DORA et cloud : exigences pour les services externalises

Le recours aux services cloud par les entites financieres s’est generalise au cours de la derniere decennie, transformant en profondeur l’architecture des systemes d’information du secteur. Le reglement DORA (Digital Operational Resilience Act, reglement (UE) 2022/2554), applicable depuis le 17 janvier 2025, encadre desormais de maniere stricte les conditions dans lesquelles les entites financieres peuvent externaliser des fonctions critiques ou importantes aupres de fournisseurs de services cloud. Ce cadre reglementaire impose des exigences tant en amont de la relation contractuelle que dans son execution et sa surveillance continue.

Le cadre general de DORA pour l’externalisation TIC

Les prestataires TIC tiers au sens de DORA

Le reglement DORA ne vise pas specifiquement les fournisseurs de services cloud, mais les englobe dans la categorie plus large des prestataires tiers de services TIC (technologies de l’information et de la communication). L’article 3, point 21, definit le prestataire tiers de services TIC comme une entreprise qui fournit des services TIC. Les fournisseurs de services cloud (IaaS, PaaS, SaaS) entrent donc pleinement dans le champ d’application du reglement.

Cette approche technologiquement neutre permet a DORA de couvrir l’ensemble des modeles de deploiement cloud : cloud public, cloud prive, cloud hybride et multicloud. Elle s’applique quel que soit le modele de service : infrastructure en tant que service, plateforme en tant que service ou logiciel en tant que service.

La notion de fonction critique ou importante

DORA distingue les prestataires TIC tiers en general des prestataires qui soutiennent des fonctions critiques ou importantes. Cette distinction est fondamentale car elle conditionne le niveau d’exigences applicables. L’article 3, point 22, definit la fonction critique ou importante comme une fonction dont la defaillance compromettrait sensiblement la performance financiere, la solidite ou la continuite des services d’une entite financiere.

Pour les services cloud soutenant des fonctions critiques ou importantes, les exigences de DORA sont considerablement renforcees, tant en matiere contractuelle que de surveillance et de tests.

Les exigences prealables a l’externalisation cloud

L’evaluation des risques prealable

Avant de conclure un accord d’externalisation cloud, l’entite financiere doit conduire une evaluation approfondie des risques lies au recours au prestataire envisage. L’article 28, paragraphe 4, impose a l’entite financiere d’evaluer :

• Les risques lies a la concentration des services TIC aupres d’un nombre restreint de fournisseurs.
• Les risques lies a la localisation geographique des centres de donnees et a la legislation applicable.
• Les risques lies aux sous-traitants du fournisseur cloud (chaines de sous-traitance).
• Les risques de dependance (lock-in) et les possibilites de sortie ou de transfert.

Cette evaluation doit etre documentee et mise a jour regulierement. Les prestataires TIC critiques font l’objet d’exigences renforcees de due diligence.

L’inscription au registre des accords contractuels

L’article 28, paragraphe 3, impose aux entites financieres de tenir un registre de l’ensemble des accords contractuels conclus avec des prestataires tiers de services TIC. Ce registre doit distinguer les accords portant sur des fonctions critiques ou importantes des autres accords. Il constitue un outil de pilotage essentiel de la dependance de l’entite financiere a ses prestataires cloud.

Les exigences contractuelles

Les clauses obligatoires

L’article 30 de DORA enumere un ensemble de clauses obligatoires que doit contenir tout accord contractuel avec un prestataire tiers de services TIC. Pour les services cloud, ces clauses couvrent notamment :

Description des services. Le contrat doit decrire de maniere exhaustive et non ambigue les services cloud fournis, les niveaux de service (SLA), les lieux de traitement et de stockage des donnees, ainsi que les conditions de sous-traitance.

Localisation des donnees. Le contrat doit preciser les lieux de traitement et de stockage des donnees, y compris les lieux de sauvegarde. L’entite financiere doit pouvoir etre informee a l’avance de tout changement de localisation. Cette exigence est particulierement sensible pour les services cloud multinationaux dont les donnees transitent entre plusieurs juridictions.

