Prestataires TIC critiques sous DORA : ce que change réellement l’oversight européen pour les établissements financiers

Actualité Cybersécurité

Depuis l’entrée en application de DORA en janvier 2025, la gestion des risques liés aux prestataires TIC n’est plus seulement un sujet de contractualisation ou d’audit fournisseur. Elle devient un enjeu de supervision européenne, en particulier lorsque certains fournisseurs sont considérés comme critiques pour le fonctionnement du secteur financier.

Les Autorités européennes de supervision — EBA, ESMA et EIOPA — ont progressivement précisé le cadre d’oversight des prestataires TIC critiques, ou Critical ICT Third-Party Providers (CTPP). En juillet 2025, elles ont publié un guide dédié aux activités d’oversight, puis, en novembre 2025, la première liste de prestataires désignés comme critiques au niveau de l’Union européenne.

Pour les banques, assurances et autres entités financières, cette évolution ne signifie pas que la responsabilité est transférée au superviseur européen. Elle impose au contraire une lecture plus structurée des dépendances critiques, des obligations contractuelles, des flux d’information et de la gouvernance interne du risque fournisseur.

Une supervision européenne des fournisseurs critiques

DORA introduit un cadre spécifique pour les prestataires TIC critiques. L’objectif est de limiter les risques systémiques pouvant résulter de la concentration du secteur financier autour d’un nombre réduit de fournisseurs technologiques.

Les communications de l’EBA, de l’ESMA et de l’EIOPA rappellent que l’oversight européen vise à évaluer si les prestataires désignés disposent de cadres de gouvernance, de gestion des risques et de résilience adaptés aux services qu’ils fournissent aux entités financières.

Cette supervision repose notamment sur le rôle de Lead Overseer attribué à l’une des Autorités européennes de supervision, ainsi que sur des Joint Examination Teams chargées de conduire les activités d’oversight. Le guide publié en 2025 par les ESAs précise les grandes étapes de ce dispositif : collecte d’informations, échanges avec les prestataires critiques, analyses de risque, recommandations et suivi.

Pour les établissements financiers, l’enjeu est de comprendre que cette supervision ne remplace pas leur propre dispositif de gestion des tiers. Elle vient s’ajouter à leurs obligations existantes.

Ce que la désignation d’un CTPP change réellement

Lorsqu’un fournisseur est désigné comme prestataire TIC critique au niveau européen, cela ne signifie pas que toutes les entités clientes disposent automatiquement d’un niveau de protection suffisant.

La désignation indique que ce fournisseur est considéré comme important pour la résilience du système financier européen, compte tenu notamment :

du nombre d’entités financières qui en dépendent ;
de la criticité des services fournis ;
du degré de substituabilité du prestataire ;
de l’impact potentiel d’une défaillance sur plusieurs acteurs de marché.

Pour une banque ou une assurance, cette désignation doit donc déclencher une analyse interne : quels services consommons-nous réellement auprès de ce fournisseur ? Quels processus critiques en dépendent ? Quelles données, quels accès, quelles fonctions métiers sont concernés ? Quels scénarios de défaillance avons-nous testés ?

La supervision européenne crée un cadre de contrôle au niveau du prestataire, mais elle ne supprime pas la nécessité d’une cartographie fine au niveau de chaque établissement.

Gouvernance interne : achats, conformité, IT et cybersécurité

La gestion des prestataires TIC critiques ne peut plus être portée par une seule fonction. Elle implique nécessairement plusieurs acteurs internes.

Les équipes achats et juridiques interviennent sur les clauses contractuelles, les droits d’audit, les obligations de notification, les engagements de continuité ou les conditions de sortie. Les équipes IT et cloud doivent documenter les dépendances techniques, les intégrations, les flux, les accès et les services managés utilisés. Les équipes cybersécurité évaluent les risques liés aux identités, aux clés, à la journalisation, à la supervision et aux scénarios d’incident. Les fonctions risques et conformité doivent enfin consolider ces éléments dans une lecture cohérente avec DORA.

Ce croisement des responsabilités impose une gouvernance claire. Un prestataire critique ne doit pas être uniquement suivi dans un registre fournisseurs. Il doit être intégré à la cartographie des services critiques, aux scénarios de résilience, aux plans de continuité et aux exercices de crise.

Exigences contractuelles : aller au-delà du contrat standard

DORA renforce l’importance des clauses contractuelles relatives aux prestataires TIC. Pour les fournisseurs critiques, ces clauses doivent permettre à l’établissement de disposer d’un niveau suffisant de visibilité et de maîtrise.

