search_api_autocomplete
Accueil

Gestion des risques liés aux prestataires tiers des services TIC

DORA vise à garantir que les entités financières maîtrisent mieux les risques liés aux technologies de l'information et de la communication (TIC) et soient donc plus résilientes face aux Circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes
.

DORA accorde une attention particulière au risque de tierce partie. DORA vise à limiter autant que possible le risque tout au long de la chaîne de prestataires et énonce une série de principes clés pour une bonne gestion des risques liés aux prestataires tiers de services TIC.

Certaines exigences seront davantage détaillées dans des normes réglementaires et des normes techniques d'exécution (Regulatory Technical Standards (RTS) et Implementing Technical Standards (ITS)).

Par ailleurs DORA impose un régime de contrôle et des obligations spécifiques aux prestataires tiers de services TIC dits « critiques ». Ces obligations ne seront pas abordées dans le cadre de cette documentation.

  • 1. Quels sont les principes clés pour une bonne gestion des risques liés aux prestataires tiers de services TIC ?

    Les risques liés aux prestataires tiers de services TIC font partie intégrante du risque lié aux TIC. Ils doivent être pris en compte dans le cadre de gestion du risque lié aux TIC :

    • les entités financières qui ont conclu des accords contractuels pour l’utilisation de services TIC dans le cadre de leurs activités restent à tout moment pleinement responsables du respect et de l’exécution de toutes les obligations découlant de DORA ;
    • les entités financières gèrent les risques liés aux prestataires tiers de services TIC dans le respect du principe de proportionnalité.

    Le principe de proportionnalité implique de prendre en compte :

    • la nature, l’ampleur, la complexité et l’importance des relations de dépendance en matière de TIC ; 
    • les risques découlant des accords contractuels portant sur l’utilisation de services TIC conclus avec des prestataires tiers de services TIC, compte tenu de la criticité ou de l’importance du service, du processus ou de la fonction en question, ainsi que des incidences potentielles de ces risques sur la continuité et la disponibilité des services et activités financiers, au niveau individuel et le cas échéant, au niveau du groupe.
  • 2. Quelle stratégie adopter en matière de risques liés aux prestataires tiers de services TIC?

    Les entités financières, autre que les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. et les entités financières soumises au cadre simplifié, doivent adopter une stratégie en matière de risques liés aux prestataires tiers de services TIC.

    Cette stratégie doit inclure une politique relative à l’utilisation des services TIC qui soutiennent des  Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. fournis par des prestataires tiers de services TIC.

    Des normes techniques règlementaires

    Des normes techniques règlementaires (RTS) détailleront le contenu de la stratégie en ce qui concerne les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. fournis par des prestataires tiers de services TIC.

  • 3. Comment documenter les accords contractuels avec des prestataires tiers de services TIC ?

    Aux fins d’assurer la conformité de leur cadre de gestion du risque lié aux TIC, les entités financières tiennent et mettent à jour, au niveau de l’entité et aux niveaux sous-consolidé et consolidé, un registre d’informations (register of information ou ROI) en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers de services TIC.

    Les accords contractuels doivent être dûment documentés, en opérant une distinction entre ceux qui couvrent des services TIC qui soutiennent des fonctions critiques, et ceux qui ne le font pas. 

    Les entités financières mettent à la disposition de la FSMA, si elle en fait la demande, le registre d’informations complet ou, le cas échéant, des sections spécifiques de celui-ci, ainsi que toute information jugée nécessaire pour garantir une surveillance efficace de l’entité financière.

    Les entités financières informent la FSMA de tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. , ainsi que lorsqu’une fonction est devenue critique ou importante.

    Des normes techniques d’exécution

    Des normes techniques d’exécution (ITS) prévoient un modèle standard pour le registre des informations des accords contractuels.

  • 4. Que faire avant de conclure un accord contractuel avec un prestataire tiers de services TIC ?

    Avant de conclure un accord contractuel sur l’utilisation de services TIC, les entités financières:

    • déterminent si l’accord contractuel couvre l’utilisation de services TIC qui soutiennent une fonction critique ou importante ;
    • évaluent si les conditions de surveillance en matière de conclusion de contrats sont remplies; ;
    • identifient et évaluent tous les risques pertinents ayant trait à l’accord contractuel, y compris la possibilité que cet accord contractuel contribue à accroître le risque de concentration informatique ;
    • font preuve de toute la diligence requise à l’égard des prestataires tiers de services TIC potentiels et s’assurent, tout au long des processus de sélection et d’évaluation, que les prestataires tiers de services TIC présentent les qualités requises ;
    • identifient et évaluent les conflits d’intérêts susceptibles de découler de l’accord contractuel.

    Types de conflits d'intérêts

    Plusieurs types de conflits d'intérêts peuvent émerger dans le cadre de contrats conclus avec des prestataires tiers de services TIC.

