Ce que DORA impose
DORA est entré en vigueur en droit européen en janvier 2025. Les banques, les assureurs, les entreprises d'investissement et les prestataires de paiement doivent désormais gérer le risque lié à chaque fournisseur technologique qu'ils utilisent. Trois règles sont essentielles.
Clauses contractuelles obligatoires (Article 30). Chaque contrat avec un prestataire technologique doit couvrir quatre points : droits d'audit, délais de notification des incidents, plans de sortie et objectifs de performance. Ces clauses ne sont pas optionnelles.
Évaluations annuelles (Article 28). Les entreprises doivent vérifier chaque prestataire clé au moins une fois par an. Un prestataire est « clé » si sa défaillance perturberait le fonctionnement normal. Les outils d'anonymisation utilisés dans les processus de conformité entrent dans cette catégorie.
Registre des prestataires (Article 28(3)). Les entreprises doivent tenir une liste à jour de tous les contrats avec des tiers essentiels. La liste doit inclure les documents de sécurité pour chacun d'eux.
Réaliser des évaluations annuelles pour des dizaines de prestataires demande du temps. Une évaluation personnalisée — réalisée de zéro — prend en moyenne 40 à 80 heures par prestataire. Une banque néerlandaise disposant de 50 prestataires clés doit faire face à jusqu'à 4 000 heures de travail d'évaluation par an. Cela représente deux équivalents temps plein consacrés uniquement aux évaluations de prestataires.
ISO 27001 réduit le temps d'évaluation
La certification ISO 27001 offre aux entreprises une voie plus rapide pour satisfaire à l'obligation d'évaluation annuelle de DORA. L'organisme de certification réalise un audit de surveillance chaque année et un audit complet de recertification tous les trois ans. Le certificat porte une date d'expiration. Il reste valide uniquement si les vérifications annuelles sont concluantes.
Dans le cadre de la règle d'évaluation annuelle de DORA, une entreprise peut obtenir chaque année le certificat ISO 27001 en cours de validité du prestataire et vérifier sa date. Une date valide signifie qu'un organisme d'audit indépendant a examiné les 93 contrôles de sécurité du prestataire au cours des douze derniers mois. L'entreprise consigne cela dans le registre des prestataires. L'évaluation est terminée.
Le gain de temps est réel. Une banque néerlandaise vérifiant un outil d'anonymisation certifié consacre quelques heures à cette vérification. La même évaluation réalisée de zéro prend des semaines. Pour 20 tiers certifiés, l'économie annuelle peut atteindre 1 200 heures. Ce temps peut être réaffecté à d'autres tâches.
Pourquoi les outils de protection des données sont concernés
Les outils de protection des données et d'anonymisation relèvent de DORA lorsqu'une entreprise les utilise pour traiter des données clients, respecter le RGPD ou traiter des documents KYC. Si l'outil tombe en panne et que l'entreprise ne peut pas produire de résultats conformes au RGPD, l'outil est un tiers clé au sens de DORA. Il doit être évalué chaque année.
Notre guide de conformité RGPD explique les règles de minimisation des données. Voir aussi valeur de conformité en aval d'ISO 27001 et raccourcis d'évaluation des prestataires ISO 27001 pour en savoir plus sur la façon dont la certification réduit la charge de conformité.