DORA pour les prestataires TIC : risque lié aux tiers et notification des incidents
Depuis janvier 2025, DORA s'applique au secteur financier, avec des conséquences pour chaque fournisseur. Ce que recouvrent le registre d'information, les chaînes de notification et les premières désignations de prestataires critiques.
DORA, le Digital Operational Resilience Act (règlement (UE) 2022/2554), s’applique au secteur financier européen depuis le 17 janvier 2025. Depuis le 19 novembre 2025, la supervision a pris une forme concrète : les autorités européennes de surveillance EBA, EIOPA et ESMA ont publié la première liste officielle de 19 tiers prestataires de services TIC désignés comme critiques, parmi lesquels AWS, Google Cloud, Microsoft, Oracle, SAP, IBM et Deutsche Telekom. Cette liste est actualisée chaque année.
La réaction instinctive de bien des prestataires informatiques est la suivante : cela ne me concerne pas, je ne suis pas une banque. C’est une erreur. DORA descend le long de la chaîne d’approvisionnement.
Pourquoi le règlement atteint chaque fournisseur
Les entités financières portent elles-mêmes le risque de leurs externalisations TIC et doivent le piloter de manière démontrable. Au plus tard le 30 avril 2025, elles devaient déclarer leur registre d’information, un relevé complet de tous les accords contractuels conclus avec des tiers prestataires de services TIC. Dès lors, chaque externalisation devient visible pour le régulateur, y compris celles vers des prestataires non critiques.
Toutes les obligations qui pèsent sur l’entité financière, celle-ci les répercute contractuellement sur ses prestataires. En pratique, les clients du secteur financier exigent désormais :
- Des clauses contractuelles conformes à DORA, avec des règles claires de performance, de sécurité et de résiliation.
- Des droits d’audit et d’accès, afin que le client comme le régulateur puissent contrôler.
- De la transparence sur la sous-traitance en cascade, c’est-à-dire qui d’autre intervient derrière le prestataire.
- Des chaînes de notification en cas d’incident, assez rapides pour que le client financier tienne ses propres délais.
- Des plans de sortie et de continuité, ainsi que des preuves issues des tests de résilience.
La notification d’incident est une chaîne, pas un formulaire
Pour les incidents TIC majeurs, DORA impose une notification échelonnée : une notification initiale dans les quelques heures suivant la classification, un rapport intermédiaire et un rapport final dans un délai d’un mois. Pour les fournisseurs, cela signifie : l’incident ne doit pas seulement être détecté en interne, le client financier doit être informé assez tôt pour respecter sa propre horloge réglementaire. Quiconque notifie trop tard ou de façon trop vague met en péril la conformité du client, et avec elle la relation d’affaires.
Désigné critique signifie supervision directe
Quiconque est désigné comme tiers prestataire critique de services TIC relève de la supervision directe d’un superviseur principal à l’échelle de l’UE. Comme la liste est actualisée chaque année, la désignation n’est pas un état figé : qui n’y figure pas aujourd’hui peut s’y retrouver à mesure que son importance pour le secteur financier grandit.
Ce qui est pertinent dès maintenant
Pour les prestataires TIC ayant des clients financiers, il vaut la peine de passer ses propres contrats au crible des clauses DORA, de documenter proprement la sous-traitance en cascade et de répéter la notification d’incident pour que la chaîne, jusqu’au client financier, tienne en quelques heures. Dans notre module Datargo Monitor, la surveillance, un moteur d’incidents et une piste d’audit append-only s’imbriquent de sorte que les preuves nécessaires à de telles chaînes de notification puissent être produites. L’essentiel, cependant, ne dépend pas de l’outil : il s’agit de documenter sa propre résilience pour que le client financier puisse s’y fier.
DORA n’est pas qu’une affaire de banques. C’est l’exigence que vos clients financiers vous répercutent désormais.