DORA et sous-traitants ICT : registre des tiers, obligations et critiques TLPT pour banques et assurances

DORA (Digital Operational Resilience Act, règlement UE 2022/2554) impose aux entités financières de tenir un registre complet de tous leurs prestataires ICT tiers, de leur imposer des clauses contractuelles obligatoires, et de réaliser des TLPT (Threat-Led Penetration Testing) pour les prestataires critiques. Ces obligations sont pleinement applicables depuis le 17 janvier 2025.

Le registre des tiers ICT : obligation centrale de DORA

L'article 28 de DORA oblige les entités financières à maintenir un registre documenté de tous les accords contractuels conclus avec des prestataires tiers de services ICT. Ce registre n'est pas un inventaire informatique classique — c'est un document de gouvernance qui doit comporter :

| Élément obligatoire | Détail |
|---|---|
| Identité du prestataire | Nom légal, pays de siège, identifiant LEI |
| Nature des services ICT | Catégorie fonctionnelle (cloud, SaaS, réseau, sécurité…) |
| Criticité du service | Classification selon le risque de concentration et d'impact |
| Géolocalisation des données | Pays de traitement, de stockage, de sauvegarde |
| Droits d'audit | Confirmation que le contrat prévoit accès de l'autorité compétente |
| Date de début et fin contractuelle | Durée, options de renouvellement |
| Stratégie de sortie | Plan de substitution en cas de résiliation ou défaillance |

Le registre doit être transmis aux autorités compétentes (ACPR en France, BaFin en Allemagne, ECB pour les établissements importants) sur demande ou selon le calendrier fixé par les RTS (Regulatory Technical Standards) publiés par les AES (EBA, ESMA, EIOPA).

Périmètre : qui inclure dans le registre ?

Tous les prestataires qui fournissent des services ICT à l'entité financière, qu'ils soient directs ou au travers de la chaîne de sous-traitance. DORA introduit la notion de "concentration de risques" : si plusieurs entités financières dépendent du même prestataire pour un service critique, ce prestataire peut être désigné "tiers critique" au niveau UE par la Commission européenne, ce qui déclenche une surveillance renforcée par une autorité de surveillance désignée (JON — Joint Oversight Network).

Les clauses contractuelles obligatoires imposées par DORA

L'article 30 de DORA liste les clauses minimales que tout contrat avec un prestataire ICT tiers doit contenir. Les contrats existants ont dû être mis à jour avant le 17 janvier 2025 — ou à leur prochaine date de renouvellement si antérieure.

Clauses obligatoires :

1. **Description précise des services** — périmètre fonctionnel, niveaux de service (SLA), indicateurs de performance
2. **Localisation des données et des traitements** — pays de traitement, pays de sauvegarde, conditions de transfert hors UE
3. **Droits d'accès et d'audit** — droit d'accès de l'entité financière et de l'autorité compétente aux locaux, systèmes, journaux et données du prestataire
4. **Continuité de service** — obligations du prestataire en cas d'incident, délais de reprise, garanties de disponibilité
5. **Sécurité de l'information** — standards de sécurité applicables, gestion des vulnérabilités, notification des incidents
6. **Conditions de résiliation** — motifs, préavis, obligations du prestataire post-résiliation
7. **Stratégie de sortie** — support du prestataire pour la migration vers un successeur

L'ABE (Autorité Bancaire Européenne) a publié des guidelines sur les clauses contractuelles DORA (EBA/GL/2024/05). Ces guidelines ne sont pas contraignantes mais servent de référence pour les contrôles ACPR.

