Square
 

3 questions à...
Laurence Molinier, associée data risk, et Nicolas Fleuret,
associé responsable de l’activité réglementaire, chez Deloitte

« La gestion des risques liés aux fournisseurs de services de TIC pourrait être la plus difficile à mettre en œuvre »

Créé le

29.09.2022

Où se situe DORA par rapport aux réglementations européennes et nationales existantes ?

Nicolas Fleuret : Ce règlement n’est pas une nouveauté : les obligations de résilience sont en place depuis longtemps dans le secteur financier. Néanmoins, DORA regroupe, fédère et harmonise au niveau européen les réglementations existantes. Par ailleurs, DORA accroît la sphère d’action des autorités qui ont désormais la légitimité pour faire entrer dans leur périmètre de supervision de nouveaux acteurs. Auparavant, elles avaient la capacité de regarder les services délivrés à un assujetti à une réglementation. Avec DORA, si elles se rendent compte qu’un prestataire fournit un service à plusieurs établissements financiers, elles s’intéresseront directement au prestataire dans son ensemble.

Comment faire respecter DORA, un règlement européen, par une société américaine ou asiatique ?

Laurence Molinier : Il y a deux aspects à prendre en compte. D’une part, le poids du marché financier européen est trop important pour que les prestataires majeurs dans le domaine des technologies de l’information et de la communication (TIC) ne s’y plient pas. D’autre part, le règlement demande que les fournisseurs critiques de services liés aux TIC disposent d’une filiale domiciliée dans l’UE – ce qui est déjà le cas pour les géants du secteur  – afin de faciliter la supervision, mais il n’impose pas que les services soient rendus au sein de l’UE. Cela avait déjà été anticipé par ces fournisseurs, compte tenu de leur importance croissante dans le secteur financier en Europe.

Dans leur ensemble, les sociétés concernées par DORA doivent avoir une vision complète et orientée métier des risques liés à l’IT, avec les leviers à la disposition de l’entreprise si une perturbation arrive. La gestion des risques liés aux fournisseurs de services de TIC pourrait être la plus difficile à mettre en œuvre, nécessitant par exemple la révision des contrats, dans lesquels des éléments sont susceptibles de faire défaut.

Où en sont les sociétés, à quelques semaines de l’entrée en vigueur ?

Nicolas Fleuret : Tout dépend de leur taille et de leur niveau de maturité. Ce n’est pas un sujet entièrement nouveau. Il est déjà traité dans les groupes au-delà de l’aspect réglementaire. L’Europe va se doter d’un cadre commun avec une supervision équivalente ; or certains pays sont plus avancés que d’autres.

En France, nous sommes en pointe. Pour nos superviseurs, la notion de prestation de service externalisée n’est pas nouvelle. Cependant, la définition des réglementations de niveau 2, qui préciseront le règlement, devrait intervenir dans 12 à 18 mois, laissant peu de temps aux entreprises pour se retourner.

Propos recueillis par Stéphanie Chaptal

RB
RB