DORA : ce que les acheteurs NTIC du secteur financier doivent vraiment mettre en place

DORA_Okaveo

Le règlement européen DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est pleinement applicable depuis le 17 janvier 2025. Adopté en décembre 2022, il a laissé deux ans aux entités financières pour se préparer. Pourtant, en ce début d’année 2026, l’ACPR et l’Autorité bancaire européenne entrent dans une phase de contrôle approfondi, et de nombreuses directions achats découvrent encore l’ampleur de ce qu’elles ont à faire.

 

DORA est trop souvent présenté comme un sujet réservé à la DSI ou à la compliance. C’est une erreur. La fonction achats NTIC se retrouve en première ligne sur trois chantiers concrets : la mise à niveau contractuelle, la tenue du registre d’informations et l’évaluation des risques fournisseurs. Cet article fait le point sur ce que DORA change vraiment dans le quotidien des acheteurs, et comment s’organiser pour être en conformité.

DORA en bref : à qui ça s'applique, depuis quand et avec quelles sanctions

Le règlement DORA vise à renforcer la résilience opérationnelle numérique du secteur financier européen. Son champ d’application est très large : banques, assureurs, sociétés de gestion, entreprises d’investissement, établissements de paiement et de monnaie électronique, prestataires de services sur crypto-actifs, plateformes de négociation… Au total, plus de 22 000 entités sont concernées dans l’Union européenne.

 

Mais DORA ne s’arrête pas aux portes des entités financières. Par ricochet contractuel, il s’impose à l’ensemble de leur chaîne de sous-traitance numérique. Tout prestataire de services TIC (cloud, infogérance, édition logicielle, développement, maintenance, data centers, services de données…) travaillant pour une entité financière doit accepter des exigences contractuelles renforcées.

 

Sur les sanctions, les chiffres sont significatifs : les autorités nationales compétentes, en France l’ACPR pour la banque et l’assurance, et l’AMF pour les marchés financiers, peuvent infliger des pénalités pouvant atteindre 2 % du chiffre d’affaires annuel mondial pour une entité financière non conforme.

 

Le règlement s’articule autour de cinq piliers :

  1. La gouvernance et la gestion des risques liés aux TIC
  2. La notification des incidents majeurs (dans un délai de 4 heures pour la notification initiale)
  3. Les tests de résilience opérationnelle numérique
  4. Le partage d’informations sur les cybermenaces
  5. La gestion des risques liés aux prestataires tiers de services TIC

 

En tant qu’acheteur, votre périmètre de responsabilité directe porte sur le cinquième pilier. Les quatre premiers relèvent en priorité de la DSI, de la compliance et du management des risques. Mais ils créent des exigences que vos contrats et votre registre fournisseurs doivent refléter : si la DSI impose des tests de pénétration (pilier 3) impliquant un prestataire, c’est votre contrat qui doit contenir la clause d’y associer ce prestataire. Si la compliance notifie un incident (pilier 2), votre contrat doit avoir prévu l’obligation pour le prestataire de vous informer en amont. Les achats ne portent pas ces piliers, mais ils en sont l’interface contractuelle.

Pourquoi les acheteurs NTIC sont directement concernés

La tentation est forte, dans les organisations, de confier la conformité DORA à la DSI, au département juridique ou à la compliance. Ce serait une erreur de périmètre. Car ce sont bien les acheteurs qui :

  • détiennent la connaissance du stock de contrats actifs avec les prestataires TIC ;
  • sont en position de renégocier les clauses contractuelles ;
  • pilotent les appels d’offres et rédigent les dossiers de consultation ;
  • gèrent la relation contractuelle dans la durée, y compris le suivi des SLA et l’exercice des droits d’audit ;
  • instruisent les dossiers de qualification des fournisseurs.

 

DORA donne aux acheteurs de nouvelles obligations réglementaires non négociables, mais aussi un levier inédit pour rééquilibrer des relations contractuelles souvent déséquilibrées en faveur des grands prestataires technologiques. C’est d’ailleurs l’un des enjeux centraux d’un Supplier Relationship Management bien structuré : transformer la relation fournisseur en levier stratégique plutôt qu’en simple contrainte opérationnelle.

Les trois obligations centrales que DORA crée pour la fonction achats

1. La mise en conformité contractuelle (article 30)

L’article 30 de DORA impose un socle de clauses obligatoires dans tous les contrats de services TIC conclus par une entité financière, quelle que soit l’importance du service. Ce n’est pas une recommandation : un contrat qui ne contient pas ces clauses expose l’entité à des sanctions.

