DORA s'applique-t-il aux prestataires IT qui ne sont pas dans la finance ?

DORA s'applique directement aux entités financières (banques, assurances, fintechs, gestionnaires d'actifs). Les prestataires IT non financiers ne sont pas directement soumis à DORA, mais leurs contrats avec des entités financières doivent désormais inclure des clauses contractuelles spécifiques imposées par DORA — notamment sur les audits, les incidents, et la sous-traitance. En pratique, tout prestataire IT travaillant avec le secteur financier est fortement impacté.

Qu'est-ce qu'un prestataire TIC critique selon DORA ?

Les prestataires TIC critiques (CTPP — Critical Third-Party Providers) sont désignés par les Autorités de Surveillance Européennes (ABE, AEAPP, AEMF) sur la base de critères de concentration systémique : plus de 10 % des entités financières UE dépendent du prestataire, ou une défaillance du prestataire pourrait créer un risque systémique. En 2025, les premiers CTPP ont été désignés — principalement les grands hyperscalers (AWS, Microsoft Azure, Google Cloud).

Quelles clauses contractuelles DORA impose-t-il dans les contrats IT ?

DORA impose d'inclure dans tous les contrats IT des entités financières : une description précise des services, les SLA mesurables, le droit à l'audit pour l'entité financière et ses régulateurs, les obligations de signalement des incidents en 4h/24h/72h, les clauses de continuité en cas de défaillance du prestataire, les conditions de résiliation permettant une migration ordonnée, et les droits d'accès aux données en fin de contrat.

DORA 2025 : obligations des prestataires IT pour le secteur financier

Q: Comment se préparer à un audit DORA en tant que prestataire IT ?

Pour se préparer aux audits DORA : documenter l'architecture technique et les procédures opérationnelles, maintenir un registre des sous-traitants et de la chaîne de dépendances, implémenter un processus de gestion des incidents avec logs horodatés, réaliser des tests de résilience (TLPT si critique), et désigner un responsable conformité DORA. Les entités financières peuvent diligenter des audits à tout moment.

Q: DORA s'applique-t-il aux fintechs françaises ?

Oui. DORA s'applique à toutes les entités financières établies dans l'UE, y compris les fintechs françaises disposant d'un agrément (EME, EP, PSP, CIF, etc.). Les micro-entreprises financières bénéficient d'un régime simplifié pour certaines obligations (notamment les tests de résilience), mais les obligations contractuelles avec les prestataires IT s'appliquent intégralement.

DORA et les prestataires IT : l'essentiel pour 2025-2026

Obligations DORA selon le profil du prestataire IT :

Profil	Obligations directes	Obligations contractuelles
Prestataire IT standard	Aucune (DORA indirect)	Clauses contractuelles DORA
Fournisseur cloud critique (CTPP)	Supervision directe ASE	Accès audits, TLPT, reporting
Entité financière (cliente DORA)	Conformité DORA complète	Exige conformité fournisseurs

DORA — le règlement européen sur la résilience opérationnelle numérique du secteur financier (EU 2022/2554) — est entré pleinement en vigueur le 17 janvier 2025. Si vous êtes une entité financière (banque, assurance, fintech, gestionnaire d'actifs), vos obligations sont étendues. Si vous êtes un prestataire IT travaillant avec le secteur financier, DORA vous affecte indirectement mais de manière très concrète.

Qui est directement soumis à DORA ?

L'article 2 de DORA liste 21 catégories d'entités financières assujetties :

Établissements de crédit (banques) et établissements de monnaie électronique
Prestataires de services de paiement (PSP, établissements de paiement)
Entreprises d'investissement et sociétés de gestion d'actifs
Entreprises d'assurance et de réassurance (ACPR)
Fournisseurs de services de crypto-actifs (PSCA)
Infrastructures de marchés financiers (chambres de compensation, dépositaires)
Agences de notation de crédit et auditeurs tiers
Fintechs disposant d'un agrément (CIF, CGP agréés, etc.)

Les micro-entreprises financières (moins de 10 salariés, moins de 2 M€ de bilan) bénéficient d'un régime allégé pour certaines obligations (tests de résilience, certification tierce). Mais les obligations contractuelles avec les prestataires IT s'appliquent à toutes les entités sans exception de taille.

Les 5 piliers de la conformité DORA pour les entités financières

Pilier 1 : Gestion des risques TIC

Toute entité financière doit disposer d'un cadre de gestion des risques TIC approuvé par son organe de direction. Ce cadre doit couvrir l'identification des actifs critiques, l'évaluation des risques, les mesures de protection et prévention, la détection des anomalies, et les plans de réponse et de rétablissement. La direction est personnellement responsable de l'approbation et du contrôle de ce cadre.