    Par exemple, lorsqu’un dirigeant ou un actionnaire du prestataire de services TIC a également des liens financiers ou professionnels avec un ou plusieurs membres de l'entité financière, ces relations peuvent influencer indûment le processus de sélection du prestataire.

    Des relations familiales ou personnelles entre les employés de l'entité financière et ceux du prestataire de services TIC peuvent également entrer en compte et introduire des biais dans le processus de sélection, compromettant l'objectivité et la transparence de celui-ci.

    Des avantages financiers non divulgués, tels que des commissions ou des incitants, accordés au personnel de l'entité financière par le prestataire de services TIC, peuvent influencer indûment les décisions de l’entité financière.

    Enfin, en cas de dépendance excessive envers un prestataire de services TIC, la capacité de l'entité financière à prendre des décisions objectives, notamment en cas de problèmes opérationnels ou de changements dans les conditions contractuelles, peut être compromise.

    Il est donc crucial pour les entités financières d'identifier en amont et d'évaluer ces conflits potentiels afin de garantir que les accords contractuels soient conclus de manière transparente et en accord avec les meilleures pratiques en matière de gouvernance. La gestion proactive de ces conflits d'intérêts contribue à préserver l'intégrité des processus décisionnels liés aux prestataires tiers de services TIC.

  • 5. Comment choisir son ou ses prestataire(s) tiers de services TIC ?

    Les entités financières ne peuvent conclure des accords contractuels qu’avec des prestataires tiers de services TIC qui respectent des normes adéquates en matière de sécurité de l’information. Lorsque ces accords contractuels portent sur des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. , les entités financières prennent en considération, avant la conclusion des accords, l’utilisation par les prestataires tiers de services TIC des normes les plus actualisées et les plus élevées en matière de sécurité de l’information.

    Normes liées à la sécurité de l'information

    La littérature spécialisée mentionne notamment un large éventail de normes liées à la sécurité de l'information. Certaines de ces normes visent à garantir un système de management de la sécurité de l'information (SMSI) robuste. D’autres concernent les systèmes de management de la protection des données et les mesures de sécurité de l'information pour l’informatique et sur la gestion des risques liés à la sécurité de l'information.

    Ces normes visent à protéger les entreprises notamment contre la perte et l’utilisation abusive de données confidentielles, et permettre d'identifier et d'atténuer les menaces potentielles de manière fiable.

  • 6. Comment et à quelle fréquence contrôler son ou ses prestataire(s) tiers de services TIC ?

    Les accords contractuels conclus avec les prestataires tiers de services TIC doivent accorder des droits d’accès, d’inspection et d’audit suffisants à l’entité financière.  Ces droits peuvent être exercés par du personnel propre de l’entité financière, ou par des tiers (auditeurs externes).

    Lorsqu’elles exercent leurs droits d’accès, d’inspection et d’audit à l’égard d’un prestataire tiers de services TIC, les entités financières déterminent au préalable, sur la base d’une approche fondée sur les risques, la fréquence des audits et des inspections, ainsi que les domaines qui doivent faire l’objet d’un audit. Ces audits doivent être réalisés dans le respect des normes d’audit communément admises et conformément à toute instruction de surveillance relative à l’utilisation et à l’incorporation de ces normes d’audit.

    Lorsque des accords contractuels conclus avec des prestataires tiers de services TIC impliquent un niveau élevé de complexité technique, l’entité financière vérifie que les auditeurs, qu’il s’agisse d’auditeurs internes ou externes ou d’un groupe d’auditeurs, possèdent les compétences et les connaissances requises pour réaliser efficacement les évaluations et les audits pertinents.

  • 7. Dans quels cas prévoir une stratégie de sortie ?

    Par rapport aux prestataires tiers de services TIC, les entités financières mettent en place des stratégies de sortie. Les stratégies de sortie prennent en compte les risques susceptibles d’apparaître au niveau des prestataires tiers de services TIC.

    Particulièrement, les stratégies de sorties doivent prévoir :

    • une éventuelle défaillance de la part du prestataire tiers ;
    • une détérioration de la qualité des services TIC fournis ;
    • toute perturbation de l’activité due à une fourniture inappropriée ou défaillante de services TIC ;
    • tout risque significatif découlant du déploiement approprié et continu du service TIC concerné ;
    • la résiliation d’accords contractuels conclus avec un prestataire tiers de services TIC dans l’une des circonstances énumérées ci-dessous.