 

Les clauses minimales obligatoires pour l’ensemble des contrats portent sur :

  • la description précise des services fournis et des niveaux de service (SLA) ;
  • les lieux où les services seront fournis et les données stockées ou traitées ;
  • les dispositions relatives à la protection des données à caractère personnel ;
  • l’obligation d’assister l’entité financière en cas d’incident lié aux TIC ;
  • l’obligation de coopérer avec les autorités compétentes et de résolution ;
  • les modalités de résiliation du contrat, avec des préavis appropriés.

 

Pour les acheteurs, le chantier est considérable. Un établissement bancaire moyen gère entre 50 et 200 contrats TIC actifs, dont beaucoup n’ont jamais fait l’objet d’une revue contractuelle sérieuse. Il faut donc auditer l’existant, conduire les avenants nécessaires, et standardiser les clauses en amont dans les futurs appels d’offres et contrats-cadres.

2. La tenue du registre d'informations

DORA impose à chaque entité financière de maintenir un registre exhaustif de tous ses accords contractuels portant sur des services TIC, en distinguant les contrats qui couvrent des fonctions critiques ou importantes.

 

Ce registre, dont le format est précisément normalisé par des normes techniques d’exécution (ITS) publiées par l’ABE, l’AEMF et l’EIOPA, doit pouvoir être communiqué au régulateur à tout moment. En France, les entités financières ont eu l’obligation de remettre leur registre à l’ACPR au plus tard le 15 avril 2025, pour transmission aux autorités européennes de supervision. Cet exercice est reconduit annuellement.

 

La fiabilité de ce registre dépend directement de la qualité des données achats : cartographie des fournisseurs, identification des contrats, nature des services rendus, localisations de traitement des données, identification des sous-traitants de rang 2 et au-delà. Sans une base de données achats structurée et à jour, cet exercice devient un cauchemar opérationnel.

3. La due diligence renforcée avant contractualisation

DORA impose une évaluation des risques approfondie avant toute nouvelle contractualisation avec un prestataire TIC. Cette due diligence porte sur :

  • l’analyse du risque de concentration (qu’arrive-t-il si un prestataire dominant fait défaut ou résilie ?) ;
  • l’évaluation de la capacité du prestataire à respecter les exigences de sécurité et de résilience ;
  • la vérification de sa solidité financière et opérationnelle ;
  • l’identification de sa chaîne de sous-traitance et des risques qu’elle génère.

 

Cette obligation de diligence n’est pas ponctuelle : elle doit être exercée en continu, tout au long de la relation contractuelle. Pour structurer cette démarche, il est utile de s’appuyer sur une méthode d’évaluation des fournisseurs formalisée, avec des critères adaptés au contexte DORA.

La distinction fondamentale : fonctions critiques ou importantes vs prestations standard

C’est probablement la distinction la plus structurante de DORA pour les acheteurs. Le règlement ne traite pas toutes les prestations TIC de la même manière.

 

Une fonction est qualifiée de critique ou importante lorsque sa perturbation compromettrait sérieusement la performance financière de l’entité, la continuité de ses services et activités, ou sa conformité aux conditions de son agrément et à ses obligations réglementaires.

 

Ce qui change tout : cette qualification ne dépend pas de la nature technique de la prestation, mais de la fonction métier qu’elle soutient. Un même service d’hébergement cloud sera « critique » s’il héberge le système de tenue de comptes d’une banque, et « non critique » s’il héberge l’intranet RH. C’est à l’entité financière, et non au prestataire, qu’il revient de procéder à cette qualification et de la réviser régulièrement.

Ce que ça implique côté contrat pour les fonctions critiques (article 30.3)

Lorsque le service TIC soutient une fonction critique ou importante, les exigences contractuelles standard ne suffisent plus. Le contrat doit en plus prévoir :

 

Des niveaux de service complets et précis. Avec des objectifs de performance quantitatifs et qualitatifs permettant un suivi effectif et des mesures correctives sans délai en cas de non-atteinte. Les SLA vagues ou trop généraux ne sont plus acceptables.

 

Des obligations de reporting renforcées. Le prestataire doit notifier tout développement susceptible d’avoir une incidence significative sur sa capacité à fournir le service, en amont de toute perturbation.

 

L’obligation de tester des plans d’urgence. Le prestataire doit disposer de mesures, d’outils et de politiques de sécurité TIC offrant un niveau de protection approprié, documenté et régulièrement testé.

 

La participation aux tests de pénétration basés sur la menace (TLPT). Les entités financières soumises aux tests TLPT doivent pouvoir y associer leurs prestataires de fonctions critiques. Cette clause doit figurer dans le contrat.

