Prestataires tiers critiques : pourquoi la liste est-elle
si courte ?

À sa publication en novembre 2025, la liste des Critical Third Party Providers (CTPP) ou « prestataires tiers critiques de services de technologie de l’information et de la communication » (TIC) a suscité la surprise. Si la présence de Bloomberg, du London Stock Exchange (LSEG) voire de Microsoft était attendue, celle de Fidelity National Information Services l’était moins, du fait de la diversité de ses activités. Plus étonnant encore, les autorités européennes de supervision (European Supervisory Authorities – ESAs) n’y ont intégré aucun autre fournisseur spécialisé dans les activités financières.

Pourtant, le marché comporte un petit nombre d’acteurs clés (tels que Dow Jones, dans le domaine de la conformité, ou les fournisseurs de progiciels front to back) qui auraient pu raisonnablement se trouver sur cette liste. Si l’on garde en tête les 9 000 prestataires supportant des fonctions critiques identifiés par les ESAs en 2022, quelles sont les causes qui ont pu amener à une liste finale aussi restreinte – 19 prestataires, dont 12 en infrastructure et bases de données, 3 ESN (entreprises de services du numérique) et à peine trois acteurs issus du monde financier ?

Le premier élément de réponse se trouve dans le règlement délégué sur la sélection des prestataires critiques, construit à partir de l’avis technique des ESAs. Avec une quarantaine de réponses à la consultation (moitié moins que les autres consultations DORA), de « sources variées », l’avis technique n’avait pas soulevé l’enthousiasme des établissements financiers, non directement concernés. A posteriori, cela explique quelques faiblesses dans le processus de sélection, notamment la surreprésentation des entités systémiques et la sous-estimation des critères de dépendance.

Mais en amont, d’autres facteurs impactent la constitution des registres par les entités financières, et donc les informations dont disposaient les ESAs pour faire leur sélection. Parmi ceux-ci, les plus importants sont probablement l’interprétation par les établissements de l’expression « soutenir une fonction critique », ainsi que des insuffisances d’identification de la chaîne de valeur.

Conformément à l’article 31(2) de DORA, l’étape de filtrage quantitatif des prestataires critiques reposait sur trois critères : le nombre d’établissements concernés, le volume de leurs actifs et leur qualité d’établissement systémique. Dans la mesure où le critère de volume n’excluait pas les établissements systémiques, un prestataire très présent uniquement dans les établissements non systémiques avait peu de chances d’être identifié. Or les établissements systémiques ne présentent pas le même profil d’externalisation que les autres acteurs financiers. Dotés de ressources informatiques importantes et plus sensibles à la cybersécurité grâce à des départements de sécurité des systèmes d’information conséquents, ils ont tendance à développer leurs propres systèmes et à ne recourir que marginalement à des ressources logicielles externes, rarement pour des processus critiques. Ils sont donc majoritairement exposés à leurs fournisseurs d’infrastructures techniques et de télécommunication, comme reflété dans la liste actuelle des CTPP.

De même, la plupart des établissements systémiques appliquaient la méthode avancée de calcul des risques opérationnels bâlois. De fait, depuis 15 ans, ils disposent de données fiables sur leurs expositions et incidents informatiques, et ils ont mis en place tous les palliatifs possibles. En conséquence, même s’ils peuvent être exposés au risque d’externalisation, ils ont pu fortement réduire leur risque de dépendance, échappant ainsi au second critère de sélection des ESAs.

À l’inverse, les établissements non systémiques présentent généralement une grande dépendance aux fournisseurs externes, même si celle-ci peut parfois être indétectable dans les processus DORA.

