Le règlement DORA, pour Digital Operational Resilience Act, est devenu un texte central pour tous les prestataires IT qui travaillent avec le secteur financier. Contrairement à une directive, ce règlement européen s’applique directement et vise à harmoniser la résilience opérationnelle numérique des acteurs financiers. Pour les ESN, éditeurs SaaS, hébergeurs, infogéreurs, fournisseurs cloud, SOC externalisés et cabinets de conseil cyber, DORA crée un nouvel environnement contractuel et opérationnel.
Le point essentiel est simple : même si le règlement cible d’abord les entités financières, il transforme profondément les attentes envers leurs prestataires TIC. Les banques, assurances, établissements de paiement, entreprises d’investissement, acteurs crypto, gestionnaires d’actifs et infrastructures de marché doivent maîtriser leurs risques liés aux tiers. Ils vont donc demander à leurs fournisseurs des engagements plus précis, des preuves plus fréquentes et une capacité de réaction plus rapide.
DORA prestataires IT : comprendre le champ d’application
DORA concerne un large éventail d’entités financières : établissements de crédit, établissements de paiement, établissements de monnaie électronique, entreprises d’investissement, prestataires de services sur crypto-actifs, sociétés de gestion, assureurs, intermédiaires, plateformes de négociation, dépositaires centraux et autres acteurs essentiels au fonctionnement du système financier. Le texte organise un socle commun autour de cinq piliers : gestion du risque TIC, notification des incidents, tests de résilience, gestion du risque tiers et partage d’informations.
Les prestataires TIC ne sont pas de simples fournisseurs
Un prestataire IT peut fournir une infrastructure cloud, une solution de paiement, un outil de supervision, un logiciel cœur métier, un service d’infogérance, une prestation de développement, une solution de cybersécurité ou une plateforme de données. Dès lors que ce service soutient une fonction importante ou critique d’un acteur financier, la relation fournisseur devient un objet de conformité. Le client devra savoir si le prestataire est substituable, auditable, résilient et capable d’accompagner une crise.
Le cas des prestataires tiers critiques
DORA prévoit un régime de surveillance pour certains prestataires tiers critiques de services TIC. Tous les fournisseurs ne seront pas désignés comme critiques, mais cette perspective influence déjà les pratiques du marché. Les grands clients financiers veulent réduire les dépendances opaques, comprendre les chaînes de sous-traitance, documenter les lieux de traitement et obtenir des droits contractuels robustes. Les PME et ETI numériques doivent donc se préparer à des exigences autrefois réservées aux très grands fournisseurs.
Les obligations de continuité attendues par les clients financiers
La résilience opérationnelle numérique ne se limite pas à éviter les incidents. Elle consiste à maintenir ou restaurer les services dans des conditions maîtrisées. Pour un prestataire IT, cela implique des engagements clairs sur la disponibilité, la sauvegarde, la reprise, la gestion des changements, la protection contre les attaques, la surveillance, la capacité de support et l’escalade managériale.
PCA, PRA et tests réguliers
Les clients financiers attendent des plans de continuité et de reprise réellement testés. Un document générique ne suffit plus. Les prestataires doivent pouvoir expliquer les scénarios couverts, les délais de restauration, les dépendances critiques, les personnes mobilisées, la fréquence des tests et les résultats des exercices. Les éditeurs SaaS doivent notamment documenter les procédures de rollback, les sauvegardes, la supervision, la restauration de données et la communication client en cas de dégradation majeure.
Gestion des vulnérabilités et changements
DORA renforce l’attention portée aux vulnérabilités, aux correctifs et aux changements techniques. Un prestataire qui déploie une mise à jour non maîtrisée peut créer un incident opérationnel chez plusieurs clients financiers en même temps. Les processus de release, de tests, de validation, de journalisation et de retour arrière deviennent donc des éléments de preuve. Les équipes delivery doivent travailler avec les équipes sécurité et support pour éviter que la conformité reste cantonnée au service juridique.
Reporting d’incidents : se préparer à la pression temporelle
Les entités financières doivent notifier les incidents majeurs liés aux TIC selon des formats et délais encadrés. Les prestataires IT seront sollicités très tôt pour qualifier l’incident, fournir des éléments techniques, estimer l’impact, documenter la chronologie, identifier les clients touchés et soutenir la remédiation. Si le contrat ne prévoit pas cette organisation, la crise sera plus lente, plus coûteuse et plus conflictuelle.
Les fournisseurs doivent donc établir une procédure de reporting compatible avec les attentes financières : critères de gravité, circuit d’escalade, point de contact 24/7 si nécessaire, modèle de rapport, conservation des logs, communication des indicateurs et bilan post-incident. Cette préparation est particulièrement importante pour les prestataires mutualisés qui servent plusieurs entités financières avec la même plateforme.
Clauses contractuelles à surveiller
DORA rend les contrats plus exigeants. Les donneurs d’ordre financiers demanderont des clauses sur la description précise des services, les lieux de traitement, la sécurité, la disponibilité, les droits d’accès et d’audit, les niveaux de service, l’assistance en cas d’incident, la sous-traitance, la protection des données, la réversibilité et la stratégie de sortie. Ces clauses ne doivent pas être acceptées sans analyse économique et opérationnelle.
Pour une ESN ou un éditeur, le risque est d’accepter des obligations disproportionnées : audit illimité, délais de notification impossibles, responsabilité excessive, réversibilité non chiffrée ou interdiction de sous-traitance incompatible avec l’architecture réelle. La bonne approche consiste à préparer des positions contractuelles standards, argumentées et alignées avec la maturité de l’entreprise.
Plan d’action pour les prestataires IT
- Identifier les clients financiers : lister les contrats avec banques, assurances, fintechs, paiements et gestion d’actifs.
- Qualifier les services critiques : déterminer quels services soutiennent une fonction importante ou critique.
- Préparer les preuves : PCA, PRA, tests, sécurité, sous-traitants, localisation, logs, supervision et support.
- Réviser les clauses : audit, incident, sous-traitance, réversibilité, responsabilité, niveaux de service et assistance.
- Organiser la crise : définir les contacts, délais, modèles de rapport et responsabilités internes.
Le rôle de Flying squirrels
Flying squirrels aide les prestataires IT à ne pas subir DORA contrat par contrat. Nos commissions permettent de comparer les clauses reçues, d’identifier les demandes de marché excessives, de produire des positions sectorielles et de dialoguer avec les parties prenantes publiques et privées. Le rôle du syndicat est aussi de rappeler que la résilience du secteur financier dépend d’un écosystème numérique viable, incluant des PME et ETI capables d’investir sans être écrasées par des exigences disproportionnées.
Pour les dirigeants d’ESN et d’éditeurs, DORA est une opportunité de monter en gamme : mieux documenter les services, renforcer la confiance et clarifier la valeur de la résilience. Pour suivre nos analyses, accéder aux modèles de clauses et participer aux travaux collectifs, vous pouvez rejoindre Flying squirrels. La conformité DORA sera plus efficace si elle se construit avec les prestataires qui font réellement fonctionner les systèmes d’information financiers.