DORA et cloud : exigences pour les services externalisés

Le recours aux services cloud par les entités financières s’est généralise au cours de la dernière decennie, transformant en profondeur l’architecture des systèmes d’information du secteur. Le règlement DORA (Digital Operational Resilience Act, règlement (UE) 2022/2554), applicable depuis le 17 janvier 2025, encadré désormais de manière stricte les conditions dans lesquelles les entités financières peuvent externaliser des fonctions critiques ou importantes auprès de fournisseurs de services cloud. Ce cadre réglementaire impose des exigences tant en amont de la relation contractuelle que dans son exécution et sa surveillance continue.

Le cadre général de DORA pour l’externalisation TIC

Les prestataires TIC tiers au sens de DORA

Le règlement DORA ne vise pas spécifiquement les fournisseurs de services cloud, mais les englobe dans la catégorie plus large des prestataires tiers de services TIC (technologies de l’information et de la communication). L’article 3, point 21, définit le prestataire tiers de services TIC comme une entreprise qui fournit des services TIC. Les fournisseurs de services cloud (IaaS, PaaS, SaaS) entrent donc pleinement dans le champ d’application du règlement.

Cette approche technologiquement neutre permet à DORA de couvrir l’ensemble des modèles de déploiement cloud : cloud public, cloud privé, cloud hybride et multicloud. Elle s’applique quel que soit le modèle de service : infrastructure en tant que service, plateforme en tant que service ou logiciel en tant que service.

La notion de fonction critique ou importante

DORA distingue les prestataires TIC tiers en général des prestataires qui soutiennent des fonctions critiques ou importantes. Cette distinction est fondamentale car elle conditionné le niveau d’exigences applicables. L’article 3, point 22, définit la fonction critique ou importante comme une fonction dont la défaillance compromettrait sensiblement la performance financière, la solidité ou la continuité des services d’une entité financière.

Pour les services cloud soutenant des fonctions critiques ou importantes, les exigences de DORA sont considérablement renforcées, tant en matière contractuelle que de surveillance et de tests.

Les exigences préalables à l’externalisation cloud

L’évaluation des risques préalable

Avant de conclure un accord d’externalisation cloud, l’entité financière doit conduire une évaluation approfondie des risques liés au recours au prestataire envisagé. L’article 28, paragraphe 4, impose à l’entité financière d’évaluer :

• Les risques liés à la concentration des services TIC auprès d’un nombre restreint de fournisseurs.
• Les risques liés à la localisation géographique des centres de données et à la législation applicable.
• Les risques liés aux sous-traitants du fournisseur cloud (chaînes de sous-traitance).
• Les risques de dépendance (lock-in) et les possibilités de sortie ou de transfert.

Cette évaluation doit être documentée et mise à jour régulièrement. Les prestataires TIC critiques font l’objet d’exigences renforcées de due diligence.

L’inscription au registre des accords contractuels

L’article 28, paragraphe 3, impose aux entités financières de tenir un registre de l’ensemble des accords contractuels conclus avec des prestataires tiers de services TIC. Ce registre doit distinguer les accords portant sur des fonctions critiques ou importantes des autres accords. Il constitue un outil de pilotage essentiel de la dépendance de l’entité financière à ses prestataires cloud.

Les exigences contractuelles

Les clauses obligatoires

L’article 30 de DORA énumère un ensemble de clauses obligatoires que doit contenir tout accord contractuel avec un prestataire tiers de services TIC. Pour les services cloud, ces clauses couvrent notamment :

Description des services. Le contrat doit décrire de manière exhaustive et non ambiguë les services cloud fournis, les niveaux de service (SLA), les lieux de traitement et de stockage des données, ainsi que les conditions de sous-traitance.

Localisation des données. Le contrat doit préciser les lieux de traitement et de stockage des données, y compris les lieux de sauvegarde. L’entité financière doit pouvoir être informée à l’avance de tout changement de localisation. Cette exigence est particulièrement sensible pour les services cloud multinationaux dont les données transitent entre plusieurs juridictions.

