Prestataires TIC critiques : surveillance DORA

Le reglement DORA introduit une innovation majeure dans la reglementation financiere europeenne : la surveillance directe des prestataires tiers de services TIC juges critiques pour le secteur financier. Jusqu’a l’entree en application de DORA, les autorites de supervision financiere ne pouvaient reguler que les entites financieres elles-memes, pas leurs fournisseurs technologiques. Cette lacune etait devenue insupportable face a la concentration croissante des services cloud et IT critiques entre les mains d’un petit nombre d’acteurs (AWS, Microsoft Azure, Google Cloud, IBM, Oracle, SAP).

Les articles 31 a 44 du reglement DORA mettent en place un cadre de surveillance directe des prestataires TIC critiques, exerce au niveau europeen par les autorites europeennes de surveillance (AES).

La designation des prestataires TIC critiques

Les criteres de designation

La designation des prestataires TIC critiques releve du Comite conjoint des autorites europeennes de surveillance, sur recommandation du forum de supervision (Oversight Forum). Les criteres de designation, definis a l’article 31 du reglement, incluent :

L’importance systemique du prestataire : evaluation fondee sur le nombre et la nature des entites financieres qui dependent du prestataire, la part de marche du prestataire dans la fourniture de services TIC au secteur financier, et le degre de substituabilite du prestataire (existence d’alternatives viables).

La criticite des services fournis : evaluation fondee sur la nature des fonctions critiques ou importantes supportees par les services du prestataire, et sur la dependance des entites financieres a l’egard de ces services pour la continuite de leurs activites.

L’impact potentiel en cas de defaillance : evaluation des consequences d’une panne, d’une cyberattaque ou d’une defaillance du prestataire sur la stabilite du systeme financier europeen.

Les prestataires designes

En janvier 2025, les autorites europeennes de surveillance ont publie la premiere liste de prestataires TIC designes comme critiques. Sans surprise, les grands fournisseurs de services cloud figurent parmi les premiers designes. La liste est revisee periodiquement et peut etre etendue a de nouveaux prestataires en fonction de l’evolution du marche et des risques.

Un prestataire designe comme critique peut contester cette designation devant les juridictions competentes. Le reglement prevoit une procedure de consultation prealable permettant au prestataire de faire valoir ses observations avant la designation definitive.

Le cadre de surveillance directe

Le superviseur principal (Lead Overseer)

Chaque prestataire TIC critique se voit attribuer un superviseur principal, designe parmi les trois autorites europeennes de surveillance (EBA, ESMA, EIOPA) en fonction de la nature des entites financieres qui dependent principalement du prestataire. Le superviseur principal est assiste d’une equipe d’examen conjointe associant les autorites de surveillance nationales concernees.

Les pouvoirs du superviseur principal

Le superviseur principal dispose de pouvoirs d’investigation et de supervision etendus :

Le pouvoir de demander des informations : le superviseur peut exiger du prestataire la communication de toute information necessaire a l’exercice de sa mission, y compris la documentation technique, les rapports d’audit, les journaux d’incidents, les contrats avec les entites financieres, et les politiques de securite.

Le pouvoir d’inspection : le superviseur peut mener des inspections generales et des enquetes sur site dans les locaux du prestataire, avec ou sans preavis. Ces inspections peuvent porter sur les systemes d’information, les centres de donnees, les processus de gestion des risques, et les dispositifs de continuite d’activite.

Le pouvoir de recommandation : a l’issue de son evaluation, le superviseur principal adresse des recommandations au prestataire TIC critique, identifiant les lacunes constatees et les mesures correctives a mettre en oeuvre.

Les limites du pouvoir de surveillance

Il est important de noter que le superviseur principal ne dispose pas du pouvoir de sanctionner directement le prestataire TIC critique. En cas de non-respect des recommandations, les consequences sont indirectes : les autorites de surveillance nationales peuvent exiger des entites financieres qu’elles suspendent ou cessent l’utilisation des services du prestataire non conforme. Cette approche exerce une pression economique considerable sur le prestataire.

Les obligations des prestataires TIC critiques

La cooperation avec le superviseur

Le prestataire TIC critique doit cooperer pleinement avec le superviseur principal. Cette obligation de cooperation inclut la transmission des informations demandees dans les delais prescrits, l’acces aux locaux et systemes pour les inspections, et la mise en oeuvre des recommandations dans les delais impartis.

La gestion des risques

Bien que DORA n’impose pas directement un cadre de gestion des risques TIC aux prestataires (ce cadre s’applique aux entites financieres), le superviseur principal evalue la robustesse des pratiques de securite et de resilience du prestataire. Les evaluations portent notamment sur la securite des systemes et des donnees, les capacites de detection et de reponse aux incidents, les plans de continuite d’activite et de reprise apres sinistre, la gestion des vulnerabilites et les processus de mise a jour, et la protection des donnees hebergees pour le compte des entites financieres.

