Au cours de la dernière décennie, les entités financières ont intensifié leurs recours à des prestataires externes pour soutenir la croissance de leurs offres et produits, optimiser leurs processus internes, ou étendre leur champ d’intervention. En bénéficiant de l’expertise de prestataires spécialisés qui investissent massivement en recherche et développement elles peuvent accéder à des services élargis et de qualité supérieure. Elles gagent également en agilité opérationnelle, pouvant ainsi adapter plus facilement leurs capacités en fonction de l’évolution des besoins du marché. Enfin, elles réduisent leurs coûts fixes et transforment certaines charges en dépenses variables, renforçant ainsi leur flexibilité.
Cette évolution s’étend désormais à leurs activités critiques, au-delà des systèmes de paiement, et ce jusque dans les opérations essentielles de l’entreprise. Les services rendus par ces tiers sont très larges comme l’illustre le tableau 12. Ainsi, en 20213, une étude des Autorités européennes de surveillance (AES) révèle un écosystème de plus de 25 000 fournisseurs de services TIC, illustrant l’ampleur et la complexité de la dépendance technologique du secteur financier.
En parallèle du recours aux fournisseurs de services, un phénomène d’imbrication et de mutualisation entre les entités financières s’est intensifié, se traduisant par de nouvelles collaborations entre établissements tiers. Par exemple, la création de joint-ventures : CAWL pour les services de paiement (Crédit Agricole et Worldline en 2024), visant à proposer des solutions de paiement complètes pour tous les types de commerçants, en ligne et en magasin.
Mais si l’externalisation présente des avantages certains, elle introduit également de nouveaux risques qui, sans une gestion adéquate, peuvent menacer la stabilité financière des établissements.
Face à cette tendance de fond, les récents incidents majeurs impliquant de grandes sociétés de services mettent en lumière les fragilités et vulnérabilités à couvrir, notamment dans la gestion des données critiques. Les services de cloud computing, proposés par des géants technologiques comme Amazon Web Services (AWS) ou Microsoft Azure, offrent aux banques et assureurs une flexibilité et une scalabilité accrues pour l’hébergement de leurs données et applications. Cependant, ils introduisent également des risques de sécurité importants. Par exemple, une mauvaise configuration des ressources cloud chez Capital One en 2019 a entraîné une fuite de données touchant plus de 100 millions de clients, illustrant les dangers liés à une maîtrise insuffisante des données gérées par des tiers.
Les incidents récents évoqués ci-après soulignent les risques inhérents à la dépendance technologique des banques et des assureurs envers leurs prestataires, d’autant plus que la digitalisation expose davantage les systèmes et les données aux cyberattaques, avec des impacts potentiellement graves sur la continuité des services et la confidentialité des informations sensibles poussant les établissements à mettre en place de nouvelles mesures :
– février 2017 : à la suite d’une mauvaise commande d’un employé lors d’une opération de débogage, supprimant un nombre important de serveurs, de nombreux services AWS ont été interrompus pendant plusieurs heures ;
– mars 2017 : une panne de courant sur une baie de stockage Azure a provoqué son indisponibilité pendant près de 8 heures ;
– octobre 2020 : une cyberattaque chez Sopra Steria impliquant un rançongiciel a entraîné des interruptions temporaires de service, malgré la réactivité des équipes de cybersécurité. Les pertes sont estimées entre 40 et 50 millions d’euros ;
– novembre 2023 : la cyberattaque subie par la filiale d’Infosys spécialisée dans les services d’assurance à compromis les données personnelles de 57 000 clients de Bank of America (noms, adresses, numéro de sécurité sociale...) ;
– juillet 2024 : une mise à jour défectueuse du logiciel Crowdstrike provoque une panne informatique mondiale majeure, affectant 8,5 millions de systèmes Windows et générant une perte de 15 milliards d’euros au niveau mondial.
Consciente de ces nouveaux risques, l’Union européenne (UE) augmente la pression, homogénéise son cadre réglementaire et place la BCE comme superviseur direct des fournisseurs les plus critiques
Avant l’introduction de DORA4 au sein de l’UE, les prestataires de services étaient encadrés par plusieurs réglementations visant à garantir la sécurité, la résilience opérationnelle, et la gestion des risques, particulièrement dans le contexte de l’externalisation de services (avec notamment l’arrêté du 3 novembre 2014 relatif au contrôle interne des établissements financiers ou les guidelines de l’EBA en 2019).