Disponibilite et continuite. Le contrat doit garantir des niveaux de disponibilite, d’accessibilite et de performance adequats. Des indicateurs quantitatifs et des mecanismes de penalite doivent etre prevus.

Securite. Le fournisseur cloud doit mettre en oeuvre des mesures de securite conformes aux exigences de l’entite financiere et aux normes reconnues. Le contrat doit preciser les responsabilites respectives en matiere de securite selon le modele de service (IaaS, PaaS, SaaS).

Les clauses renforcees pour les fonctions critiques

Pour les services cloud soutenant des fonctions critiques ou importantes, l’article 30, paragraphe 2, impose des clauses supplementaires :

Droit d’audit. L’entite financiere doit disposer d’un droit d’audit complet sur les services fournis par le prestataire cloud, y compris sur site. Ce droit d’audit peut etre exerce directement par l’entite, par un tiers designe ou par un mecanisme d’audit mutuel (pooled audit). Les hyperscalers proposent generalement des rapports SOC 2 ou ISO 27001 comme alternative a l’audit sur site, mais ces rapports ne dispensent pas de la contractualisation d’un droit d’audit effectif.

Strategie de sortie. Le contrat doit prevoir une strategie de sortie complete, incluant les conditions de portabilite des donnees, les delais de transition, le format de restitution des donnees et la destruction certifiee des donnees apres transfert. La question de la portabilite cloud est egalement encadree par le Data Act.

Plans de continuite. Le fournisseur cloud doit mettre en place des plans de continuite d’activite et de reprise d’activite testes et documentes. L’entite financiere doit s’assurer que ces plans sont compatibles avec ses propres exigences de continuite d’activite.

Sous-traitance. Le contrat doit encadrer les conditions dans lesquelles le fournisseur cloud peut recourir a des sous-traitants. L’entite financiere doit disposer d’un droit d’opposition a la designation de nouveaux sous-traitants pour les fonctions critiques.

La surveillance continue des prestataires cloud

Le suivi des indicateurs de performance

L’entite financiere doit mettre en place un dispositif de surveillance continue de la performance de ses prestataires cloud. L’article 28, paragraphe 2, impose un suivi regulier comprenant :

• La mesure des niveaux de service effectifs par rapport aux SLA contractuels.
• L’analyse des incidents de securite et des indisponibilites.
• Le suivi des changements apportes par le fournisseur a son infrastructure ou a ses services.
• L’evaluation periodique de la qualite de la relation et de la reactivite du fournisseur.

La gestion des incidents

Le reglement DORA impose des obligations de notification des incidents TIC majeurs. Lorsqu’un incident affecte un service cloud soutenant une fonction critique, l’entite financiere doit notifier l’incident a son autorite de supervision dans les delais prevus par le reglement. Le contrat cloud doit donc prevoir les modalites de notification rapide par le fournisseur a l’entite financiere, avec des delais compatibles avec les obligations reglementaires de cette derniere.

L’article 19 impose une notification initiale dans un delai de quatre heures apres la classification de l’incident comme majeur, et un rapport intermediaire dans les 72 heures. Le fournisseur cloud doit etre contractuellement tenu de fournir les informations necessaires dans des delais compatibles.

Les tests de resilience

L’article 26 de DORA impose aux entites financieres de conduire des tests de resilience operationnelle numerique couvrant l’ensemble de leurs systemes TIC, y compris les systemes heberges dans le cloud. Ces tests peuvent inclure des analyses de vulnerabilites, des tests de penetration, des tests de performance et des exercices fondes sur des scenarios de menace.

Pour les entites financieres identifiees comme devant conduire des tests avances (TLPT – Threat-Led Penetration Testing), ces tests doivent egalement couvrir les services cloud critiques. La cooperation du fournisseur cloud est indispensable pour la realisation de ces tests, ce qui doit etre anticipe contractuellement.

La question de la concentration des risques

Le risque systemique du cloud

L’une des preoccupations majeures du legislateur europeen est le risque de concentration lie a la dependance du secteur financier a un nombre restreint de fournisseurs cloud. Les trois principaux hyperscalers (AWS, Microsoft Azure, Google Cloud) concentrent une part significative de l’infrastructure cloud du secteur financier europeen. La defaillance de l’un d’entre eux pourrait avoir des consequences systemiques.