 

Des droits d’audit étendus et sans restriction. L’entité financière, ses auditeurs mandatés et les autorités compétentes doivent disposer de droits complets d’accès, d’inspection et d’audit sur le prestataire, y compris sur site. C’est un point de friction majeur dans les négociations avec les grands fournisseurs de cloud, qui ont l’habitude de limiter les droits d’audit : ces limitations ne sont désormais plus acceptables pour les fonctions critiques.

 

Des stratégies de sortie documentées et opérationnelles. C’est souvent le point le plus négligé dans les contrats cloud historiques. DORA exige une période de transition obligatoire pendant laquelle le prestataire continue de fournir les services pour permettre la migration vers un autre fournisseur ou la réinternalisation, sans perturber l’activité ni compromettre la conformité réglementaire. L’entité doit disposer d’un plan de sortie réaliste et testé.

Les prestataires tiers critiques désignés au niveau européen (CTPP)

DORA crée un statut distinct, à ne pas confondre avec la qualification de « fonction critique » au niveau de l’entité : celui de prestataire tiers critique (Critical Third-Party Provider, CTPP), désigné au niveau européen par les autorités de supervision (EBA, ESMA, EIOPA) pour les fournisseurs jugés systémiques, typiquement les grands hyperscalers du cloud.

 

Ces prestataires sont placés sous la surveillance directe d’un superviseur principal européen (Lead Overseer), avec des pouvoirs étendus d’enquête, d’inspection et de sanction, pouvant atteindre 1 % du chiffre d’affaires mondial quotidien moyen. Les premières désignations sont intervenues en 2025.

 

Concrètement, qu’est-ce que ça change pour un acheteur qui contracte avec un CTPP désigné ? Trois points à retenir.

 

D’abord, le statut CTPP ne dispense de rien. Toutes vos obligations contractuelles DORA restent entières : clauses de l’article 30, droits d’audit, stratégie de sortie. Le fait que votre fournisseur soit supervisé au niveau européen ne transfère pas votre responsabilité.

 

Ensuite, le statut CTPP est un argument à utiliser en négociation. Un prestataire désigné est lui-même soumis à des obligations renforcées et à des inspections régulières. Vous pouvez légitimement lui demander la communication des rapports d’audit du Lead Overseer et les intégrer dans votre dispositif de surveillance continue.

 

Enfin, le CTPP doit apparaître comme tel dans votre registre d’informations. C’est une donnée que les autorités de supervision attendent explicitement dans le format ITS du registre. Vérifiez que votre base contractuelle permet de qualifier ce statut pour chaque fournisseur concerné.

DORA et NIS2 : ce que ça change concrètement pour vos négociations

Les entités financières sont aussi dans le périmètre de la directive NIS2, qui vise à renforcer la cybersécurité dans les secteurs critiques. Ce chevauchement crée une question pratique que beaucoup d’acheteurs rencontrent en négociation : un prestataire qui argumente « nous sommes conformes NIS2 » peut-il pour autant satisfaire vos obligations DORA ?

 

La réponse est non. DORA constitue une « lex specialis » pour le secteur financier : il prévaut sur NIS2 pour toutes les entités entrant dans son périmètre. Les exigences de DORA sont plus prescriptives, notamment sur les clauses contractuelles obligatoires, les droits d’audit et les stratégies de sortie. La conformité NIS2 d’un prestataire est utile mais ne se substitue pas aux clauses DORA.

 

En pratique, cela signifie deux choses pour vos appels d’offres et vos négociations. Premièrement, ne vous laissez pas substituer une certification NIS2 à une acceptation explicite des clauses article 30 : ce sont deux référentiels différents. Deuxièmement, si un prestataire dessert à la fois des entités financières et des clients hors secteur financier, c’est DORA qui s’applique à votre contrat, quels que soient les arrangements qu’il a mis en place pour ses autres clients.

Comment les achats pilotent la coopération interservices

DORA ne peut pas être traité en silo. Mais c’est souvent à l’acheteur de prendre l’initiative d’aller chercher les autres services, pas l’inverse. Voici comment ce rôle se décline en pratique.

 

La qualification des fonctions critiques ne peut pas être faite par les achats seuls : elle nécessite les métiers pour dire quelles fonctions sont sensibles, la DSI pour identifier les systèmes support, et la fonction risques pour valider le niveau d’exposition. Le rôle de l’acheteur est d’organiser cet atelier de qualification, d’en porter la documentation et de la faire valider formellement. Sans cette qualification écrite, vous ne savez pas quels contrats relèvent de l’article 30.2 et lesquels relèvent de l’article 30.3.