    Les accords contractuels relatifs à l’utilisation de services TIC doivent pouvoir être résiliés dans l’une des circonstances suivantes:

    • le prestataire tiers de services TIC a gravement enfreint les dispositions législatives, réglementaires ou contractuelles applicables ;
    • le suivi des risques liés aux prestataires tiers de services TIC a révélé l’existence de circonstances susceptibles d’altérer l’exécution des fonctions prévues par l’accord contractuel, y compris des changements significatifs qui affectent l’accord ou la situation du prestataire tiers de services TIC ;
    • le prestataire tiers de services TIC présente des faiblesses avérées liées à sa gestion globale du risque lié aux TIC et, en particulier, dans la manière dont il assure la Les données doivent être disponibles, accessibles et restaurables. L’authenticité des données est le principe qui garantit que les données proviennent de sources vérifiées et légitimes, confirmant ainsi leur origine et leur validité. Les données stockées, traitées et transmises au sein d'un système informatique restent exactes, cohérentes et non altérées. et la   La confidentialité des données est le principe qui vise à protéger les données contre tout accès, divulgation ou utilisation non autorisés, assurant ainsi que seules les personnes et systèmes autorisés peuvent y accéder. des données, qu’il s’agisse de données à caractère personnel ou autrement sensibles, ou de données à caractère non personnel ;
    • la FSMA ne peut plus surveiller efficacement l’entité financière en raison des conditions de l’accord contractuel en question ou des circonstances qui y sont liées (prestataire faisant obstacle au contrôle ou établi dans un pays tiers non coopératif par exemple).
  • 8. Comment mettre en œuvre une stratégie de sortie ?

    Les entités financières veillent à ce qu’elles puissent se retirer des accords contractuels sans :

    • perturber leurs activités ;
    • restreindre le respect des exigences réglementaires ;
    • porter atteinte à la continuité et à la qualité des services fournis aux clients.

    Les plans de sortie sont complets et documentés et, en tenant compte du principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. , font l’objet de tests et sont réexaminés périodiquement.

    Les entités financières définissent des solutions alternatives et élaborent des plans de transition leur permettant de supprimer les services TIC visés par le contrat et les données pertinentes détenues par le prestataire tiers de services TIC, et de les transférer en toute sécurité et intégralement à des prestataires alternatifs ou de les réincorporer en interne.

    Les entités financières disposent des mesures d’urgence qui s’imposent pour maintenir la continuité des activités au cas où des circonstances nécessitant la mise en œuvre d’une stratégie de sortie se présenteraient.

    Élaboration de stratégies de sortie

    Lors de l’élaboration de stratégies de sortie, les entités financières veillent à définir spécifiquement les objectifs de la stratégie de sortie. A cette fin, elles réalisent une analyse d’impact sur l’activité qui est proportionnée au risque des processus, des services ou des activités externalisées, afin de déterminer les ressources humaines et financières nécessaires à la mise en œuvre du plan de sortie ainsi que le temps nécessaire pour procéder à la sortie du dispositif d’externalisation.

    L’entité financière veillera également à attribuer des fonctions, des responsabilités et des ressources suffisantes pour la gestion des plans de sortie et des activités de transition. Elle inclura dans ses plans de sorties une définition des critères de réussite de la transition des fonctions et des données externalisées.

    Enfin, elle doit définir les indicateurs à utiliser pour le suivi du dispositif d’externalisation, y compris des indicateurs fondés sur des niveaux de service inacceptables qui devraient, le cas échéant, déclencher la sortie.

  • 9. Comment évaluer préalablement un risque de concentration de TIC au niveau de sa société ?

    Dans le cadre de l’identification et de l’évaluation du risque de concentration informatique, les entités financières examinent également si la conclusion envisagée d’un accord contractuel portant sur des services TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. conduirait à l’une des situations suivantes :

    • la conclusion d’un contrat avec un prestataire tiers de services TIC dont les services ne sont pas facilement substituables ;
    • la mise en place de plusieurs accords contractuels relatifs à la fourniture de services TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. avec le même prestataire tiers de services TIC ou avec des prestataires tiers de services TIC étroitement liés.

    Dans un tel cas, les entités financières évaluent les avantages et les coûts des solutions alternatives, telles que le recours à différents prestataires tiers de services TIC, en tenant compte de la compatibilité éventuelle des solutions envisagées avec leurs besoins et leurs objectifs définis dans leur stratégie de résilience numérique, et de la manière de garantir cette compatibilité.

    Le risque de concentration

    Afin de remédier à l’effet systémique du risque de concentration des prestataires tiers de services TIC, DORA privilégie une approche souple et progressive en ce qui concerne le risque de concentration. Le législateur européen a ainsi jugé que l’imposition d’un plafond spécifique ou d’une limitation stricte pourrait entraver la conduite des affaires et restreindre la liberté contractuelle.

    Les entités financières doivent donc procéder à une évaluation rigoureuse des accords contractuels qu’elles envisagent afin de déterminer la probabilité qu’un tel risque apparaisse. Lors de cette analyse, elles analyseront en particulier les accords de sous-traitance, en particulier ceux conclus avec des prestataires tiers de services TIC établis dans un pays tiers.