Les points d’attention portent notamment sur :

les délais de notification en cas d’incident ;
l’accès aux informations nécessaires à l’analyse d’impact ;
la localisation et la portabilité des données ;
les modalités de sous-traitance ;
les exigences de continuité et de reprise ;
les conditions d’audit ou de revue ;
les mécanismes de sortie ou de transition.

Le guide des ESAs sur l’oversight rappelle que les prestataires critiques seront évalués sur leur capacité à gérer les risques TIC liés aux services fournis au secteur financier. Mais, côté établissement, le contrat reste l’un des principaux leviers pour garantir l’accès à l’information et la capacité d’action en cas de crise.

La difficulté réside souvent dans l’asymétrie de négociation avec certains grands fournisseurs. Cela renforce l’importance d’une approche sectorielle et d’un dialogue structuré avec les superviseurs.

Partage d’informations et gestion des incidents

L’un des enjeux pratiques majeurs concerne le partage d’informations en cas d’incident. Lorsqu’un incident affecte un fournisseur critique, plusieurs établissements peuvent être concernés simultanément, mais tous ne disposent pas nécessairement du même niveau d’information, ni de la même capacité à qualifier l’impact sur leurs propres services.

Dans un cadre DORA, cette situation pose plusieurs questions :

qui reçoit l’information initiale ;
dans quel délai ;
avec quel niveau de détail ;
comment l’établissement qualifie son propre impact ;
comment intégrer l’incident fournisseur dans le reporting interne ou réglementaire ;
comment coordonner la communication avec les métiers et les clients.

L’oversight européen peut améliorer la vision globale des risques liés aux prestataires critiques, mais la capacité de l’établissement à réagir dépend de ses propres processus : points de contact identifiés, runbooks d’incident tiers, cartographie des dépendances, tests de crise et procédures de décision.

Risque de concentration : un sujet de résilience systémique

Le risque de concentration est au cœur du dispositif DORA relatif aux CTPP. Il apparaît lorsqu’un nombre important d’entités financières dépend du même fournisseur ou d’un nombre limité de fournisseurs pour des fonctions essentielles.

Ce risque n’est pas uniquement théorique. Une défaillance majeure d’un fournisseur cloud, d’un fournisseur SaaS critique, d’un prestataire de services de paiement ou d’une plateforme technique transversale peut avoir des effets simultanés sur plusieurs acteurs de marché.

Pour les établissements financiers, cela implique de dépasser la simple analyse fournisseur par fournisseur. Il faut également identifier :

les dépendances communes entre services ;
les prestataires utilisés par plusieurs entités du groupe ;
les services non substituables à court terme ;
les fonctions métier dépendantes d’un même socle technologique ;
les scénarios de rupture simultanée.

Cette analyse doit alimenter les plans de continuité, les plans de sortie, les exercices de crise et les arbitrages d’architecture.

Préparer les échanges avec les superviseurs

En 2026, les établissements financiers doivent s’attendre à des échanges plus précis sur leur maîtrise des prestataires TIC critiques.

Les superviseurs pourront interroger :

la qualité de la cartographie des dépendances ;
la capacité à identifier les services critiques fournis par des tiers ;
la cohérence des clauses contractuelles ;
les résultats des tests de résilience ;
la capacité à qualifier un incident fournisseur ;
les plans de remédiation ou de sortie.

L’enjeu n’est pas de démontrer une absence totale de dépendance, ce qui serait peu réaliste, mais de montrer que cette dépendance est connue, documentée, pilotée et testée.

Un établissement mature doit être capable d’expliquer quels prestataires sont critiques pour ses activités, quels risques sont acceptés, quels contrôles sont en place, et quelles actions seraient déclenchées en cas de défaillance.

Une coopération européenne élargie

L’accord de coopération signé en janvier 2026 entre les Autorités européennes de supervision et les autorités britanniques illustre également la dimension transfrontalière du sujet. Les grands prestataires TIC opèrent rarement dans un seul pays ou sous une seule juridiction.

Cette coopération vise à faciliter la supervision des fournisseurs critiques dont les services peuvent affecter plusieurs marchés financiers. Pour les établissements, cela confirme que la gestion du risque tiers devient un sujet de place, et non uniquement une question bilatérale entre un client et son fournisseur.

Perspective du Forum des Compétences

Le volet oversight de DORA marque une évolution importante dans la manière d’appréhender les prestataires TIC critiques. Il ne s’agit plus seulement d’évaluer un fournisseur au moment de la contractualisation, mais de l’inscrire dans une gouvernance continue du risque opérationnel.