 

La rédaction des clauses contractuelles implique le juridique, mais l’acheteur est celui qui connaît les contrats existants et les marges de manoeuvre réelles. C’est lui qui sait que le fournisseur X n’acceptera jamais un droit d’audit sur site sans contrepartie, ou que la stratégie de sortie du contrat Y est irréaliste compte tenu de la dépendance technique. La conformité contractuelle DORA ne se produit pas dans un cabinet d’avocats : elle se produit en négociation.

 

Le registre d’informations est nominalement un livrable compliance, mais les données qui l’alimentent viennent des achats. Sans référentiel fournisseurs fiable, sans cartographie contractuelle à jour, sans traçabilité des sous-traitants, le registre est vide ou faux. L’acheteur est le propriétaire naturel de la donnée.

 

Concrètement, ce positionnement se gagne en initiant une task force DORA transverse dès maintenant, avec un RACI clair, des livrables communs et une gouvernance régulière. L’acheteur qui attend que la compliance vienne lui demander ses contrats a déjà perdu le leadership.

Feuille de route pratique pour les directions achats NTIC

Voici les chantiers à mener en priorité :

 

Étape 1 : Cartographier. Recenser l’ensemble des contrats de services TIC actifs et constituer ou mettre à jour le registre d’informations au format réglementaire ITS. C’est le prérequis à tout le reste. Une cartographie des achats rigoureuse est indispensable pour mener cet exercice dans des délais raisonnables.

 

Étape 2 : Qualifier. Avec les métiers et la fonction risques, identifier les services soutenant des fonctions critiques ou importantes. Documenter formellement cette qualification et la programmer en révision régulière.

 

Étape 3 : Auditer les écarts contractuels. Comparer les contrats existants avec les exigences des articles 30.2 et 30.3. Prioriser la remédiation sur les contrats critiques, en distinguant ce qui peut faire l’objet d’un avenant de ce qui nécessite une renégociation complète.

 

Étape 4 : Standardiser. Intégrer des clauses types DORA dans les modèles de contrats, les contrats-cadres et les dossiers de consultation. DORA renforce ici la position des acheteurs dans la négociation contractuelle : ces clauses ne sont plus discutables, elles sont réglementaires.

 

Étape 5 : Renforcer la due diligence fournisseurs. Structurer un processus d’évaluation préalable couvrant le risque de concentration, la chaîne de sous-traitance, la localisation des données et la solidité financière et opérationnelle du prestataire. Mettre en place des campagnes d’évaluation périodiques pour que cette diligence s’exerce en continu, pas seulement à la signature.

 

Étape 6 : Construire les stratégies de sortie. Pour chaque prestation critique, définir un plan de sortie réaliste : réversibilité des données, portabilité, durée de la période de transition. Ce plan doit être testé et documenté, pas seulement rédigé.

 

Étape 7 : Outiller le suivi en vie de contrat. Mettre en place le suivi des SLA, le reporting des incidents, les revues périodiques des fournisseurs et les conditions d’exercice effectif des droits d’audit.

Comment Okaveo accompagne les entités financières sur DORA

Pour les directions achats du secteur financier, Okaveo constitue un appui concret sur l’ensemble de ces chantiers.

 

Le SRM et la contrathèque Okaveo permettent de centraliser les données fournisseurs et contractuelles nécessaires à la tenue du registre DORA, avec un niveau de détail compatible avec les exigences ITS : nature des services, localisation des traitements, identification des sous-traitants, dates et conditions contractuelles.

 

Le module Risques & Conformité permet d’évaluer les prestataires TIC sur les critères DORA (solidité financière, conformité, sécurité) et d’organiser des campagnes d’évaluation périodiques. Des tags permettent de distinguer les contrats critiques des contrats standard et de créer des indicateurs de suivi adaptés. Okaveo s’intègre également avec des tiers de collecte probatoire comme Provigis pour automatiser la collecte des données de conformité, ou avec Infolegale pour le suivi de la santé financière des fournisseurs TIC.

 

Le suivi d’exécution contractuelle offre les outils pour piloter les SLA, documenter les incidents et tracer l’exercice des droits d’audit.

 

Enfin, Okaveo centralise l’ensemble des actions DORA dans un outil unique, partageable entre les équipes achats, juridique, DSI et compliance pour travailler en mode collaboratif.