Disponibilite et continuité. Le contrat doit garantir des niveaux de disponibilité, d’accessibilité et de performance adéquats. Des indicateurs quantitatifs et des mécanismes de pénalité doivent être prévus.

Sécurité. Le fournisseur cloud doit mettre en oeuvre des mesures de sécurité conformes aux exigences de l’entité financière et aux normes reconnues. Le contrat doit préciser les responsabilités respectives en matière de sécurité selon le modèle de service (IaaS, PaaS, SaaS).

Les clauses renforcées pour les fonctions critiques

Pour les services cloud soutenant des fonctions critiques ou importantes, l’article 30, paragraphe 2, impose des clauses supplémentaires :

Droit d’audit. L’entité financière doit disposer d’un droit d’audit complet sur les services fournis par le prestataire cloud, y compris sur site. Ce droit d’audit peut être exercé directement par l’entité, par un tiers désigné ou par un mécanisme d’audit mutuel (pooled audit). Les hyperscalers proposent généralement des rapports SOC 2 ou ISO 27001 comme alternative à l’audit sur site, mais ces rapports ne dispensent pas de la contractualisation d’un droit d’audit effectif.

Stratégie de sortie. Le contrat doit prévoir une stratégie de sortie complète, incluant les conditions de portabilité des données, les délais de transition, le format de restitution des données et la destruction certifiée des données après transfert. La question de la portabilité cloud est également encadrée par le Data Act.

Plans de continuité. Le fournisseur cloud doit mettre en place des plans de continuité d’activité et de reprise d’activité testes et documentés. L’entité financière doit s’assurer que ces plans sont compatibles avec ses propres exigences de continuité d’activité.

Sous-traitance. Le contrat doit encadrer les conditions dans lesquelles le fournisseur cloud peut recourir à des sous-traitants. L’entité financière doit disposer d’un droit d’opposition à la désignation de nouveaux sous-traitants pour les fonctions critiques.

La surveillance continue des prestataires cloud

Le suivi des indicateurs de performance

L’entité financière doit mettre en place un dispositif de surveillance continue de la performance de ses prestataires cloud. L’article 28, paragraphe 2, impose un suivi régulier comprenant :

• La mesure des niveaux de service effectifs par rapport aux SLA contractuels.
• L’analyse des incidents de sécurité et des indisponibilites.
• Le suivi des changements apportés par le fournisseur à son infrastructure ou à ses services.
• L’évaluation périodique de la qualité de la relation et de la réactivité du fournisseur.

La gestion des incidents

Le règlement DORA impose des obligations de notification des incidents TIC majeurs. Lorsqu’un incident affecte un service cloud soutenant une fonction critique, l’entité financière doit notifier l’incident à son autorité de supervision dans les délais prévus par le règlement. Le contrat cloud doit donc prévoir les modalités de notification rapide par le fournisseur à l’entité financière, avec des délais compatibles avec les obligations réglementaires de cette dernière.

L’article 19 impose une notification initiale dans un délai de quatre heures après la classification de l’incident comme majeur, et un rapport intermédiaire dans les 72 heures. Le fournisseur cloud doit être contractuellement tenu de fournir les informations nécessaires dans des délais compatibles.

Les tests de résilience

L’article 26 de DORA impose aux entités financières de conduire des tests de résilience opérationnelle numérique couvrant l’ensemble de leurs systèmes TIC, y compris les systèmes heberges dans le cloud. Ces tests peuvent inclure des analyses de vulnérabilités, des tests de penetration, des tests de performance et des exercices fondés sur des scénarios de menace.

Pour les entités financières identifiées comme devant conduire des tests avancés (TLPT – Threat-Led Penetration Testing), ces tests doivent également couvrir les services cloud critiques. La coopération du fournisseur cloud est indispensable pour la réalisation de ces tests, ce qui doit être anticipé contractuellement.

La question de la concentration des risques

Le risque systémique du cloud

L’une des préoccupations majeures du législateur européen est le risque de concentration lié à la dépendance du secteur financier à un nombre restreint de fournisseurs cloud. Les trois principaux hyperscalers (AWS, Microsoft Azure, Google Cloud) concentrent une part significative de l’infrastructure cloud du secteur financier européen. La défaillance de l’un d’entre eux pourrait avoir des conséquences systémiques.

