Cartographie des risques DORA : évaluer ses sous traitants TIC

Illustration Article : Audit DORA

La cartographie des risques DORA sert à classer chaque sous traitant TIC selon son impact sur vos fonctions critiques, la solidité de ses engagements, sa capacité de continuité et la qualité des preuves qu’il peut produire.
Pour une banque, une mutuelle ou une assurance, ce travail alimente le registre d information, les revues de risque tiers, les décisions contractuelles et la stratégie de sortie attendue par DORA.

Pourquoi cartographier

DORA place la gestion du risque lié aux prestataires tiers TIC au cœur de la résilience opérationnelle numérique des entités financières.
L’enjeu dépasse le simple référencement fournisseur : il s’agit d’identifier les prestations qui soutiennent une fonction critique ou importante, d’encadrer les contrats, de suivre les dépendances et de préparer une sortie maîtrisée.

Sur le terrain, nous voyons souvent le même écart. Les établissements connaissent leurs grands prestataires, mais ils pilotent encore mal la profondeur réelle de la chaîne de service, les dépendances techniques, les sous traitances en cascade et les preuves contractuelles.

Ce que vous devez regarder

Une cartographie DORA utile relie cinq angles d’analyse : criticité du service, exposition des données, dépendance opérationnelle, robustesse contractuelle et capacité de continuité.

Le questionnaire d’auto évaluation publié par l’AMF montre aussi l’importance de la documentation, de l’inventaire des actifs, de l’architecture TIC et des preuves de contrôle lorsque le sujet devient auditable.

La grille d’évaluation

Axe Ce qu’il faut qualifier Ce qu’il faut exiger
Criticité du service Rôle du prestataire dans une fonction critique ou importante, niveau de dépendance opérationnelle, impact métier en cas d’arrêt. Classement du service, propriétaire interne, scénario de rupture, décision de maintien ou de renforcement.
Données et traitements Données hébergées ou traitées, localisation, confidentialité, intégrité, disponibilité, accès aux environnements. Clauses sur la localisation, la protection des données, les accès, la restitution et la suppression.
Continuité et incident Capacité de reprise, assistance en cas d’incident TIC, délais de support, tests et restauration. PRA, preuves de test, engagements de service, escalade de crise, points de contact.
Contrat et audit Description précise du service, SLA, droit d’audit, coopération, sous traitance, résiliation, stratégie de sortie. Annexe sécurité complète, auditabilité, réversibilité, obligations de notification, gouvernance contractuelle.
Chaîne de sous traitance Prestataires de rang 2, dépendances techniques, concentration du risque, visibilité sur les changements. Encadrement de la sous traitance, information préalable, contrôle des changements, suivi régulier.

La méthode

1. Recenser les prestations TIC

La première étape consiste à établir une vue exhaustive des services TIC achetés, des applications supportées, des environnements concernés, des flux associés et des fournisseurs impliqués.
Cette base sert ensuite au registre d information prévu dans le cadre DORA et au pilotage des prestations soutenant des fonctions critiques ou importantes.

Dans beaucoup d’établissements, ce recensement révèle immédiatement trois angles morts : services métiers achetés hors DSI, briques SaaS peu documentées et prestataires historiques dont le périmètre exact a dérivé au fil des années.

2. Qualifier la criticité métier

Chaque sous traitant TIC doit être rattaché à un service métier, à un propriétaire interne et à un niveau de criticité.
La bonne question consiste à mesurer l’effet d’une défaillance sur l’activité, la conformité, la relation client, la disponibilité du service et la capacité de l’établissement à tenir ses obligations.

Une mutuelle peut par exemple considérer comme très critique un prestataire gérant l’hébergement d’un portail adhérent, un moteur de prestations ou une brique d’authentification forte. La criticité vient alors du service rendu au métier, du volume d’utilisateurs concernés et du délai de reprise acceptable.

3. Analyser le risque contractuel

DORA impose un niveau de précision contractuelle beaucoup plus élevé sur les prestations TIC .
L’article 30 prévoit notamment la description complète des services, les niveaux de service, la localisation des traitements, l’assistance en cas d’incident, les droits d’audit, les conditions de sous traitance, la continuité et la stratégie de sortie .

C’est ici que de nombreux dossiers prennent du retard. Nous voyons encore des contrats solides sur le plan commercial, puis trop légers sur le plan réglementaire, avec des annexes sécurité courtes, des droits d’audit flous et une réversibilité peu exploitable.

4. Évaluer la maturité opérationnelle

Une cartographie DORA utile regarde aussi la capacité réelle du prestataire à opérer en situation sensible. Le questionnaire AMF met l’accent sur les politiques, l’inventaire des actifs, la gestion des incidents, la continuité, la restauration, la journalisation et la gouvernance des accès.