Pour commencer, ces établissements sont souvent concentrés sur leur cœur de métier, ce qui les amène à recourir à la sous-traitance pour ce qui ne relève pas de leur activité principale. Ceci inclut les services informatiques, mais aussi potentiellement des services tels que la connaissance client (KYC), les paiements ou le back-office. Or, bien qu’ils soient critiques pour l’activité, ces services ne sont pas des prestations de services TIC au sens DORA. Les systèmes sous-jacents utilisés par les prestataires sont donc recensés uniquement au titre du prestataire, et encore seulement lorsque celui-ci est une entité financière, sans prendre en compte l’ensemble des entités affectées.

L’autre biais introduit par les plus petits établissements vient de leur difficulté à suivre toutes les exigences de DORA. Malgré le principe de proportionnalité inscrit dans le texte, les mesures à mettre en place en matière d’externalisation sont rarement atteignables. Pour commencer, les petits établissements n’ont pas toujours le poids nécessaire pour imposer à leurs sous-traitants les exigences contractuelles de DORA. Ensuite, les obligations de suivi des prestataires imposent des compétences internes qui ne sont pas forcément présentes et des ressources qu’ils ne peuvent pas nécessairement allouer. Comme plus les prestataires sont critiques, plus les exigences sont importantes, cela conduit à une révision à la baisse de leur criticité, ou à une surévaluation de leur substituabilité.

Ajoutons le dernier maillon à la chaîne, de nature technique celui-là. Lors de la mise en place du portail OneGate pour le reporting des registres DORA, les contrôles d’intégrité ne portaient pas sur l’ensemble des états du registre. Il était notamment possible de ne pas reporter les états contenant les maisons mères de prestataires ou leurs sous-traitants ultérieurs. Pour les petits établissements, pour qui la constitution du registre était déjà complexe, c’était l’occasion d’éviter les recherches approfondies sur ce qu’il y avait derrière leurs prestataires de services TIC. Heureusement, sur cette partie-là au moins, les autorités ont corrigé l’omission et l’an prochain devrait apporter une meilleure visibilité de la chaîne de valeur.

Il est donc probable que la liste actuelle des CTPP omette un certain nombre de prestataires, dont on pourrait n’identifier la criticité que lorsqu’un incident se produira. Alors que la survenue d’un incident n’est pas à exclure. En effet, si l’on part du principe que les prestataires oubliés sont plus présents chez les établissements de moindre importance, ils sont aussi les moins surveillés par leurs clients, et donc sont ceux qui auraient le plus besoin d’une surveillance additionnelle.

Ce qui amène à une dernière question, sur la volonté et la capacité des ESAs à surveiller les prestataires critiques. À part l’Autorité européenne des marchés financiers, les ESAs sont des législateurs, non des superviseurs, et la supervision en forum constitue pour elles un exercice inédit. Dans leur avis technique sur les frais de supervision, les ESAs avaient déjà soulevé la problématique du nombre de CTPP, parmi les inconnues pouvant impacter leur capacité de supervision. Il est donc possible que, pour cette première année, elles aient volontairement restreint le nombre de CTPP afin de se laisser le temps de calibrer leurs tâches sur une première sélection significative.

L’autre question porte sur leur capacité à superviser certains CTPP, notamment non européens (soit les trois quarts des CTPP sélectionnés). DORA exige que les prestataires critiques disposent d’une filiale dans l’Union européenne, sous peine d’interdire aux établissements financiers d’utiliser leurs services, mais l’article 36 du texte prévoit déjà que superviser une filiale administrative ne permette pas un contrôle efficace des activités du groupe et qu’il faille alors porter la supervision hors Europe. Le côté technique n’est pas en cause, le forum de supervision constitué par les ESAs pouvant faire appel à des experts et consultants externes où qu’ils soient. En revanche, en l’absence d’accords internationaux sur le sujet, l’application de l’extraterritorialité conditionnelle à l’accord du prestataire et de l’autorité de tutelle compétente dans le pays, prévue par l’article 36, n’est pas gagnée d’avance.

Alors, omission ou volonté de tester leur capacité de supervision sur un échantillon pilote ? La prochaine mise à jour de la liste devrait apporter un début de réponse à ces questions.