En dehors de l’Europe, d’autres réglementations sont mises en place : HKMA5 – Outsourcing Guidelines (2004, révisé en 2019), UK FCA and PRA6 (mars 2021), Sound Practices to Strengthen Operational Resilience (octobre 2020). Ces réglementations mettent notamment un accent particulier sur la gestion des risques liés aux prestataires tiers. Elles recommandent que les institutions financières effectuent une due diligence approfondie, surveillent en permanence les prestataires critiques et intègrent des exigences de résilience opérationnelle et de cybersécurité dans les contrats et les relations avec ces tiers.
En France, cette préoccupation est particulièrement présente et se manifeste de diverses manières.
Depuis novembre 2014 et l’arrêté du 3 novembre 20147 impose aux établissements financiers de renforcer la gestion des risques liés aux prestataires externes en exigeant des évaluations systématiques, des due diligences rigoureuses, et des contrôles renforcés. En décembre 2016, la loi Sapin 28 ajoute des mesures visant à prévenir la corruption, incluant une vigilance accrue dans la sélection et le suivi des prestataires tiers. En mai 2018, le RGPD9 oblige les entreprises à s’assurer que leurs prestataires respectent les normes de protection des données personnelles, tandis que la directive NIS10 impose aux entreprises essentielles de gérer les risques liés à la cybersécurité. En septembre 2019, les guidelines de l’EBA11 renforcent les exigences sur la gestion des prestataires critiques pour garantir résilience et conformité. En octobre 201912, l’AMF met en place des règles internes pour évaluer et sécuriser les relations avec les tiers. La transposition de NIS 213 en octobre 2024 introduit des obligations plus strictes et des sanctions renforcées, avant l’entrée en vigueur de DORA en janvier 2025, qui harmonise la gestion des risques liés aux tiers critiques dans toute l’UE. Enfin, la BCE a lancé le 3 juin 2024, une consultation publique14 sur un nouveau guide relatif à l’externalisation des services vers des prestataires cloud. Ce guide vie à clarifier l’interprétation des exigences légales et les attentes prudentielles concernant l’externalisation des services cloud par les institutions financières. Il détaille les meilleures pratiques observées et les risques identifiés lors des missions de surveillance, notamment les vulnérabilités dans les stratégies d’externalisation informatique des banques. La consultation s’est achevée le 15 juillet 2024.
DORA introduit un cadre réglementaire harmonisé pour renforcer la résilience opérationnelle des entités financières de l’UE. Le règlement impose des exigences strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (articles 5 à 6), y compris la gestion des risques liés aux prestataires tiers (articles 28 à 31). Dans ce cadre, les exigences applicables aux prestataires sont omniprésentes avec un renforcement particulier pour ceux qui soutiennent des fonctions critiques ou essentielles. Elles concernent notamment le respect du cadre normatif, la gestion des incidents (article 11, 12) et la participation aux tests (article 24), notamment aux tests de pénétration orientés sur les menaces (TLPT15, article 25). Cependant, le chapitre V, consacré à la gestion de prestataires tiers, concentre les exigences les plus strictes, soulignant ainsi l’importance de la sécurité et de la résilience dans la gestion des fournisseurs. Ces exigences imposées par DORA sont vastes et relèvent certaines zones d’ombre (cf. article de Jean-Baptiste Poulle, Lise Wantier et Camille Hervé).
DORA définit de nombreuses exigences vis-à-vis des tiers.
L’organe de direction conserve la responsabilité ultime de la gestion des prestataires. Une gouvernance dédiée doit être mise en place pour superviser la signature de nouveaux contrats et suivre l’évolution des risques. Ce processus de gestion des prestataires doit inclure :
– une stratégie en matière de risques liés aux prestataires TIC ;
– la politique pour les prestataires soutenant des fonctions critiques ou importantes ;
– une stratégie multifournisseur pour diversifier les risques.
Une analyse approfondie du risque de concentration doit être menée à chaque prestation. L’exposition excessive d’une entité financière à un nombre limité de prestataires critiques de services TIC peut compromettre la résilience des fonctions critiques. Ce risque peut entraîner des pertes significatives ou menacer la stabilité du système financier de l’UE.
La mise en place d’un registre structuré est nécessaire pour référencer les prestations TIC. Ce registre doit aller au-delà d’un simple inventaire des contrats en identifiant les prestataires critiques et en cartographiant les processus critiques dépendant de ces prestataires, ainsi que les chaînes de sous-traitance associées.
Des contrôles doivent être effectués en amont pour analyser les risques liés aux prestations. Les contrats doivent inclure :
– des clauses précises sur les standards en matière de résilience ;
– des audits réguliers pour évaluer les risques identifiés et vérifier le respect des standards définis.
