle d'évaluation.
Les dispositions contractuelles DORA Art. 30, les DPA RGPD Art. 28 et les contrôles fournisseurs ISO 27001 A.15 relèvent de la même obligation sous-jacente. Dans Acuna, un seul contrôle couvre simultanément les trois référentiels : sans évaluations en double, sans preuves contradictoires, sans notation incohérente entre vos registres ICT et protection des données.
Interrogez Aiko : « Quels prestataires ICT n'ont pas de documentation de stratégie de sortie ? » ou « Montrez-moi le risque de concentration par prestataire pour nos systèmes de trading. » Les réponses proviennent de votre registre fournisseurs en temps réel, structurées et prêtes à intégrer dans un briefing du comité des risques, sans extraction manuelle.
Le DORA impose une révision annuelle de votre registre des tiers ICT, des évaluations du risque de concentration et des tests de stratégie de sortie. Le calendrier de conformité Acuna planifie ces tâches automatiquement, assigne les responsables et suit l'avancement, pour que les échéances supervisory ne prennent pas votre équipe par surprise.
Pour les entités financières dotées d'un programme de risque d'entreprise étendu, le module Enterprise Risk Management connecte directement les constats ICT tiers à votre registre des risques opérationnels. Un constat de concentration fournisseur remonte dans votre ORSA, sans pont manuel entre TPRM et ERM.
Présentation complète de la plateforme : Plateforme cloud Acuna GRC
§ FAQ
Le DORA s'applique à toutes les entités financières régulées dans l'UE : établissements de crédit, sociétés d'investissement, entreprises d'assurance et de réassurance, établissements de paiement, émetteurs de monnaie électronique, gestionnaires d'OPCVM, AIFM et autres. Les entités suisses disposant de succursales ou de filiales dans l'UE sont également concernées.
Le hub DORA présente l'ensemble du règlement et ses cinq piliers. Cette page se concentre précisément sur la façon dont les institutions financières utilisent Supplier Shield pour satisfaire aux exigences de risque tiers ICT des articles 28 à 44 : c'est l'application opérationnelle, pas la vue d'ensemble réglementaire.
La plupart des équipes finalisent leur registre initial en deux à quatre semaines avec Supplier Shield. La plateforme importe votre liste de fournisseurs existante, applique une notation automatique de la criticité et met immédiatement en évidence les lacunes prioritaires.
Oui. La plateforme génère un export structuré conforme au modèle de registre ABE/AEMF (Annexe III) pour la soumission annuelle aux superviseurs, sans extraction manuelle des données.
Acuna GRC est hébergé en Suisse, ce qui satisfait aux exigences de résidence des données pour les entités régulées par la FINMA. Pour les superviseurs européens, nous fournissons des accords de traitement des données documentés et pouvons répondre aux exigences spécifiques à chaque juridiction.
Réservez une session de travail avec notre équipe. Nous cartographierons votre posture ICT tiers actuelle par rapport aux articles 28 à 44 et vous montrerons précisément où Supplier Shield comble les lacunes.