DORA 2025 : registre des prestataires TIC et procédure de signalement d'incidents

Le règlement DORA ((UE) 2022/2554), applicable depuis le 17 janvier 2025, impose à toutes les entités financières de l'UE deux obligations interconnectées : tenir un registre complet des arrangements contractuels avec les tiers prestataires TIC, et notifier les incidents ICT majeurs aux autorités compétentes dans des délais stricts. Ces deux dispositifs forment le cœur de la résilience opérationnelle numérique exigée par DORA.

Le registre des prestataires TIC : obligations et contenu

L'article 28 du règlement DORA impose à chaque entité financière de tenir et maintenir à jour un registre exhaustif de tous les arrangements contractuels avec des tiers fournisseurs de services TIC. Ce registre n'est pas une simple liste administrative : c'est un outil de gouvernance des risques, auditable par les superviseurs à tout moment.

Informations obligatoires par contrat TIC

Pour chaque arrangement contractuel, le registre doit documenter : l'identité complète du prestataire (dénomination sociale, LEI, pays d'établissement), la nature précise des services fournis, la qualification de la fonction supportée (critique, importante ou autre selon les critères DORA), les conditions contractuelles (durée, renouvellement, résiliation), le lieu de traitement et de stockage des données, les résultats des audits de sécurité les plus récents, et les incidents notifiables survenus chez le prestataire au cours des 12 derniers mois.

Distinction critique / important / standard

La classification des fonctions supportées est centrale dans la logique DORA. Une fonction est 'critique' si sa perturbation aurait un impact systémique sur les marchés financiers ou sur la fourniture de services essentiels aux clients. Une fonction 'importante' est significative sans atteindre ce seuil systémique. Cette classification détermine les exigences contractuelles minimales et le niveau de surveillance du prestataire — y compris le droit d'audit et les clauses de sortie.

Transmission aux autorités compétentes

Le registre doit être transmis aux autorités compétentes (ACPR en France, BaFin en Allemagne, etc.) sur leur demande. Des déclarations annuelles agrégées sont également requises. Les normes techniques d'exécution (ITS) DORA précisent le format de transmission et les champs obligatoires. Les entités disposent d'un délai de mise en conformité progressive, mais le registre doit être opérationnel depuis le 17 janvier 2025.

La procédure de signalement des incidents ICT : délais et contenus

L'article 19 du règlement DORA établit un cadre de notification des incidents ICT majeurs en trois étapes, avec des délais impératifs. Le non-respect de ces délais expose l'entité à des sanctions administratives pouvant atteindre 10 millions d'euros ou 5 % du chiffre d'affaires annuel mondial.

Notification initiale — délai : 4 heures

Dès qu'un incident ICT est qualifié de majeur (selon les critères de l'article 18 : nombre de clients affectés, durée de l'interruption, données compromises, impact financier), une notification initiale doit parvenir à l'autorité compétente dans un délai de 4 heures après la détection. Ce premier rapport est sommaire : il décrit l'incident, son impact initial estimé et les premières mesures prises.

Rapport intermédiaire — délai : 72 heures

Dans les 72 heures suivant la notification initiale, l'entité transmet un rapport intermédiaire détaillant l'évolution de la situation, les systèmes affectés, l'étendue réelle des perturbations, les mesures d'endiguement mises en œuvre et les premières estimations d'impact financier.

Rapport final — délai : 1 mois

Le rapport final, transmis dans le mois suivant la résolution de l'incident, comprend une analyse approfondie des causes racines, un bilan complet des impacts (clients affectés, données compromises, pertes financières), les mesures correctives permanentes déployées et les améliorations apportées aux processus de gestion des risques ICT. Ce rapport peut être demandé par l'autorité compétente même après clôture de l'incident.

Critères de qualification d'un incident ICT majeur

Tous les incidents ICT ne doivent pas être notifiés — seuls les incidents 'majeurs' selon des critères précis définis par les RTS DORA (regulatory technical standards). Les principaux critères sont : nombre de clients affectés (seuil variable selon la taille de l'entité), durée de l'indisponibilité (généralement > 2 heures pour les services critiques), étendue géographique de l'impact, montant des pertes financières directes, et nature des données compromises (données personnelles, secrets d'affaires, informations privilégiées).

Gouvernance : qui est responsable dans l'entité ?

DORA exige que l'organe de direction soit directement impliqué dans la gouvernance du risque ICT. En pratique, le Comité des risques (ou Risk Committee) est l'instance de supervision du registre et des procédures de signalement. La DSI et la direction de la conformité assurent l'exécution opérationnelle. Il est recommandé de désigner un 'DORA Owner' — responsable de la conformité DORA — avec un mandat et des ressources explicites.

Conclusion

Le registre des prestataires TIC et la procédure de signalement des incidents sont les deux piliers opérationnels de DORA les plus susceptibles de faire l'objet d'un contrôle lors d'une inspection supervisory. Les entités qui n'ont pas encore formalisé ces dispositifs sont en situation de non-conformité depuis le 17 janvier 2025 et s'exposent à des sanctions croissantes à mesure que les autorités montrent en puissance dans leurs inspections.