Pour évaluer cette maturité, nous recommandons de collecter des éléments concrets :

  1. Politique de sécurité et gouvernance documentaire.
  2. Organisation de gestion des incidents.
  3. Dispositif de sauvegarde et de restauration.
  4. Compte rendu de tests de continuité.
  5. Gestion des accès et des habilitations.
  6. Schéma d’architecture et dépendances techniques.

Ces preuves permettent de sortir d’une logique déclarative. Elles transforment l’évaluation fournisseur en décision de risque documentée.

5. Noter la chaîne de sous traitance

Le risque DORA se diffuse souvent par les rangs inférieurs. Un fournisseur principal peut lui même s’appuyer sur un hébergeur, un opérateur cloud, un éditeur, un support offshore ou un intégrateur spécialisé, ce qui augmente la dépendance et complexifie la supervision.

La cartographie doit donc identifier les sous traitants importants, les maillons techniques sensibles, les changements de périmètre et les points de concentration. Cette profondeur de vue devient décisive quand plusieurs services critiques reposent sur la même dépendance.

Les critères qui comptent

Une matrice d’évaluation efficace peut reposer sur une note simple, de 1 à 4, pour chaque critère clé. L’objectif consiste à hiérarchiser les plans d’action et à justifier les arbitrages.

Critères de scoring

  1. Criticité du service pour l’activité.
  2. Sensibilité des données traitées.
  3. Dépendance à un fournisseur unique.
  4. Qualité des clauses contractuelles DORA.
  5. Capacité de continuité et de reprise.
  6. Maturité documentaire et preuves disponibles.
  7. Visibilité sur la chaîne de sous traitance.
  8. Facilité de réversibilité.

Un fournisseur très critique avec un contrat faible, une sous traitance opaque et une réversibilité floue doit passer en tête de la feuille de route. Un fournisseur moins critique peut entrer dans un cycle de remédiation plus progressif.

Les écarts réels

Les écarts qui reviennent le plus souvent suivent toujours la même logique :

Politiques absentes

Le prestataire opère correctement, mais il produit peu de politiques formalisées. L’établissement financier se retrouve alors avec une relation de confiance mal documentée, difficile à défendre en audit.

Documentation technique dispersée

Les environnements tournent, les flux existent, les sauvegardes sont actives, mais l’architecture, les dépendances et les points de reprise restent mal décrits. La cartographie perd alors sa valeur de pilotage.

Contrats trop courts

Le contrat couvre l’achat du service, puis laisse de côté les exigences DORA décisives : audit, notification, continuité, sous traitance, localisation et sortie .
Ce point pèse lourd dans les revues fournisseurs des acteurs financiers, car le contrat devient la pièce qui relie le risque, le contrôle et la remédiation.

Comment présenter la cartographie

Une cartographie DORA doit rester lisible par la direction, la conformité, la DSI, le RSSI et les métiers. Le bon format combine une fiche par prestataire, une matrice de criticité et un tableau de synthèse pour les arbitrages.

Contenu minimal d’une fiche

  1. Nom du prestataire et service rendu.
  2. Fonction métier supportée.
  3. Niveau de criticité.
  4. Données concernées.
  5. Pays de traitement et d’hébergement.
  6. Rang de sous traitance connu.
  7. Clauses clés du contrat.
  8. Niveau de maturité opérationnelle.
  9. Stratégie de sortie.
  10. Plan d’action et responsable interne.

Ce format facilite les comités, les revues de contrat et la préparation du registre d information. Il permet aussi de montrer un pilotage vivant plutôt qu’une cartographie figée.

Ce que nous recommandons

Chez Cyberstrat, nous conseillons d’aborder la cartographie des sous traitants TIC comme un chantier de gouvernance autant que de conformité. Le sujet touche à la fois la direction, les achats, le juridique, la DSI, le RSSI, la conformité et les métiers.

L’ordre de travail le plus efficace tient en cinq temps :

  1. Recenser tous les services TIC externalisés.
  2. Classer les prestations par criticité métier.
  3. Évaluer le contrat, la maturité et la continuité.
  4. Prioriser les remédiations sur les fournisseurs critiques.
  5. Mettre à jour la cartographie dans un cycle régulier.

Une bonne cartographie DORA donne une vue claire de vos dépendances, de vos points de concentration et des remédiations à lancer en priorité.
Cyberstrat vous accompagne avec un Audit DORA et avec le suivi du plan d’action recommandé par la réglementation et l’ACPR, pour structurer votre cartographie des sous traitants TIC, renforcer vos contrats et sécuriser vos preuves de conformité.

Partager la publication :

Ces articles pourraient aussi vous intéresser :