Le cadre de surveillance des prestataires TIC critiques

DORA introduit un cadre de surveillance directe des prestataires TIC tiers designes comme critiques par les autorites europeennes de surveillance (articles 31 a 44). Ce cadre permet aux autorites de conduire des inspections, de formuler des recommandations et d’imposer des mesures correctives aux prestataires TIC critiques, y compris les fournisseurs cloud.

La designation comme prestataire critique est effectuee par les autorites europeennes de surveillance sur la base de criteres tels que le caractere systemique du prestataire, le degre de dependance des entites financieres et le caractere substituable du prestataire. Les principaux fournisseurs cloud sont des candidats naturels a cette designation.

Les strategies d’attenuation

Pour limiter le risque de concentration, les entites financieres doivent envisager des strategies de diversification : multi-cloud, cloud hybride, maintien de capacites de repli en interne. Le risque TIC lie a la concentration doit etre integre dans le cadre de gestion des risques de l’entite.

L’articulation avec d’autres reglementations

DORA et les orientations EBA/EIOPA/ESMA

Les autorites europeennes de surveillance ont publie des normes techniques de reglementation (RTS) et des normes techniques d’execution (ITS) qui precisent les exigences de DORA en matiere d’externalisation cloud. Ces textes definissent notamment les criteres de classification des services TIC, les elements du registre des accords contractuels et les modalites des tests de resilience.

DORA et NIS2

La directive NIS2 s’applique egalement aux fournisseurs de services cloud designes comme entites essentielles ou importantes. L’articulation entre DORA et NIS2 prevoit que DORA constitue une lex specialis pour le secteur financier. Neanmoins, les fournisseurs cloud eux-memes restent soumis a NIS2 pour l’ensemble de leurs activites.

DORA et RGPD

L’externalisation de donnees personnelles dans le cloud impose le respect des exigences du RGPD en matiere de sous-traitance (article 28 du RGPD), de transferts internationaux (chapitre V du RGPD) et de securite des traitements (article 32 du RGPD). Les contrats cloud doivent integrer les clauses RGPD en complement des clauses DORA. Le texte du reglement DORA est disponible sur EUR-Lex. Les orientations de l’ENISA sur la securite cloud fournissent egalement des recommandations techniques complementaires.

FAQ

Un fournisseur cloud peut-il refuser le droit d’audit prevu par DORA ?

Le droit d’audit est une exigence reglementaire imperative pour les services cloud soutenant des fonctions critiques ou importantes. Le fournisseur ne peut le refuser sans mettre l’entite financiere en situation de non-conformite. En pratique, les grands fournisseurs cloud proposent des mecanismes d’audit mutuel (pooled audit) ou des certifications tierces (SOC 2, ISO 27001) comme complement, mais ces mecanismes ne peuvent se substituer au droit d’audit contractuel. L’entite financiere doit negocier ce droit avant la conclusion du contrat.

Comment gerer la sous-traitance du fournisseur cloud au regard de DORA ?

Le contrat doit prevoir l’encadrement strict de la sous-traitance : obligation d’information prealable, droit d’opposition pour les fonctions critiques, maintien de la responsabilite du fournisseur principal. L’entite financiere doit cartographier la chaine de sous-traitance et evaluer les risques associes. Tout changement de sous-traitant pour une fonction critique doit etre notifie avec un preavis suffisant pour permettre a l’entite d’evaluer l’impact et, le cas echeant, de s’y opposer.

Quelles sont les consequences de la designation d’un fournisseur cloud comme prestataire TIC critique ?

La designation comme prestataire TIC critique soumet le fournisseur cloud a un cadre de surveillance directe par les autorites europeennes de surveillance. Celles-ci peuvent conduire des inspections, demander des informations, formuler des recommandations et, en dernier ressort, imposer des mesures correctives. Pour les entites financieres clientes, cette designation offre une assurance supplementaire de surveillance mais ne les dispense pas de leur propre obligation de due diligence et de surveillance continue.