Destiné à harmoniser et renforcer les règles en matière de gestion des risques cyber pesant sur les entités financières européennes, le règlement DORA (Digital Operational Resilience Act) consacre l’un de ses piliers à la gestion des risques liés aux prestataires tiers de services TIC (Technologies de l’information et de la communication) auxquels elles ont recours. Alors qu’une grande partie des établissements financiers sont déjà tenus de se conformer aux Orientations relatives à l’externalisation adoptées par l’Autorité bancaire européenne (EBA/GL/2019/02) ainsi qu’aux dispositions de l’arrêté du 3 novembre 2014 relatif au contrôle interne en matière de risques de tiers, ils doivent désormais s’adapter pour tenir compte des écarts et des exigences spécifiques du règlement DORA.
Dépasser la simple externalisation
À la différence des Orientations relatives à l’externalisation, le régime de gestion des risques cyber prévu par le règlement DORA ne se limite pas à l’externalisation – définie notamment en considération de la capacité de l’entité financière d’exercer raisonnablement ladite fonction –, mais couvre l’ensemble des « services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes ». La définition est très large et englobe pratiquement tous les prestataires de technologie de l’information et de la communication.
Ainsi, certains services fournis par des prestataires TIC seront désormais soumis au règlement DORA, comme par exemple la fourniture de logiciels dits « on-premise » (c’est-à-dire installés sur les serveurs de l’entité financière), l’accès à Internet ou encore la fourniture de services TIC par une filiale d’un groupe financier au reste du groupe. Dans ce cadre, le rapport publié par les autorités européennes de surveillance le 19 septembre 2023 dénombre ı5 000 prestataires TIC fournissant directement des services TIC à ı 600 entités financières en Europe.
De plus, alors que les Orientations relatives à l’externalisation recommandent d’insérer des clauses spécifiques dans les accords d’externalisation de fonctions critiques ou importantes, le règlement DORA prévoit une liste minimum d’éléments devant impérativement figurer dans l’ensemble des contrats conclus entre une entité financière et un prestataire TIC, qu’ils portent ou non sur des fonctions critiques ou importantes.
Les stipulations devant figurer dans tout contrat conclu entre une institution financière et un prestataire de services TIC concernent par exemple l’indication des lieux où les services seront fournis, la garantie d’accès aux données, ou les descriptions des niveaux de service. En outre, le règlement DORA prévoit des éléments supplémentaires à ajouter dans les contrats relatifs à l’utilisation de services TIC soutenant des fonctions critiques ou importantes, telles que les clauses d’audit.
Une plus grande implication
Le règlement DORA impose enfin des dispositions contractuelles qui ne figuraient pas dans les Orientations relatives à l’externalisation. C’est par exemple le cas de l’obligation pour le prestataire de services TIC de fournir à l’entité financière, en cas d’incident, une assistance sans frais supplémentaires ou à un coût déterminé ex ante. C’est également le cas de l’exigence de définir les conditions dans lesquelles les prestataires de services TIC devront participer aux programmes de sensibilisation à la sécurité et aux formations à la résilience opérationnelle numérique élaborés par les entités financières.
Alors que les Orientations relatives à l’externalisation continueront à s’appliquer parallèlement au règlement DORA, il est dans l’intérêt des établissements financiers de se préparer le plus tôt possible tant du point de vue de l’adaptation de leurs organisations et processus que de la mise en conformité de leurs contrats.
