ISGroup Conseil en Cybersécurité

DORA : gestion du risque fournisseurs TIC et résilience opérationnelle

Le Digital Operational Resilience Act (DORA) étend la gestion de la résilience opérationnelle des entités financières au-delà de leur infrastructure interne, en incluant dans l’évaluation les fournisseurs TIC tiers et l’ensemble de la chaîne d’approvisionnement, avec une attention particulière portée à la continuité opérationnelle et aux services TIC tiers qui soutiennent des fonctions vitales pour l’entreprise.

Tests DORA et dépendances externes

DORA établit que toute perturbation chez des fournisseurs critiques peut générer des crises systémiques susceptibles de menacer la stabilité du secteur financier. Les entités financières conservent la responsabilité finale de la conformité et de la gestion des risques, même pour les opérations externalisées. Les programmes de tests de résilience sont donc étendus aux dépendances externes afin d’assurer la résistance et le rétablissement des services, même en cas d’incidents affectant les partenaires technologiques.

Fonctions critiques ou importantes soutenues par des tiers

Les fournisseurs TIC qui soutiennent des fonctions critiques ou importantes (CIF) sont soumis à des exigences de surveillance et de test particulièrement rigoureuses. Il est demandé aux entités financières de :

  • Identifier de manière explicite dans le registre d’informations quels actifs et fournisseurs soutiennent les fonctions critiques ou importantes.
  • Évaluer l’impact potentiel d’une défaillance du fournisseur sur la résilience opérationnelle et la continuité des services.
  • Inclure les systèmes « live » des fournisseurs qui soutiennent des CIF dans le périmètre des tests avancés (TLPT).

Due diligence, clauses contractuelles et gestion des vulnérabilités

La gestion du risque TIC lié aux tiers (Third-party risk) selon DORA s’articule sur tout le cycle de vie de la relation avec le fournisseur :

  • Due Diligence : Avant de contractualiser avec un fournisseur pour une fonction critique ou importante, il est nécessaire d’évaluer sa réputation, ses ressources techniques et financières, ainsi que ses normes de sécurité de l’information.
  • Clauses contractuelles : Les contrats doivent détailler les services, établir les niveaux de service (SLA) attendus, et prévoir des droits d’accès, d’inspection et d’audit.
  • Gestion des vulnérabilités (Vulnerability Handling) : Les fournisseurs sont tenus de gérer les vulnérabilités liées aux services fournis, d’en analyser les causes profondes et de signaler rapidement les risques critiques à l’entité financière.

Auditabilité et registre d’informations

Toutes les entités financières doivent tenir à jour un registre d’informations (Register of Information – RoI) qui répertorie chaque accord contractuel avec des fournisseurs TIC tiers. Ce registre :

  • Offre aux autorités compétentes une vue d’ensemble sur les dépendances technologiques et les risques de concentration.
  • Permet la traçabilité de la chaîne de sous-traitance, en identifiant les sous-traitants matériels impliqués dans les fonctions critiques ou importantes.
  • Permet à l’entité d’exercer ses droits d’audit et de test tout au long de la chaîne de valeur technologique.

Erreurs fréquentes avec le cloud et les MSP

  • Faible pouvoir de négociation : Les entités ont souvent des difficultés à imposer des clauses de test personnalisées aux grands fournisseurs de services Cloud, mais DORA exige que ces clauses soient présentes dès la phase contractuelle.
  • Manque de visibilité sur les sous-traitants : Se limiter à la surveillance du fournisseur direct est une erreur ; il est nécessaire d’obtenir une visibilité également sur les sous-traitants et sur leur participation effective aux services critiques.
  • Confusion sur les responsabilités : L’externalisation n’implique pas une délégation totale de responsabilité ; l’entité doit s’assurer que les mesures de sécurité des prestataires sont alignées avec ses propres politiques.

FAQ

  • Peut-on demander des preuves de VA/PT aux fournisseurs ?
  • Oui. Les entités financières sont titulaires du droit contractuel de demander des rapports d’audit, des certifications de sécurité tierces (comme ISO ou SOC), ou les résultats des tests menés par le fournisseur pour valider la sécurité des systèmes.
  • DORA exige-t-il des audits sur tous les prestataires ?
  • Tous les fournisseurs doivent être inclus dans la stratégie de risque, mais des audits indépendants et des vérifications approfondies sont obligatoires exclusivement pour les services TIC qui soutiennent des fonctions critiques ou importantes.
  • Comment gérer les sous-traitants ?
  • Le contrat avec le fournisseur direct doit garantir que les sous-traitants critiques accordent les mêmes droits d’accès, d’inspection et d’audit, et qu’ils participent aux tests de résilience opérationnelle lorsque cela est requis.

Third-party testing readiness assessment

Ne laissez pas de zones d’ombre dans votre résilience : demandez dès aujourd’hui une évaluation de préparation aux tests tiers (Third-party testing readiness assessment) pour cartographier vos fournisseurs critiques et valider vos droits d’audit et de test conformément à DORA.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *