DORA : mieux maîtriser les risques liés aux prestataires ICT
Les points essentiels pour inventorier les dépendances, évaluer la criticité et préparer la continuité avec vos fournisseurs numériques.
Une organisation peut renforcer sa sécurité interne tout en restant vulnérable à une interruption ou une compromission chez un prestataire. DORA demande aux acteurs financiers de connaître ces dépendances et de démontrer qu’elles sont maîtrisées.
Cartographier les services, pas seulement les contrats
Reliez chaque prestataire aux processus métier, aux données traitées et aux composants techniques utilisés. Un fournisseur apparemment secondaire peut devenir critique s’il intervient dans l’authentification, les sauvegardes ou les échanges réglementaires.
Évaluer la criticité de façon homogène
- Impact d’une indisponibilité sur le métier.
- Sensibilité et localisation des données.
- Possibilité de remplacement et délai de sortie.
- Dépendances en cascade avec d’autres fournisseurs.
Transformer le contrat en dispositif opérationnel
Les clauses d’audit, de notification et de réversibilité doivent être testables. Définissez les contacts d’urgence, les délais attendus, les preuves accessibles et les conditions d’exercice du plan de sortie.
Un registre de prestataires n’est utile que s’il révèle les concentrations de risque et permet d’agir avant l’incident.
Surveiller dans la durée
Planifiez une revue selon la criticité : incidents, changements majeurs, attestations, vulnérabilités connues et résultats de tests. Cette approche rend la gouvernance proportionnée et réellement exploitable.
Votre organisation rencontre un enjeu similaire ?
Nous pouvons vous aider à qualifier le risque, prioriser les actions et documenter les résultats.
Parler de votre contexte