  • 10. Quels principes respecter en matière de services TIC qui soutiennent des fonctions critiques ou importantes ?

    Lorsque les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. prévoient la possibilité de sous-traiter ces services TIC à d’autres prestataires tiers de services TIC, les entités financières évaluent les avantages et les risques qui peuvent découler de cette sous-traitance, en particulier dans le cas d’un sous-traitant de services TIC établi dans un pays tiers.

    Ces risques comprennent notamment :

    1. la législation en matière d’insolvabilité qui s’appliqueraient en cas de faillite du prestataire tiers de services TIC, ainsi que de toute contrainte qui pourrait survenir relativement à la récupération urgente des données de l’entité financière ;
    2. l'obligation de respect des règles de l’Union en matière de protection des données et de l’application effective de la législation dans ce pays tiers ;
    3. la difficulté pour l’entité financière à assurer un suivi rigoureux des fonctions visées par le contrat en raison de chaînes de sous-traitance potentiellement longues ou complexes ;
    4. la capacité de l’autorité compétente à surveiller efficacement l’entité financière à cet égard.
  • 11. Comment consigner les droits et obligations respectifs de l’entité financière et du prestataire tiers de services TIC ?

    Les droits et obligations de l’entité financière et du prestataire tiers de services TIC sont définis clairement et consignés par écrit. L’intégralité du contrat comprend les accords de niveau de service et est consignée dans un document écrit unique qui est mis à la disposition des parties sur papier, ou dans un document sous un autre format téléchargeable, durable et accessible. 

  • 12. Quelles sont les dispositions contractuelles qui doivent toujours figurer dans les accords contractuels ?

    Les accords contractuels relatifs à l’utilisation de services TIC comportent au moins les éléments suivants :

    • description des services fournis ;
    • lieux des services fournis ;
    • disponibilité, confidentialité et sécurité des données ;
    • accès et restitution des données ;
    • niveaux de services ;
    • obligation d’assister le client ;
    • obligation de coopérer avec la FSMA ;
    • contribution à la sensibilisation et la formation du client ;
    • droit de résiliation et préavis.
  • 13. Quelles sont les dispositions contractuelles qui doivent toujours figurer dans les accords contractuel relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ?

    Les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. comportent, outre ceux visés au point 11 ci-dessus, au moins les éléments suivants :

    • objectifs de performance du prestataire ;
    • délais de préavis ;
    • mise en œuvre et tests de plans d’urgence ;
    • participation du prestataire à la réalisation de tests de penétration du Tout investisseur ou porteur de projet, potentiel ou effectif, auquel un prestataire de services de financement participatif fournit ou a l’intention de fournir des services de crowdfunding.
       ;
    • droit illimité du Tout investisseur ou porteur de projet, potentiel ou effectif, auquel un prestataire de services de financement participatif fournit ou a l’intention de fournir des services de crowdfunding.
      à demander des documents et auditer ;
    • précisions sur la portée et la fréquence des audits et inspections ;
    • établissement d’une stratégie de sortie.

    Le prestataire tiers de services TIC et l’entité financière qui est une microentreprise peuvent convenir que les droits d’accès, d’inspection et d’audit de l’entité financière peuvent être délégués à une tierce partie indépendante, nommée par le prestataire tiers de services TIC, et que l’entité financière est habilitée à demander à la tierce partie, en tout temps, des informations ainsi qu’une garantie concernant la performance du prestataire tiers de services TIC.

    Un règlement technique

    Un règlement technique (RTS) précisant les éléments qu'une entité financière doit déterminer et évaluer lorsqu'elle sous-traite des services TIC soutenant des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. .

  • 14. Comment assurer en synthèse le suivi des contrats avec des prestataires tiers de service TIC ? (tableau récapitulatif)

    Analyse précontractuelle 
    (art 28.4, 28.5, 29)
    Clauses dans tous les contrats 
    (art 28.7, 30.2)
    Pour les fonctions importantes
    (art 30.3)
    • standards du prestataire en matière de sécurité informatique  ; 
    • évaluation des risques, y compris le risque de concentration ;
    • éventuels conflits d’intérêts.
    • description des services fournis ;
    • lieux des services fournis  ;
    • disponibilité, confidentialité et sécurité des données ;
    • accès et restitution des données ;
    • niveaux de services ;
    • obligation d’assister le client ;
    • obligation de coopérer avec la FSMA ;
    • contribution à la sensibilisation et la formation du client ;
    • droit de résiliation et préavis.
    • objectifs de performance du prestataire ;
    • délais de préavis ;
    • mise en œuvre et tests de plans d’urgence ;
    • participation du prestataire à la réalisation de tests d’intrusion du client ;
    • droit illimité du client à demander des documents et auditer ;
    • précisions sur la portée et la fréquence des audits et inspections ;
    • Établissement d’une stratégie de sortie.