Des clauses contractuelles doivent être prévues pour anticiper les scénarios de sortie d’un prestataire. Cela inclut :
– la mise en place de plans de mesures d’urgence en cas de défaillance ;
– des tests réguliers des plans de sortie pour garantir une réversibilité effective.
Ces exigences visent à renforcer la résilience opérationnelle des entités financières et leur capacité à gérer les risques liés aux prestataires TIC.
À travers l’ensemble des exigences de DORA, un principe clé se dégage : les entités financières conservent la responsabilité pleine et entière des services externalisés ainsi que de toute la chaîne de sous-traitance, en particulier en ce qui concerne les risques pour leur activité. Ce principe signifie que, même en cas d’externalisation, les institutions financières doivent assurer une gestion rigoureuse des risques et garantir la résilience de leurs opérations, indépendamment des prestataires impliqués. De plus, la volonté d’harmonisation des pratiques avec la réglementation DORA se retranscrit par l’intégration du registre DORA et de PECI17 en un seul et unique registre.
DORA confère aux Autorités Européennes de Surveillance (AES) un rôle central dans la supervision des prestataires tiers critiques. Une première liste avec les prestataires critiques supervisés par les AES devrait être publiée courant 2025, en tenant compte des premières classifications faites par les entités. L’identification est basée sur des critères précis, incluant l’effet systémique sur la stabilité en cas de défaillance, l’importance des entités financières dépendant du prestataire, la dépendance des entités financières au prestataire et le degré de substituabilité du prestataire.
En plus d’être supervisés directement par les AES, les prestataires critiques sont soumis à des exigences de sécurité, de gestion des risques et de continuité des services renforcées. Cela inclut la mise en place de processus robustes pour identifier, surveiller et atténuer les risques TIC, et la communication régulière avec les entités supervisées et les autorités de régulation. Les régulateurs peuvent exiger des audits réguliers, des rapports de conformité et des contrôles de sécurité de la part des prestataires critiques.
Le TPRM (Third-Party Risk Management) transforme la gestion des tiers en un processus stratégique et transverse, qui ne se limite plus à des aspects contractuels ou opérationnels. Il introduit une gestion rigoureuse et systémique des risques en alignement avec les nouvelles exigences réglementaires telles que DORA. Ce changement nécessite de revoir le modèle de gestion des tiers via une refonte des processus internes, de mobiliser des compétences spécialisées et d’outiller l’approche afin de couvrir la vision holistique du sujet.
Les établissements financiers doivent revoir leur modèle TPRM afin de leur permettre d’identifier, évaluer et atténuer les risques liés à leurs prestataires externes tout en couvrant le cycle de vie complet des prestations externalisées.
Il s’agit de traiter et mettre sous contrôle : l’identification des services externalisés et des tiers qui y concourent, l’évaluation des risques et le processus de due diligence (avant de nouer tout partenariat), la gestion et l’atténuation des risques, la contractualisation des services et la formulation des exigences, la surveillance continue et l’audit des tiers et des risques, la gestion des incidents (voir schéma ci-dessous).
Ce modèle opérationnel implique des fonctions diverses au sein des établissements en première et en deuxième ligne de défense : les fonctions risques, achats, juridiques, les donneurs d’ordre au sein des métiers, les experts en matière sécurité de l’information, la conformité, les fonctions en charge de la résilience et la continuité, les directions informatiques...
Avec DORA, la gestion des risques des tiers prend une importance accrue, imposant aux entreprises de formaliser et renforcer leurs processus de surveillance des fournisseurs pour garantir leur résilience.
