Conformité DORA · Registre des tiers

Vos tiers critiques DORA : votre registre reste simple, nous absorbons la complexité

Votre registre des tiers reste simple. Nous absorbons la complexité. Pour la plupart des sociétés de gestion, une analyse rigoureuse aboutit à une conclusion presque décevante de sobriété : Microsoft est, a priori, votre seul tiers ICT critique.

Le constat : un registre plus court qu’on ne le croit

L’exercice se joue en deux temps. D’abord, identifier vos fonctions critiques ou importantes — celles dont l’interruption compromettrait votre activité ou vos obligations. Ensuite, qualifier les tiers qui les supportent : c’est cette qualification qui déclenche, ou non, les obligations renforcées. Se tromper dans un sens expose à un angle mort ; se tromper dans l’autre alourdit inutilement contrats et gouvernance.

DORA impose à chaque entité financière de tenir un registre de ses prestataires ICT et d’identifier ceux qui supportent des fonctions critiques ou importantes — avec, pour ces derniers, les clauses contractuelles renforcées prévues par l’article 30 du règlement. Sur le papier, l’exercice semble lourd. En pratique, pour la plupart de nos clients, une analyse rigoureuse aboutit à un registre court.

La raison est structurelle : votre messagerie, votre identité (Entra ID), vos documents et vos échanges vivent dans le cloud Microsoft. C’est là que se concentre le risque — et c’est donc là que doit se concentrer la surveillance. Le reste de votre chaîne de sous-traitance ICT, correctement analysé service par service, relève le plus souvent du tiers pertinent, pas du tiers critique.

Cette conclusion a une vertu : elle rend votre dispositif tenable. Un registre de trois pages que votre RCCI maîtrise vaut mieux qu’un inventaire de quarante lignes que personne ne relit. Le régulateur — l’AMF y consacre un dossier thématique — n’attend pas de vous un registre long : il attend un registre juste, où chaque qualification est justifiée.

À quoi ressemble un registre type

À titre d’illustration — chaque ligne se qualifie selon votre analyse, service par service :

Tiers Service rendu Fonction supportée Critique ? Justification
Microsoft M365 (messagerie, documents, collaboration), Entra ID (identité) Messagerie, identité, données de gestion — cœur du SI Critique Une défaillance interrompt les fonctions critiques ; substituabilité faible à court terme.
ITAIA Infogérance, supervision, sécurité managée Exploitation et surveillance du SI À qualifier Prestataire ICT au sens DORA ; la qualification dépend de votre analyse — nous fournissons la documentation dans les deux sens.
Opérateur télécom (ex. Orange) Liens internet, téléphonie, mobiles Connectivité Non critique a priori Substituable rapidement (double lien, 4G/5G de secours) ; un abonnement mobile ne supporte pas une fonction critique.
Éditeur métier éventuel Outil de gestion (PMS, reporting…) Selon usage À qualifier Analyse service par service : impact d’une défaillance sur les fonctions critiques, substituabilité.

Pourquoi les autres n’y figurent pas

La criticité s’évalue par service rendu, pas par notoriété du fournisseur. Orange, par exemple, entre dans le registre comme tiers pertinent lorsqu’il héberge ou opère une brique de votre système d’information — pas au titre de l’abonnement mobile de votre dirigeant.

Un prestataire dont la défaillance n’interrompt pas vos fonctions critiques, ou qui est substituable rapidement, n’a pas vocation à alourdir votre registre ni à déclencher les clauses renforcées de l’article 30. Qualifier trop large n’est pas de la prudence : c’est du bruit documentaire, des contrats à renégocier sans nécessité, et un registre que plus personne ne maintient sérieusement.

La substituabilité se démontre, elle aussi. Un opérateur télécom doublé d’un second lien et d’un secours 4G/5G n’a pas le même poids dans votre analyse qu’un service unique sans plan de repli. C’est tout l’intérêt de raisonner service par service : la même entreprise peut être pertinente sur un service et parfaitement anodine sur un autre — et votre registre doit refléter cette granularité, pas la gommer.

Et ITAIA dans tout ça ? Nous figurons dans votre registre comme prestataire ICT — un seul partenaire, un seul contrat, une seule ligne. Notre qualification, critique ou non, dépend de votre analyse ; nous vous remettons la documentation nécessaire pour la justifier dans les deux sens, sans plaider notre propre cause.

Nous vous aidons à documenter cette distinction, service par service, avec la justification que votre auditeur attendra : quel service, quelle fonction supportée, quel impact en cas de défaillance, quelle substituabilité.

Votre tiers critique, traité comme tel

Ce que nous faisons de Microsoft

Parce qu’il est votre tiers critique, Microsoft mérite un traitement à la hauteur. Nous maintenons pour vous une veille active et documentée :

Cette veille n’est pas un rapport annuel qu’on ressort dépoussiéré : elle tourne en continu, portée par notre cadre de travail et sa plateforme de contrôle. La posture de votre tenant est comparée à votre baseline, les écarts sont détectés et corrigés, les incidents Microsoft sont évalués à l’aune de votre périmètre — pas de celui d’un client générique.

Chaque élément est daté, archivé et restituable. Quand votre RCCI prépare un contrôle, ou quand l’auditeur demande la preuve que votre tiers critique est effectivement surveillé — elle existe déjà, elle est à jour, et elle est à vous.

Votre registre vous pose question — une ligne à qualifier, un tiers à documenter, un contrôle qui approche ? Parlez-en avec un ingénieur ITAIA. Pas de démonstration commerciale : une conversation entre gens qui connaissent votre cadre.

L’identification de vos fonctions critiques et la tenue de votre registre relèvent de votre dispositif de conformité. Notre rôle : fournir le socle technique et les preuves qui l’alimentent.

Vos questions sur les tiers critiques DORA

Microsoft est-il toujours le seul tiers critique DORA ?

A priori oui pour la plupart des sociétés de gestion dont le SI vit dans M365, mais l’analyse se fait service par service et relève de votre dispositif de conformité. Un hébergeur ou un éditeur métier peut s’y ajouter.

Pourquoi Orange n’est-il pas un tiers critique ?

Parce que la criticité s’évalue par service rendu : un abonnement mobile n’est pas une fonction critique. Orange le deviendrait s’il hébergeait ou opérait une brique critique de votre SI.

ITAIA doit-il figurer dans mon registre des tiers ?

Oui, comme prestataire ICT. Sa qualification (critique ou non) dépend de votre analyse ; nous fournissons la documentation nécessaire pour la justifier dans les deux sens.

Que contient la veille ITAIA sur Microsoft ?

Collecte et suivi des certifications (ISO 27001, SOC 2), localisation des données, évolutions contractuelles, incidents de service, et durcissement continu du tenant avec contrôle des dérives. Le tout daté et restituable en audit.

Cette veille remplace-t-elle mon dispositif de conformité ?

Non. Elle l’alimente en preuves techniques. L’identification des fonctions critiques et la tenue du registre restent de votre responsabilité.

Contact

Vous écouter est dans notre nature

Une question, un projet en urgence ou à long terme : parlons-en, cela n’engage à rien.

ou appelez-nous directement au +33 1 88 40 19 40 — 7j/7, 8h – 20h.