Obligations ICT de DORA
La loi européenne sur la résilience opérationnelle numérique (DORA), en vigueur en janvier 2025, exige des institutions financières — banques, compagnies d'assurance, sociétés d'investissement, fournisseurs de services de paiement — qu'elles mettent en œuvre des programmes de gestion des risques tiers ICT rigoureux. Exigences clés :
Clauses contractuelles obligatoires (Article 30) : DORA spécifie des clauses obligatoires pour les contrats avec les fournisseurs de services tiers ICT, y compris des dispositions pour un accès complet, des droits d'inspection et d'audit ; des délais de notification d'incidents ; des stratégies de sortie ; et des normes de performance.
Évaluations annuelles (Article 28) : Les institutions financières doivent effectuer une diligence raisonnable sur tous les fournisseurs de services tiers ICT matériels au moins une fois par an. "Matériel" est défini de manière large — tout fournisseur ICT dont la perturbation affecterait significativement les opérations, y compris les outils d'anonymisation utilisés dans les flux de travail de conformité.
Registre des tiers ICT (Article 28(3)) : Les institutions financières doivent maintenir et mettre à jour un registre de tous les accords de tiers ICT matériels, y compris la documentation de sécurité.
Gérer les réévaluations annuelles de dizaines de fournisseurs ICT est coûteux sur le plan opérationnel. L'estimation typique pour une évaluation personnalisée non structurée : 40 à 80 heures par fournisseur par an. Pour une banque néerlandaise avec 50 fournisseurs ICT matériels, les évaluations annuelles représentent 2 000 à 4 000 heures de temps d'équipe de conformité — l'équivalent d'un à deux membres du personnel à temps plein dédiés exclusivement à l'évaluation des fournisseurs.
Le raccourci de l'évaluation annuelle ISO 27001
La valeur de la certification ISO 27001 pour la conformité à DORA réside dans sa structure de surveillance annuelle. L'organisme de certification effectue des audits de surveillance chaque année et des audits de recertification tous les trois ans. La certification reste valide tant que les audits de surveillance confirment la conformité continue. Le certificat lui-même a une date d'expiration.
Pour l'exigence d'évaluation annuelle de DORA, une institution financière peut satisfaire à la norme "diligence raisonnable effectuée" en tirant le certificat ISO 27001 actuel du fournisseur chaque année et en vérifiant sa validité. Le certificat démontre qu'un organisme d'audit indépendant a évalué les 93 contrôles de sécurité du fournisseur au cours de l'année écoulée. Cette preuve est documentée dans le registre des tiers ICT.
Une banque néerlandaise soumise à DORA peut évaluer un fournisseur d'anonymisation certifié ISO 27001 en vérifiant la validité du certificat — prenant des heures plutôt que des semaines. La banque économise 60 heures de temps d'évaluation par fournisseur par an. Sur 20 fournisseurs certifiés ISO 27001 dans leur registre, l'économie annuelle représente 1 200 heures — suffisamment pour réaffecter des ressources de conformité significatives.
La pertinence de DORA pour les outils de confidentialité
Les outils de confidentialité et d'anonymisation sont des fournisseurs ICT dans le champ d'application de DORA pour les institutions financières qui les utilisent pour traiter des données clients, se conformer au RGPD, préparer des soumissions réglementaires ou gérer la documentation KYC. Un outil d'anonymisation qui traite des données clients est un fournisseur ICT matériel si sa perturbation empêcherait l'institution de se conformer aux exigences de minimisation des données du RGPD ou de produire des soumissions réglementaires conformes au RGPD.
Sources :
- Règlement DORA : Articles 28-30 de la loi européenne sur la résilience opérationnelle numérique concernant les exigences des fournisseurs ICT
- Atlass Systems : Intégration de l'ISO 27001 et du registre des risques fournisseurs DORA
- MiFID II : Exigences de surveillance des fournisseurs pour la technologie des services financiers