Conclusion

DORA transforme la fonction achats NTIC en acteur à part entière du dispositif de résilience opérationnelle des entités financières. Les enjeux sont concrets : contrats non conformes exposant à des sanctions, registre d’informations à remettre chaque année aux régulateurs, fournisseurs critiques dont la défaillance peut menacer la continuité d’activité.

Mais DORA est aussi une opportunité réelle pour les acheteurs. Il leur donne des exigences réglementaires opposables pour rééquilibrer la relation avec des prestataires parfois en position de force, notamment les grands fournisseurs de cloud. Et il place enfin la fonction achats au coeur d’une coopération interservices avec le juridique, la compliance, la DSI et les métiers.

Les équipes achats qui ont commencé ce travail de fond ont un avantage : celui d’avoir transformé une contrainte réglementaire en levier de professionnalisation de leur fonction.

Vous voulez savoir concrètement ce que ça donne sur vos contrats et votre registre ? Regardons cela ensemble.

FAQ : les questions les plus posées sur DORA

Qu'est-ce que le règlement DORA ?

DORA (Digital Operational Resilience Act) est le règlement européen UE 2022/2554 qui établit un cadre harmonisé de résilience opérationnelle numérique pour le secteur financier. Il est en vigueur depuis le 16 janvier 2023 et pleinement applicable depuis le 17 janvier 2025.

Plus de 22 000 entités financières dans l’Union européenne : banques, assureurs, sociétés de gestion, entreprises d’investissement, établissements de paiement et de monnaie électronique, prestataires de services sur crypto-actifs, mais aussi tous leurs prestataires de services TIC (cloud, infogérance, éditeurs logiciels, data centers…).

En France, l’ACPR et l’AMF sont chargées de la supervision. Les sanctions peuvent atteindre 2 % du chiffre d’affaires annuel mondial pour une entité financière non conforme. Pour les prestataires tiers critiques désignés au niveau européen, les astreintes peuvent atteindre 1 % de leur chiffre d’affaires mondial quotidien moyen.

L’article 30 est le coeur des obligations contractuelles de DORA. Il définit les clauses qui doivent figurer obligatoirement dans tous les contrats de services TIC (article 30.2), ainsi que les clauses supplémentaires spécifiques aux contrats portant sur des fonctions critiques ou importantes (article 30.3).

Une fonction est critique ou importante lorsque sa perturbation compromettrait sérieusement la performance financière de l’entité, la continuité de ses services, ou sa conformité réglementaire. Cette qualification dépend de la fonction métier soutenue, pas de la nature technique de la prestation. Elle est établie par l’entité financière elle-même, pas par le prestataire.

C’est un inventaire exhaustif de tous les accords contractuels portant sur des services TIC, tenu par chaque entité financière dans un format normalisé (ITS). Il doit distinguer les contrats relatifs à des fonctions critiques ou importantes des autres, et être transmis annuellement aux autorités de supervision nationales (ACPR en France), qui le transmettent aux autorités européennes (EBA, ESMA, EIOPA).

Oui. DORA impose aux entités financières d’identifier et d’évaluer les risques liés à toute la chaîne de sous-traitance de leurs prestataires TIC, y compris les sous-traitants de rang 2 et au-delà. Cette cartographie doit figurer dans le registre d’informations.

Les deux textes renforcent la résilience numérique, mais DORA est une « lex specialis » pour le secteur financier : il prévaut sur NIS2 pour toutes les entités entrant dans son périmètre. Pour un acheteur NTIC d’une entité financière, DORA est donc le texte de référence en matière de gestion des risques liés aux prestataires TIC.

C’est un prestataire désigné au niveau européen par les autorités de supervision (EBA, ESMA, EIOPA) en raison de son caractère systémique pour le secteur financier, typiquement les grands hyperscalers du cloud. Ces prestataires sont placés sous surveillance directe d’un superviseur principal européen. Les premières désignations ont eu lieu en 2025. Contracter avec un CTPP ne dispense d’aucune obligation contractuelle DORA.

Les clauses DORA (article 30) doivent être intégrées dès les modèles de DCE et les contrats-cadres. L’évaluation des prestataires candidates doit inclure des critères DORA : capacité à respecter les SLA renforcés, organisation de la sécurité, acceptation des droits d’audit, solidité financière, sous-traitance. La qualification de la prestation (critique ou non) doit être documentée avant la signature.

Téléchargez gratuitement l'auto-diagnostic DORA

Vérifiez l’état de conformité de vos contrats TIC, votre registre et votre due diligence fournisseurs en moins d’une heure.

Table des matières

Partager sur

Vous souhaitez digitaliser vos achats ?

Découvrez tout ce que peut vous apporter la solution achats Okaveo !

 

A lire également