Le Règlement applicable le 17 janvier en Europe et en cours de transposition en France concerne environ 1 600 aux entités financières mais aussi plus de 15 000 prestataires tiers de services de TIC. Il est difficile de penser que ces derniers soient tous prêts.
Si les banques, les assurances, gestionnaires d’actifs ou institutions financières de manière générale sont plutôt prêtes à répondre aux exigences réglementaires du fait de leur maturité sur la gestion des risques numériques. La situation pour les prestataires n’est probablement pas identique pour qu’ils puissent répondre à l’ensemble des exigences de DORA.
Or les entités financières doivent travailler uniquement avec des prestataires conformes. Ce qui dans certains cas sera parfois difficile du fait que certains services ou prestataires ne sont pas facilement substituables. A ce titre, l’article 31 prévoit des exemptions en cas d’absence d’alternatives réelles ou de difficultés de migration ou encore une charge de travail disproportionnée.
Par ailleurs, DORA impose aux entités financières de maintenir un registre actualisé des informations relatives à leurs accords contractuels concernant les services TIC fournis par des tiers. Elles sont également tenues de cartographier et d’identifier les types de services concernés. Cela implique de collecter un grand nombre d’informations et de revoir en permanence les clauses contractuelles. DORA impose une révision continue des contrats.
Ainsi, fournisseurs de services d’infrastructure de réseau sauf services de télécommunication, centres de données, conseils en TIC et services TIC géré, éditeurs de logiciels essentiels, cloud, services d’analyses de données ou de gestion des données, services de cybersécurité… doivent fournir les informations et garantir leur conformité notamment avec des accords contractuels.
“Les accords contractuels devraient notamment comporter une description complète des fonctions et des services, des lieux où ces fonctions sont assurées et où les données seront traitées, ainsi qu’une description des niveaux de service” stipule le Règlement.
De la même manière, les tiers concernés doivent préciser “en quoi l’accessibilité, la
disponibilité, l’intégrité, la sécurité et la protection des données à caractère personnel sont assurées par le tiers prestataire de services TIC, les dispositions établissant les garanties pertinentes permettant l’accès, la récupération et la restitution des données en cas d’insolvabilité, de résolution ou d’interruption des activités du prestataire tiers de services TIC, ainsi que les dispositions imposant au prestataire tiers de services TIC de fournir une assistance en cas d’incidents liés aux TIC en rapport avec les services fournis, sans frais supplémentaires ou à un coût déterminé ex ante” précise le Règlement.
La sous-traitance des prestataires est consolidée
Des exigences supplémentaires s’ajoutent pour garantir la maitrise de la délégation à un sous traitant par le prestataire principal. Les services portant sur les fonctions de métiers critiques ou importants devront fournir par exemple, le juridiction du sous-traitant, le nombre de sous traitant, la nature des données partagées, l’évaluation des impacts en cas de rupture ou de perturbation de continuité des services, évaluer les risques de concentration…
Bien sur les prestataires devront fournir l’engagement des sous-traitants dans la continuité de service, l’accès à la documentation sur toute la chaine, les droits d’audit, les conséquences de la modification de la chaine de sous-traitance ou encore les solutions de résolution de contrat.
“Certaines entreprises – et c’est malheureux – relèveront en effet pour une moitié de leur activité de Dora et pour l’autre moitié de NIS 2. L’harmonisation ne sera pas totale, mais nous continuerons d’être en lien étroit avec les autorités de contrôle pour limiter les déperditions d’énergie et les frictions” soulignait Vincent Strubel directeur général de l’Agence nationale de sécurité des systèmes d’information lors de son audition au Sénat le 17 décembre 2024.
Comme le précise l’Autorité des Marchés Financiers (AMF), “Le règlement impose également un cadre de supervision au niveau européen pour les prestataires tiers de services TIC considérés comme « critiques », c’est-à-dire susceptibles d’avoir un impact systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers dans l’Union Européenne“.
L’Autorité de contrôle prudentiel et de régulation (ACPR) liste les attendus suivants (documents, livrables, stratégies, politiques internes) de DORA, également applicables indirectement aux tiers concernés selon les services délivrés :
-Cadre de gouvernance et de contrôle interne du risque
-Les entités soumises au cadre simplifié de l’article
-Stratégies garantissant des normes élevées de disponibilité, authenticité, intégrité et confidentialité des données
-Plan d’audit des TIC
-Politique concernant les services TIC fournis par des prestataires tiers
-Cadre de gestion du risque TIC (inclut : stratégie de résilience opérationnelle)
-Rapport sur le réexamen du cadre de gestion du risque TIC (sur demande de l’autorité compétente)
-Stratégie globale multifournisseurs (facultatif)
-Inventaires des risques TIC sur les fonctions métiers
-Politique de la sécurité de l’information
-Politiques qui limitent l’accès physique ou logique aux actifs TIC
-Politiques et protocoles d’authentification forte
-Politiques sur la gestion du changement TIC
-Stratégies en matière de mises à jour et correctifs
-Politique de continuité des activités de TIC
-Plan de réponse et de rétablissement des TIC
-Registre des activités lors de l’activation de PCA / plan de réponse
-Estimation du coût annuel des incidents majeurs
-Politiques et procédures de sauvegarde
-Procédures et méthodes de restauration et rétablissement
-Examens post-incident
-Programmes de sensibilisation et formation du personnel
-Plan de communication
-Processus de gestion des incidents
-Rapport d’incident initial
-Rapport d’incident intermédiaire
-Rapport d’incident final Article
-Programme de tests de résilience
-Procédures et stratégies pour traiter les problèmes identifiés par les tests .
-Plans de mesures correctives
-Stratégie en matière de risques liés aux prestataires TIC tiers (inclut une politique sur l’externalisation des fonctions critiques et importantes)
-Registre d’information sur tous les contrats d’externalisation TIC
-Information sur tous les projets d’accord contractuel portant sur une externalisation TIC
-Stratégies de sortie
-Plans de transition
-Mesures d’urgence lors de l’activation de la stratégie de sortie
