BOARD BRIEFING REPORTBanking européen & marchés financiersManagement Board Question · For Discussion

Si votre fournisseur ICT critique tombe demain: qu'est-ce qui s'arrête — et pour combien de temps?

SujetRisque critique de tiers ICT
AudienceManagement Board · Supervisory Board · Executive Committee
Temps de lecture7 minutes
Statut cibleGREEN — lorsque les dépendances critiques sont mappées, testées et gouvernables

En un coup d'œil

La question n'est plus seulement le fournisseur.

La question est de savoir si l'institution peut démontrer la continuité.

Board AskConfirmer si l'institution peut démontrer continuité et capacité d'exit pour les services ICT soutenant des fonctions critiques ou importantes.

Situation

Supposons la situation suivante.

Un fournisseur tiers ICT critique devient indisponible. Il soutient une plateforme, un service de données, un environnement cloud, un moteur de workflow, une couche de reporting ou un processus assisté par IA utilisé par l'institution. En quelques heures, la question n'est plus de savoir si le fournisseur a une obligation contractuelle de restaurer le service.

La question est de savoir ce qui s'arrête à l'intérieur de la banque.

Quelles fonctions critiques ou importantes sont affectées? Quelles chaînes client, risque, opérationnelles ou décisionnelles dépendent du fournisseur? Quel est le temps de récupération testé? Le service peut-il être substitué, quitté ou restauré dans la tolérance de l'institution?

La question n'est plus seulement le fournisseur.

La question est de savoir si l'institution peut démontrer la continuité.

Management Summary

DORA fait du risque tiers ICT une discipline board-level et fondée sur l'evidence. Les entités financières restent responsables de leur conformité même lorsque les services ICT sont fournis par des tiers; DORA exige également une gestion du risque tiers ICT, un Register of Information et des stratégies d'exit pour les services ICT soutenant des fonctions critiques ou importantes.

Les Autorités européennes de surveillance ont publié le 18 novembre 2025 la première liste de 19 fournisseurs tiers ICT critiques désignés sous DORA. Le processus de désignation s'est appuyé sur les données des Registers of Information et sur une évaluation de criticité couvrant l'importance systémique, le soutien à des fonctions critiques ou importantes et la substituabilité.

Une réponse forte n'est pas "we have an exit policy". Une réponse forte montre quels services s'arrêtent, quel recovery objective s'applique, où les dépendances convergent, quel exit path a été testé et qui peut décider de restreindre, substituer, sortir ou poursuivre l'arrangement.

Management Report Panel

Situation in One Sentence
Une panne d'un fournisseur ICT critique devient un sujet de board lorsque l'institution ne peut pas démontrer ce qui s'arrête, combien de temps dure la récupération et qui possède la réponse.
Key Issue
L'oversight des tiers n'est pas identique à la résilience institutionnelle. Les ECB Supervisory Priorities 2026–28 indiquent que l'oversight DORA des fournisseurs tiers critiques complète, mais ne remplace pas, un third-party risk management solide.
Primary Risk
Un fournisseur soutient une fonction critique ou importante, mais l'impact business, la recovery route, la fourth-party chain, la capacité d'exit ou l'owner accountable ne sont pas suffisamment visibles pour une board reliance.
Board Ask
Confirmer si l'institution peut démontrer continuité et capacité d'exit pour les services ICT soutenant des fonctions critiques ou importantes.
Target RAG
GREEN lorsque les dépendances critiques sont mappées, classifiées, contractuellement activées, testées et gouvernées.