Pour gérer efficacement les relations avec les tiers, il est essentiel d’identifier les principaux types de risques, conformément aux exigences du règlement DORA et de ses RTS/ITS. Ces risques incluent :
– le risque de résilience (Article 5 et Article 11 de DORA, Article 2 des RTS sur le cadre de gestion des risques TIC) : par exemple, un prestataire fournissant des services critiques, comme le traitement des transactions, peut connaître des interruptions fréquentes, affectant directement la continuité des opérations et la liquidité de la banque ;
– le risque de concentration (Article 28 de DORA, Article 5 des RTS sur la politique des services TIC fournis par des prestataires tiers) : une dépendance excessive à un prestataire fournissant des services TIC critiques pourrait entraîner une défaillance unique ayant des impacts majeurs sur les fonctions essentielles ;
– le risque de conformité (Article 6 de DORA et Article 4 RTS sur le registre d’informations) : le non-respect par un prestataire des réglementations, comme la protection des données (RGPD), peut exposer l’entité financière à des sanctions ou affecter sa réputation ;
– le risque de cybersécurité (Article 24 et Article 25 de DORA, Articles 3 et 7 des RTS sur les tests de résilience opérationnelle numérique) : les prestataires de services cloud qui n’appliquent pas des mesures de sécurité adéquates exposent les données sensibles des clients à des cyberattaques, mettant en péril la sécurité opérationnelle ;
– le risque de réputation (Article 30 de DORA, Article 6 des RTS sur la politique des services TIC) : un scandale impliquant un prestataire peut nuire à l’image de l’entité financière, affectant la satisfaction client et l’acquisition de nouveaux prospects ;
– le risque de substituabilité (Article 31 de DORA, Article 8 des RTS sur le cadre de gestion des risques) : si un prestataire clé, comme un fournisseur de traitement des données, n’est pas remplaçable à court terme, une défaillance pourrait gravement perturber les opérations de l’entité.
Ces risques, souvent interconnectés, nécessitent une gestion rigoureuse et une mise en conformité stricte avec les obligations imposées par DORA pour garantir la résilience et la sécurité des institutions financière afin de se prémunir du risque systémique. Le régulateur insiste sur la nécessité de gérer les risques de concentration sur les tiers les plus exposés concourant aux activités critiques et souvent communs à de nombreuses entités financières.
L’augmentation du nombre de prestataires tiers oblige les entités financières à intensifier et renforcer leurs efforts de connaissance de leurs fournisseurs (Know Your Supplier), afin de gérer les risques de conformité. Ce cadre est encore plus d’actualité avec les risques de réputation (tel que le greenwashing) et la responsabilisation des entités financières vis-à-vis de toute sa chaîne de sous-traitance.
Un référentiel structuré des services et des contrats est indispensable pour assurer une gestion efficace des tiers. Ce référentiel doit inclure des informations détaillées18 sur les prestataires, les services externalisés, les dépendances critiques, le résultat des analyses de risques cités au chapitre précédent, les éléments relatifs à la résilience et aux données financières sur les tiers, les données relatives aux stratégies de sortie. C’est à partir de ce référentiel que pourra être constitué le registre19 à déclarer aux autorités.
Chaque relation avec un prestataire doit être encadrée par un contrat détaillé et renforcé qui définit clairement les responsabilités de chaque partie et est mis en place idéalement avant le démarrage de toutes prestations externalisées. Ce cadre doit prendre en compte plusieurs éléments clefs :
– des clauses renforcées sur la sécurité, la conformité et la gestion des incidents (cf. DORA, article 28) qui préciseront également les niveaux de service attendus (Service Level Agreements – SLA) ;
– des clauses encadrant la sécurité des données afin d’obtenir un engagement du respect des politiques internes et des exigences réglementaires notamment en matière de protection, d’intégrité et de confidentialité des données (DORA, article 6 et 24) ;
– des clauses de confidentialité et de non-divulgation pour protéger les informations sensibles de l’entité financière. Ces clauses doivent préciser les obligations du prestataire en matière de protection des données et les pénalités en cas de violation ;
– des clauses relatives à la sous-traitance en chaîne intégrant la nécessité d’obtenir l’autorisation de l’établissement pour l’utilisation de sous-traitant (nouveaux ou changements), la description de la chaîne de sous-traitance (société et nature des services sous-traités), l’obligation d’identifier et de gérer les risques de chacun des sous-traitants, le dispositif de contrôle des sous-traitants (DORA, articles 28 et 30, et le RTS dédié sur la sous-traitance).
– une clause d’audit essentielle pour permettre de vérifier que les prestataires respectent les normes de sécurité et de conformité (DORA, article 31).
– des clauses de résiliation, de sortie et de réversibilité pour permettre une transition en douceur en cas de fin de la relation contractuelle. Elles doivent prévoir l’ensemble des actions qui permettent la réversibilité de la prestation, la suppression sécurisée des données, la restitution des actifs, et la continuité des services pendant la période de transition (DORA, articles 28 et 31).
Cet encadrement grandissant des relations met en évidence le besoin de s’appuyer sur des systèmes de gestion des contrats (Contract Management Systems – CMS) pour automatiser et rationaliser leur gestion. Ces outils permettent de réduire les risques d’erreurs humaines et d’améliorer l’efficacité opérationnelle dès la phase de contractualisation.