Les notifications d’incidents

Les prestataires TIC critiques doivent notifier les incidents majeurs affectant les services fournis aux entites financieres. Cette obligation est distincte de l’obligation de notification des entites financieres elles-memes. Lorsque l’incident affecte des donnees personnelles, les obligations du RGPD s’ajoutent, conformement a l’analyse des incidents donnees personnelles sous DORA.

Les implications pour les entites financieres

Le registre des accords contractuels

Les entites financieres doivent tenir un registre des accords TIC avec l’ensemble de leurs prestataires, y compris les prestataires TIC critiques. Ce registre doit contenir des informations detaillees sur la nature des services, les fonctions critiques supportees, et les conditions contractuelles.

Les clauses contractuelles renforcees

La sous-traitance TIC sous DORA impose des clauses contractuelles specifiques dans les contrats avec les prestataires TIC critiques. Ces clauses doivent couvrir les droits d’audit et d’acces, les obligations de notification des incidents, les exigences de localisation des donnees, les plans de sortie et la portabilite, et les garanties de continuite de service.

La strategie de concentration

Les entites financieres doivent evaluer le risque de concentration lie a leur dependance a l’egard d’un ou plusieurs prestataires TIC critiques. Le reglement DORA exige que les entites tiennent compte du risque de concentration dans leur cadre de gestion des risques TIC et qu’elles disposent de strategies de sortie credibles.

En pratique, cela suppose d’identifier les fonctions critiques dependantes d’un prestataire unique, d’evaluer la substituabilite des services (delai et cout de migration), de maintenir des plans de sortie realistes et testes, et d’envisager des architectures multi-cloud ou des solutions de secours.

L’articulation avec NIS2

Le cadre de surveillance des prestataires TIC critiques sous DORA s’articule avec la directive NIS2, qui impose ses propres obligations de cybersecurite aux fournisseurs de services numeriques. Un prestataire cloud designe comme critique sous DORA et comme entite essentielle sous NIS2 sera soumis aux deux regimes simultanement. L’articulation entre DORA et NIS2 a ete concue pour eviter les doublons, le reglement DORA prevalant pour les entites financieres et leurs prestataires.

Les fournisseurs cloud qui sont egalement concernes par le Cyber Resilience Act pour leurs produits logiciels font face a un environnement reglementaire triple qu’il convient de maitriser de maniere integree.

L’impact sur le marche des services cloud financiers

La mise en place de la surveillance directe des prestataires TIC critiques a des consequences significatives sur le marche. Les grands fournisseurs cloud investissent dans des offres specifiques au secteur financier (regions cloud souveraines, certifications sectorielles, equipes dediees). Les fournisseurs de taille intermediaire voient une opportunite de se positionner comme alternatives aux hyperscalers, reduisant le risque de concentration. Les entites financieres renforcent leurs equipes de gestion des prestataires et de pilotage des risques tiers.

FAQ

Comment savoir si mon prestataire cloud est designe comme critique sous DORA ?

La liste des prestataires TIC critiques est publiee par les autorites europeennes de surveillance (AES). Les entites financieres peuvent consulter cette liste sur les sites de l’EBA, de l’ESMA et de l’EIOPA. Les prestataires designes sont egalement tenus d’en informer leurs clients. Si votre prestataire cloud principal figure sur cette liste, vous devez integrer les implications dans votre cadre de gestion des risques tiers et dans vos obligations de reporting.

Quelles consequences si un prestataire TIC critique ne suit pas les recommandations du superviseur ?

Si un prestataire TIC critique ne met pas en oeuvre les recommandations du superviseur principal, celui-ci peut demander aux autorites nationales de surveillance d’exiger des entites financieres qu’elles cessent partiellement ou totalement l’utilisation des services du prestataire non conforme. Cette mesure extreme n’est utilisee qu’en dernier recours, mais son existence exerce une pression significative sur les prestataires pour qu’ils cooperent.

Les prestataires TIC critiques doivent-ils se conformer au RGPD en plus de DORA ?

Oui. Le reglement DORA ne se substitue pas au RGPD. Les prestataires TIC critiques qui traitent des donnees personnelles pour le compte des entites financieres sont des sous-traitants au sens de l’article 28 du RGPD et doivent satisfaire a l’ensemble des obligations de ce texte (contrat de sous-traitance, mesures de securite, notification des violations). La surveillance DORA vient s’ajouter aux controles de la CNIL en matiere de protection des donnees.