Pilier 2 : Gestion des incidents TIC

DORA impose un processus structuré de gestion des incidents en 3 phases :

Notification initiale : dans les 4 heures suivant la détection d'un incident majeur à l'autorité compétente (ACPR pour les banques et assurances, AMF pour les entreprises d'investissement)
Rapport intermédiaire : dans les 24 heures avec une première évaluation de l'impact
Rapport final : dans les 72 heures avec analyse complète des causes et mesures correctives

Pilier 3 : Tests de résilience opérationnelle numérique

Les entités financières doivent soumettre leurs systèmes à des tests réguliers :

Tests de base annuels pour toutes les entités : scans de vulnérabilités, tests de pénétration, évaluations d'impact business
TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités significatives : tests avancés par red teams certifiés TIBER-EU

Pilier 4 : Risques des prestataires TIC tiers

C'est le pilier qui impacte directement les prestataires IT. Les entités financières doivent :

Maintenir un registre des prestataires TIC avec classification par criticité
Inclure des clauses contractuelles obligatoires dans tous les contrats IT (voir ci-dessous)
Exercer une surveillance continue des prestataires critiques
Disposer de plans de sortie permettant une migration en cas de défaillance ou résiliation

Pilier 5 : Partage d'information

DORA crée un cadre pour le partage volontaire d'informations sur les cybermenaces entre entités financières et avec les autorités. Ce partage bénéficie d'une protection contre les risques de compliance (les informations partagées ne peuvent pas être utilisées contre l'entité qui les partage).

Les clauses contractuelles obligatoires pour les prestataires IT

L'article 30 de DORA liste les clauses devant figurer dans tout contrat entre une entité financière et un prestataire TIC :

Description précise des services : perimeter des services, qualité, localisations géographiques, sous-traitants
SLA mesurables : indicateurs de disponibilité, temps de réponse, capacité
Droit d'audit : accès sans restriction pour l'entité financière, ses auditeurs internes/externes, et les autorités de supervision
Notification d'incidents : obligation du prestataire de notifier l'entité dans des délais compatibles avec les obligations DORA (4h/24h/72h)
Continuité des services : plans de continuité, procédures de secours, objectifs de reprise (RTO/RPO)
Résiliation et migration : conditions de résiliation permettant une migration ordonnée, sans pénalités disproportionnées
Accès aux données : droits d'accès aux données en cas de résiliation ou défaillance, destruction certifiée
Chaîne de sous-traitance : transparence sur les sous-traitants critiques, accord préalable pour les changements

Les prestataires TIC critiques (CTPP) : supervision directe

DORA crée une catégorie spéciale : les prestataires TIC critiques (Critical Third-Party Providers — CTPP), soumis à une supervision directe des Autorités de Surveillance Européennes (ASE). En 2025, les premiers CTPP ont été désignés — principalement les grands fournisseurs cloud (AWS, Microsoft Azure, Google Cloud, Salesforce).

Pour les CTPP, les obligations vont au-delà des exigences contractuelles :

Désignation d'un responsable liaison avec l'ASE coordinatrice
Fourniture d'informations complètes sur l'architecture, la sécurité, et les concentrations de risque
Soumission aux inspections sur site des ASE
Mise en conformité avec les recommandations de supervision dans des délais définis

Ce que les prestataires IT doivent faire maintenant

Si vous êtes un prestataire IT travaillant avec le secteur financier, voici les démarches prioritaires :

Auditer vos contrats existants : vérifiez que les clauses DORA obligatoires sont présentes. Si vous avez des contrats anciens, proposez des avenants à vos clients financiers
Implémenter le reporting d'incidents : mettez en place un processus pour notifier vos clients financiers dans les 4 heures suivant tout incident significatif
Préparer la documentation d'audit : architecture technique, procédures opérationnelles, plan de continuité, sous-traitants
Cartographier votre chaîne de sous-traitance : identifiez vos propres prestataires TIC et évaluez leur résilience
Former vos équipes aux exigences DORA — notamment les équipes commerciales qui négocient les contrats et les équipes opérationnelles qui gèrent les incidents

FAQ DORA pour les prestataires IT

DORA s'applique-t-il aux prestataires IT non financiers ?

Pas directement. Mais via les obligations contractuelles imposées aux entités financières, tout prestataire IT du secteur est impacté dans ses contrats et procédures opérationnelles.

Qu'est-ce qu'un prestataire TIC critique ?

Un CTPP désigné par les ASE en raison de sa concentration systémique. En 2025 : principalement AWS, Azure, Google Cloud. Soumis à supervision directe des ASE.

Quelles clauses contractuelles DORA impose-t-il ?

SLA mesurables, droit d'audit, notification d'incidents en 4h, plans de continuité, clauses de résiliation sans pénalité disproportionnée, transparence sur la sous-traitance.

Comment se préparer à un audit DORA ?

Documenter l'architecture, maintenir un registre des sous-traitants, implémenter un processus de gestion des incidents avec logs, désigner un responsable conformité DORA.

DORA s'applique-t-il aux fintechs françaises ?

Oui, toutes les fintechs agréées (EME, EP, CIF, PSP, etc.) sont soumises à DORA. Les micro-entreprises bénéficient d'obligations allégées sur les tests, mais pas sur les contrats IT.