La supervision directe des prestataires ICT critiques est probablement l'innovation la plus audacieuse du règlement DORA. Pour la première fois, des entreprises technologiques — qui ne sont pas des entités financières — se retrouvent sous la surveillance directe des autorités de régulation financière européennes. C'est un changement de paradigme pour les hyperscalers, les éditeurs de core banking et les autres fournisseurs technologiques structurants du secteur financier.
Jusqu'ici, un cloud provider pouvait héberger les systèmes critiques de dizaines de banques européennes sans avoir aucun régulateur financier en face. DORA met fin à cette asymétrie.
Le mécanisme de désignation — comment ça fonctionne
La désignation d'un prestataire ICT comme "critique" est un processus centralisé, piloté par les trois Autorités Européennes de Surveillance (AES) via le Comité Conjoint. Ce n'est pas une décision nationale — c'est une décision européenne.
Les critères de désignation
L'article 31(2) définit les critères, détaillés dans les RTS du lot 2 :
| Critère | Indicateurs mesurés | Seuils indicatifs |
|---|---|---|
| Impact systémique | Nombre d'entités financières clientes, volume de transactions supporté | Pas de seuil fixe — analyse qualitative |
| Degré de dépendance | Part des entités financières utilisant ce prestataire pour des fonctions critiques | Concentration significative |
| Substituabilité | Existence d'alternatives, complexité de migration, verrouillage technique | Faible substituabilité = facteur aggravant |
| Interconnexion | Dépendances croisées, effet domino en cas de défaillance | Analyse de scénarios |
Le processus se nourrit des registres d'informations transmis par les entités financières. Quand les AES agrègent ces registres à l'échelle européenne, les concentrations deviennent visibles. Si 200 banques européennes hébergent leur infrastructure de paiement chez le même provider, c'est un signal fort de criticité systémique.
Qui sera désigné ?
Les AES n'ont pas encore publié la liste officielle au moment d'écrire ces lignes. Mais les candidats les plus probables sont bien identifiés par le marché : les trois grands hyperscalers cloud (AWS, Microsoft Azure, Google Cloud), certains éditeurs de core banking (FIS, Temenos, Finastra), des fournisseurs d'infrastructure de marché (Bloomberg, Refinitiv), et potentiellement des fournisseurs de services de cybersécurité critiques.
La liste sera revue périodiquement — un prestataire peut être ajouté ou retiré en fonction de l'évolution de son rôle dans le secteur financier.
Le superviseur principal — qui supervise quoi
Chaque prestataire critique se voit attribuer un superviseur principal parmi les trois AES :
| AES | Compétence sectorielle | Exemples de prestataires potentiellement supervisés |
|---|---|---|
| EBA | Bancaire, paiements | Prestataires critiques pour les banques |
| EIOPA | Assurance, retraite | Prestataires critiques pour les assureurs |
| ESMA | Marchés, investissement | Prestataires critiques pour les marchés financiers |
L'attribution dépend du profil des entités financières clientes. Si un cloud provider sert principalement des banques, c'est l'EBA qui sera superviseur principal. Si la base clients est mixte, le Comité Conjoint tranche.
Les pouvoirs du superviseur principal
Les articles 35 à 39 confèrent des pouvoirs étendus au superviseur principal. Et ce n'est pas symbolique.
Droit d'information
Le superviseur peut exiger du prestataire toute information nécessaire à l'exercice de sa mission. Rapports d'audit, résultats de tests de sécurité, plans de continuité, données de performance, incidents passés — tout est potentiellement demandable.
Inspections générales et sur site
Le superviseur peut conduire des inspections — y compris physiques, dans les locaux et datacenters du prestataire. Imaginez des inspecteurs de l'EBA dans un datacenter AWS à Dublin. C'est exactement ce que DORA rend possible.
Recommandations
Sur la base de ses analyses, le superviseur émet des recommandations au prestataire. Renforcer telle mesure de sécurité, modifier tel processus de gestion des incidents, améliorer tel plan de continuité. Le prestataire doit expliquer comment il compte mettre en œuvre ces recommandations — ou justifier pourquoi il ne le fera pas.
Astreintes
En cas de non-coopération, le superviseur peut imposer des astreintes allant jusqu'à 1% du chiffre d'affaires mondial journalier moyen du prestataire. Pour un hyperscaler réalisant 80 milliards de dollars de chiffre d'affaires annuel, 1% du CA journalier représente environ 2,2 millions de dollars par jour d'astreinte. Le message est clair.
Impact pour les entités financières clientes
Si votre principal prestataire cloud est désigné comme critique, qu'est-ce que ça change pour vous ?
D'un côté, c'est plutôt rassurant. Le prestataire sera soumis à un niveau de scrutin qu'aucun audit client individuel ne pourrait atteindre. Les faiblesses de sécurité seront identifiées et corrigées plus rapidement.
De l'autre, ça crée des obligations indirectes. Vous devrez probablement participer à des exercices coordonnés par le superviseur, fournir des informations sur votre utilisation du prestataire, et ajuster vos propres pratiques en fonction des recommandations émises.
Et surtout, la désignation ne vous décharge PAS de vos propres obligations de gestion des risques tiers. Vous restez responsable de votre due diligence, de vos clauses contractuelles, de vos plans de sortie et de vos tests de résilience.
La réaction des prestataires technologiques
Les grands prestataires ont vu venir DORA et se préparent activement. AWS a lancé son programme "DORA Compliance" fin 2024. Microsoft Azure a publié des guides de conformité spécifiques. Google Cloud a renforcé ses équipes de relations réglementaires en Europe.
Mais les avis divergent dans l'industrie. Certains prestataires voient DORA comme une charge réglementaire injuste — ils ne sont pas des entités financières, pourquoi seraient-ils supervisés comme telles ? D'autres y voient une opportunité de différenciation : être capable de démontrer sa conformité DORA devient un argument commercial face aux entités financières qui doivent justifier leur choix de prestataire.
FAQ — Prestataires ICT critiques
Un prestataire peut-il contester sa désignation ?
Oui. L'article 32 prévoit un droit de réponse avant la désignation finale. Le prestataire peut soumettre des observations motivées aux AES. Si la désignation est maintenue, un recours devant la Cour de justice de l'UE est possible.
Les prestataires critiques hors UE sont-ils concernés ?
Oui, si leurs services sont utilisés par des entités financières européennes. Le mécanisme de supervision peut s'exercer via les filiales ou succursales européennes du prestataire. L'article 31(12) prévoit que les AES puissent exiger la création d'une filiale européenne pour faciliter la supervision.
Le coût de la supervision est-il supporté par le prestataire ?
Oui. L'article 43 prévoit que les frais de supervision soient couverts par des redevances facturées aux prestataires ICT critiques. Le montant sera défini par acte délégué. En pratique, ces coûts seront probablement répercutés — au moins partiellement — sur les clients via les tarifs des services.
La supervision directe des prestataires ICT critiques redessine la frontière entre régulation financière et industrie technologique. C'est une réponse proportionnée au risque systémique que représente la concentration des services numériques du secteur financier chez quelques acteurs dominants. Pour le cadre complet, consultez notre guide DORA.