Pour le Forum des Compétences, l’enjeu est de favoriser une lecture commune entre achats, IT, cybersécurité, conformité, risques et métiers. La supervision européenne des CTPP peut renforcer la résilience de la place financière, mais elle ne remplace pas le travail de terrain : cartographie, contractualisation, tests, coordination et amélioration continue.

La désignation d’un fournisseur critique doit donc être vue comme un signal de vigilance et non comme une garantie. Ce qui compte, pour chaque établissement, est sa capacité à comprendre sa propre dépendance, à documenter ses contrôles et à maintenir une capacité d’action en cas d’incident ou de rupture de service.

1. Qu’est-ce qu’un prestataire TIC critique sous DORA ?

Un prestataire TIC critique, ou CTPP pour Critical ICT Third-Party Provider, est un fournisseur de services technologiques considéré comme particulièrement important pour la résilience du secteur financier européen.

Il peut s’agir, par exemple, d’un fournisseur cloud, d’un prestataire SaaS, d’un acteur d’infrastructure, d’un fournisseur de services managés ou d’un prestataire technique utilisé par de nombreuses entités financières.

Sa criticité est appréciée au niveau européen en fonction de plusieurs critères, notamment :

le nombre d’entités financières qui en dépendent ;
la criticité des services fournis ;
le degré de substituabilité du fournisseur ;
l’impact potentiel d’une défaillance ;
l’existence de dépendances croisées ou systémiques.

2. Que signifie l’oversight européen des CTPP ?

3. Qui supervise les prestataires TIC critiques ?

4. La désignation d’un fournisseur comme CTPP réduit-elle la responsabilité de la banque ou de l’assurance cliente ?

NOS ACTUALITÉS

Actualité Cybersécurité

Authentification résistante au phishing : passkeys, FIDO et nouveaux standards pour les parcours financiers

04/06/2026

Une évolution nécessaire des mécanismes d’authentificationLa montée des campagnes de phishing ciblées, des fraudes...

Actualité Cybersécurité

Assistants IA internes, prompt injection et shadow AI : nouveaux risques pour les banques et assurances

25/05/2026

L’adoption des assistants IA internes s’accélère dans les banques et les assurances. Copilotes bureautiques,...

Actualité Cybersécurité

DORA TLPT et TIBER-EU : comment préparer des tests réalistes sans transformer l’exercice en audit de façade

13/05/2026

La mise à jour du cadre TIBER-EU par la Banque centrale européenne en février...

Actualité Cybersécurité

Sécurité interbancaire et back-office : contrôles SWIFT, séparation des rôles et détection d’anomalies dans les opérations sensibles

06/05/2026

Les systèmes interbancaires et les environnements back-office restent parmi les actifs les plus sensibles...

Actualité Cybersécurité

Supply chain logicielle : SBOM, sécurisation CI/CD, contrôle des dépendances et détection d’introduction malveillante

23/04/2026

La sécurité des systèmes d’information bancaires et assurantiels ne se limite plus aux applications...

Actualité Cybersécurité

Tests “Threat-Led” (TLPT) : cadrage, scénarios, critères de succès et exploitation des résultats

15/04/2026

Table des matières Vers une approche orientée menaces dans la résilience cyberLes dispositifs de...

Actualité Cybersécurité

Passkeys dans les parcours financiers : bénéfices, limites et conditions de déploiement

06/04/2026

Table des matières Un nouveau standard, mais pas une solution isoléeLes passkeys s’imposent progressivement...

Actualité Cybersécurité

Sécurité des assistants IA internes : prompt injection, data leakage, RAG et contrôle des accès

27/03/2026

Table des matières L’intégration d’assistants IA internes — copilotes métiers, agents conversationnels, outils d’aide...

Actualité Cybersécurité

Risque de concentration et “exit plan” : exigences réelles de réversibilité cloud/SaaS et tests associés

19/03/2026

Table des matières La généralisation du cloud et des services SaaS dans le secteur...

Actualité Cybersécurité

DORA en pratique : classification d’incident, preuves, reporting et coordination inter-fonctions

12/03/2026

Table des matières Depuis son entrée en application le 17 janvier 2025, DORA a...

Actualité Cybersécurité

Fraude aux paiements “APP” et Verification of Payee : implications cyber, processus et contrôle

05/03/2026

Table des matières La fraude APP, un risque en forte visibilité en Europe La...

Actualité Cybersécurité

Ransomware, sauvegardes hors ligne et résilience : enseignements des attaques 2025 – début 2026

19/02/2026

Table des matières Les rapports publiés fin 2025 par l’ENISA dans son Threat Landscape,...