Les prestataires ICT critiques : un statut spécifique à surveiller

DORA crée une catégorie particulière : les **prestataires tiers ICT critiques** (CTPP — Critical Third-Party Providers). Ce statut est attribué par la Commission européenne sur la base de critères définis dans les RTS :

- Nombre d'entités financières clientes dans l'UE
- Volumes de données traitées
- Caractère substituable du service
- Interdépendance avec l'infrastructure financière critique

Les prestataires désignés comme critiques sont soumis à la surveillance directe des AES (EBA, ESMA ou EIOPA selon le secteur) via le mécanisme JON. En pratique, les grands fournisseurs cloud (AWS, Microsoft Azure, Google Cloud), les principaux fournisseurs de solutions bancaires core (Temenos, FIS, Finastra) et certains prestataires de paiement sont candidates à ce statut.

Ce que signifie la désignation CTPP pour l'entité financière cliente

Si votre prestataire ICT est désigné CTPP, vous devez en informer votre autorité compétente nationale. Vous n'avez pas d'obligation directe supplémentaire vis-à-vis du JON — c'est le prestataire qui est surveillé, pas vous. En revanche, les informations remontées lors de la surveillance JON peuvent alimenter des recommandations ou des injonctions qui vous affectent indirectement.

TLPT : les tests de pénétration guidés par les menaces

Les TLPT (Threat-Led Penetration Testing) sont la mesure la plus exigeante de DORA. L'article 26 impose aux entités significatives de réaliser ces tests au moins tous les 3 ans sur les systèmes critiques et les prestataires ICT qui les soutiennent.

**Qui est soumis aux TLPT ?** Les TLPT ne s'appliquent pas à toutes les entités financières, mais aux entités désignées comme significatives par leur autorité compétente nationale (en France, l'ACPR et l'AMF désignent les établissements soumis). Les petites entités financières bénéficient d'une exemption.

**Particularité majeure :** les TLPT peuvent inclure des tests sur les systèmes des prestataires ICT tiers si ceux-ci sont en scope critique. Cela suppose que le prestataire consente à ces tests dans le contrat. L'obligation d'inclure cette clause dans les contrats ICT est précisément couverte par l'article 30.4 de DORA.

**Processus TLPT :**
1. L'entité financière définit le périmètre de test (systèmes, prestataires ICT inclus)
2. Elle sélectionne un testeur externe certifié (selon le cadre TIBER-EU ou équivalent national)
3. Les tests sont réalisés en mode "red team" sur la base d'un profil de menace réel (threat intelligence)
4. Le rapport est remis à l'autorité compétente
5. L'autorité délivre une attestation DORA TLPT qui vaut pour les entités partagées (mutualisabilité des TLPT)

Plan d'action pratique pour les équipes conformité et IT

Les entités financières qui n'ont pas encore finalisé leur mise en conformité DORA sur le volet tiers ICT doivent prioritairement :

1. **Inventorier tous les prestataires ICT** — y compris les contrats anciens, les sous-traitants de sous-traitants pour les services critiques, et les fournisseurs SaaS acquis par des équipes métier sans validation IT
2. **Classifier chaque prestataire** selon le niveau de criticité et l'impact potentiel d'une défaillance sur les opérations
3. **Auditer les contrats existants** pour vérifier la présence de toutes les clauses obligatoires de l'article 30
4. **Renégocier ou amender les contrats non conformes** — les prestataires majeurs ont généralement des riders DORA disponibles
5. **Construire le registre formel** dans le format requis par les RTS et l'intégrer dans le processus de gouvernance des risques
6. **Identifier les prestataires en scope TLPT** et prévoir les tests dans le planning sur 3 ans

Les équipes IT et conformité qui s'appuient sur un outil de gestion des risques tiers (TPRM — Third Party Risk Management) gèrent plus facilement cette conformité que celles qui travaillent sur tableur.

Conclusion

La conformité DORA sur le volet tiers ICT n'est pas une formalité administrative — c'est une refonte des pratiques de gestion des prestataires IT. Le registre des tiers, les clauses contractuelles obligatoires et les TLPT imposent une collaboration étroite entre les équipes juridiques, IT, conformité et achats. Les autorités compétentes européennes ont commencé leurs premiers contrôles en 2025 et les demandes de justification arrivent.