P.I.L.O.T.E

2 min de lecture

6. Gestion des prestataires TIC

6.1. Identification des prestataires critiques

DORA impose aux entités financières de :

  • recenser leurs fournisseurs TIC (cloud, cybersécurité, maintenance, hébergement…),
  • identifier ceux qui sont critiques pour la continuité ou la sécurité.

Warning

Un fournisseur est critique s’il impacte directement les services essentiels ou la stabilité de l’entité.

6.2. Obligations de contrôle et de gouvernance

Les entités doivent :

  • effectuer une évaluation préalable des risques avant tout contrat,
  • maintenir un registre des relations TIC externes,
  • mettre en place une surveillance continue de leurs prestataires critiques.

6.3. Clauses contractuelles obligatoires

Les contrats avec des fournisseurs TIC doivent inclure :

  • les niveaux de service (SLA),
  • les obligations de notification d’incident,
  • le droit d’audit par l’entité ou son superviseur,
  • les obligations de sécurité et de résilience,
  • la gestion de la fin de contrat / réversibilité.

Example

Exemple de clause : “Le prestataire doit notifier toute faille de sécurité majeure dans un délai de 24h à l’entité cliente.”

6.4. Prestataires critiques de niveau européen

La réglementation prévoit la désignation de certains fournisseurs comme “TIC critiques européens”, soumis à la supervision directe des autorités européennes (ESA).

Info

Dans ce cas, les entités utilisatrices n’ont plus à les superviser directement, mais doivent toujours maîtriser leur propre dépendance.

Vue Graphique