Au-delà de ces aspects contractuels les établissements financiers doivent mettre en place un contrôle continu des prestations tout au long de leur cycle de vie :
– des mécanismes de surveillance continue pour évaluer la performance du service rendu par les prestataires et s’assurer qu’ils respectent les termes des contrats. Cela peut inclure des contrôles réguliers de sécurité, des audits de conformité, et des revues de performance qui pourront s’appuyer sur des solutions de marché permettant d’automatiser ce monitoring (cf. DORA, article 28) ;
– la mise en place d’audits réguliers : il s’agit de planifier des audits périodiques pour évaluer le respect des exigences contractuelles, les contrôles internes des prestataires, identifier les vulnérabilités potentielles, et s’assurer que les mesures correctives sont mises en œuvre (DORA, articles 28 et 31) ;
– des évaluations de conformité et de sécurité régulières afin de s’assurer que les prestataires sont capables de répondre aux exigences réglementaires incluant la vérification de la conformité aux réglementations locales et internationales20. Il s’agit de privilégier une démarche d’évaluation co-constructive avec les fournisseurs les plus critiques, tout en adoptant une position de contrôle (DORA, articles 11 et 28) ;
– une gestion des incidents efficace en disposant de plans de gestion des incidents qui incluent des procédures spécifiques d’isolation pour les prestataires tiers et de reprise (DORA, articles 11 et 12) ;
– des plans de formation et sensibilisation aux risques liés aux prestataires tiers et aux procédures de gestion des risques. Des interlocuteurs métiers aux chefs de projets informatiques et en passant par les équipes achats et juridiques, la supervision des fournisseurs implique un nombre important d’acteurs des entités financières. Elle ne peut être un succès que si le processus est connu et appliqué par tous. Une culture de la sécurité et de la conformité doit être encouragée via des sessions de formation ou de sensibilisation à tous les niveaux de l’organisation (DORA, articles 6 et 24).
Face au nombre croissant de prestataires et d’informations à suivre, les établissements peuvent utiliser des outils de gestion centralisés et faire appel à des fournisseurs externes de données pour enrichir leur connaissance des tiers. À l’image des pratiques en KYC, ces solutions permettent de garantir un suivi précis et continu des performances et des risques associés.
La stratégie de sortie de la relation avec un tiers doit être pensée dès le démarrage d’un projet d’externalisation de service. Elle pourra varier selon de nombreux paramètres : la nature du service rendu, l’existence ou non de solutions alternatives pour rendre ce service (certains fournisseurs peuvent être uniques sur le marché ou en situation de quasi-monopole, ce qui peut être le cas pour certaines start-up très innovantes), la capacité ou non de l’établissement financier lui-même de réinternaliser le service (article 31 de DORA). Au cours de cette étude qui conduira à définir la stratégie adéquate, et en fonction de l’analyse de risques qui aura été conduite notamment en termes de résilience, l’établissement devra s’assurer qu’il dispose de mesures de continuité pour pallier l’indisponibilité de service. Ces solutions pourront être fournies par le tiers, par d’autres tiers voire par l’établissement lui-même (DORA, article 5).
Avec DORA, pour les services les plus critiques des établissements, le régulateur s’attend à trouver une stratégie formalisée mais également des plans détaillés de sortie pour permettre de limiter les impacts pour les activités pendant les phases de réversibilité et de transfert de la prestation vers l’interne ou vers un autre tiers (DORA, article 30). Une fois ce travail réalisé, ces plans de sortie devront être maintenus à jour et testés annuellement pour s’assurer qu’ils restent opérationnels dans le temps.
DORA, bien que demandant un déploiement progressif à tous les niveaux concernés, s’impose comme le socle d’exigences minimales pour l’ensemble des prestataires tiers. Avec cette harmonisation, DORA vise à simplifier et unifier les standards de résilience numérique en Europe, renforçant la sécurité et la confiance dans les relations avec les tiers.
Le TPRM n’est pas simple à définir et mettre en place mais surtout à faire vivre car il impose une charge de travail conséquente de contrôle permanent d’autant plus difficile à exercer qu’il doit s’appliquer en dehors de l’établissement et idéalement sur l’ensemble de la chaîne de sous-traitance pour les services les plus critiques.
Toute remédiation contractuelle visant à intégrer toutes les exigences citées comporte des risques et des difficultés réelles surtout face à des géants de l’informatique non européens qui se sentent en position de force. La supervision européenne des fournisseurs critiques représente un espoir pour les établissements, mais sera-t-elle réellement suffisante et efficace pour les faire évoluer et couvrir les risques de concentration et les risques systémiques en cas d’incident majeur ? n