Le cadre de surveillance des prestataires TIC critiques

DORA introduit un cadre de surveillance directe des prestataires TIC tiers désignés comme critiques par les autorités européennes de surveillance (articles 31 à 44). Ce cadre permet aux autorités de conduire des inspections, de formuler des recommandations et d’imposer des mesures correctives aux prestataires TIC critiques, y compris les fournisseurs cloud.

La désignation comme prestataire critique est effectuée par les autorités européennes de surveillance sur la base de critères tels que le caractère systémique du prestataire, le degré de dépendance des entités financières et le caractère substituable du prestataire. Les principaux fournisseurs cloud sont des candidats naturels à cette désignation.

Les stratégies d’attenuation

Pour limiter le risque de concentration, les entités financières doivent envisager des stratégies de diversification : multi-cloud, cloud hybride, maintien de capacités de repli en interne. Le risque TIC lié à la concentration doit être intègre dans le cadre de gestion des risques de l’entité.

L’articulation avec d’autres réglementations

DORA et les orientations EBA/EIOPA/ESMA

Les autorités européennes de surveillance ont publié des normes techniques de réglementation (RTS) et des normes techniques d’exécution (ITS) qui precisent les exigences de DORA en matière d’externalisation cloud. Ces textes définissent notamment les critères de classification des services TIC, les éléments du registre des accords contractuels et les modalités des tests de résilience.

DORA et NIS2

La directive NIS2 s’applique également aux fournisseurs de services cloud désignés comme entités essentielles ou importantes. L’articulation entre DORA et NIS2 prévoit que DORA constitue une lex specialis pour le secteur financier. Néanmoins, les fournisseurs cloud eux-mêmes restent soumis à NIS2 pour l’ensemble de leurs activités.

DORA et RGPD

L’externalisation de données personnelles dans le cloud impose le respect des exigences du RGPD en matière de sous-traitance au titre de l’article 28 (article 28 du RGPD), de transferts internationaux (chapitre V du RGPD) et de sécurité des traitements (article 32 du RGPD). Les contrats cloud doivent intégrer les clauses RGPD en complement des clauses DORA. Le texte du règlement DORA est disponible sur EUR-Lex. Les orientations de l’ENISA sur la sécurité cloud fournissent également des recommandations techniques complémentaires.

FAQ

Un fournisseur cloud peut-il refuser le droit d’audit prévu par DORA ?

Le droit d’audit est une exigence réglementaire impérative pour les services cloud soutenant des fonctions critiques ou importantes. Le fournisseur ne peut le refuser sans mettre l’entité financière en situation de non-conformité. En pratique, les grands fournisseurs cloud proposent des mécanismes d’audit mutuel (pooled audit) ou des certifications tierces (SOC 2, ISO 27001) comme complement, mais ces mécanismes ne peuvent se substituer au droit d’audit contractuel. L’entité financière doit négocier ce droit avant la conclusion du contrat.

Comment gérer la sous-traitance du fournisseur cloud au regard de DORA ?

Le contrat doit prévoir l’encadrement strict de la sous-traitance : obligation d’information préalable, droit d’opposition pour les fonctions critiques, maintien de la responsabilité du fournisseur principal. L’entité financière doit cartographier la chaîne de sous-traitance et évaluer les risques associés. Tout changement de sous-traitant pour une fonction critique doit être notifie avec un préavis suffisant pour permettre à l’entité d’évaluer l’impact et, le cas échéant, de s’y opposer.

Quelles sont les conséquences de la désignation d’un fournisseur cloud comme prestataire TIC critique ?

La désignation comme prestataire TIC critique soumet le fournisseur cloud à un cadre de surveillance directe par les autorités européennes de surveillance. Celles-ci peuvent conduire des inspections, demander des informations, formuler des recommandations et, en dernier ressort, imposer des mesures correctives. Pour les entités financières clientes, cette désignation offre une assurance supplémentaire de surveillance mais ne les dispense pas de leur propre obligation de due diligence et de surveillance continue.