Calibration de la qualité de réponse

GREEN Decision-grade answer
AMBER Partially evidenced answer
RED Not decision-grade
RegisterLe Register of Information actuel reflète les dépendances ICT réelles.
RegisterLe registre existe, mais n'est pas entièrement réconcilié avec la réalité opérationnelle.
Register“We have an exit policy.”
Function MappingLes fonctions critiques ou importantes sont mappées aux fournisseurs et services.
Function MappingL'inventaire fournisseur existe, mais le business service mapping est incomplet.
Function Mapping“The provider is now directly overseen under DORA.”
ConcentrationLa concentration fournisseur et les fourth-party chains sont évaluées.
ConcentrationLe plan d'exit est documenté, mais non testé pour les fonctions critiques.
Concentration“This is managed by Procurement.”
RecoveryRTO, RPO et interruption maximale tolérable sont définis par fonction.
RecoveryLes RTO sont définis, mais non prouvés par des exercices de recovery.
Recovery“The cloud provider has its own resilience plan.”
ExitLes exit et substitution paths sont documentés, testés et revus.
ExitLes contrats incluent des clauses clés, mais la faisabilité de la transition est incertaine.
Exit“The contract includes SLAs.”
ContractsLes clauses contractuelles soutiennent accès, audit, recovery, restitution et transition.
ContractsLa concentration fournisseur est reportée, mais non traduite en décisions du board.
Contracts“We have more than one provider.”
Board ReportingLe board reporting montre le risque résiduel de concentration et les actions ouvertes.
Board ReportingL'ownership existe en Procurement ou IT, mais pas end-to-end.
Board Reporting“This is only an AI workflow.”
Substitution
Substitution
Substitution“We could exit if we had to.”

Le RAG status calibre la qualité de la réponse. Il ne juge pas l'institution.

Qui doit répondre

CIO / CTOCOOCRO / Operational RiskCISO / ICT RiskProcurement / Vendor Management / OutsourcingBusiness OwnerLegal / Compliance / DPOInternal Audit
Note de responsabilité:
  • Procurement peut détenir le contrat.
  • Technology peut détenir la plateforme.
  • Le business détient l'impact.
  • Le board doit voir la chaîne.

Preuves que le conseil devrait demander

  1. 01Register of Information
  2. 02Critical Function Mapping
  3. 03Provider Criticality Classification
  4. 04Concentration Risk Assessment
  5. 05Fourth-Party Dependency Map
  6. 06RTO / RPO / MTPD View
  7. 07Tested Exit Strategy
  8. 08Contractual Exit and Transition Evidence
  9. 09Incident and Recovery Exercise Log
  10. 10Board Resilience Dashboard

Signaux d'alerte

  • “We have an exit policy.”
  • “The provider is directly overseen under DORA.”
  • “This is handled by Procurement.”
  • “The provider has strong SLAs.”
  • “We use multiple providers.”
  • “The service is not client-facing.”
  • “The exit plan is documented.”
  • “We could exit if necessary.”

Aucune de ces déclarations n'est nécessairement fausse. Elles ne constituent simplement pas une evidence suffisante pour une board-level reliance.

Chemin vers le vert

  • Dépendances visibles
  • Criticité classifiée
  • Concentration comprise
  • Recovery mesuré
  • Exit activé
  • Risque résiduel gouverné

GREEN is not a contract status.
GREEN is a tested continuity status.

Prochaine question suggérée

Quelle fonction critique ou importante créerait la plus grande disruption si son fournisseur ICT tombait demain — et pouvons-nous démontrer le recovery path testé?

Commentaire d'expert — 7 min de lecture

La résilience des tiers ICT est souvent discutée à travers contrats, registres d'outsourcing et provider oversight. Ces éléments comptent. Mais ils ne répondent pas à la question la plus pratique du board.

Qu'est-ce qui s'arrête — et pour combien de temps?

Cette question est volontairement opérationnelle. Elle traduit DORA du texte réglementaire vers la réalité managériale board-level. Un fournisseur ICT critique peut soutenir un environnement cloud, un moteur de workflow, une couche de reporting, une capacité cybersecurity, un service de données, un flux de market data, une plateforme documentaire ou un processus assisté par IA. Le fournisseur peut ne pas être visible pour les clients. La dépendance peut néanmoins être critique.

DORA rend le point de responsabilité explicite. Les entités financières utilisant des services ICT restent responsables du respect de leurs obligations, et le risque tiers ICT doit être géré dans le cadre du dispositif de gestion du risque ICT. DORA exige également que les entités financières maintiennent et mettent à jour un Register of Information couvrant tous les arrangements contractuels relatifs à l'utilisation de services ICT fournis par des prestataires tiers ICT.

01

Visibilité

Cela fait de la visibilité la première discipline.

Un board ne peut pas exercer d'oversight sur une dépendance qu'il ne voit pas. Une banque ne peut pas gouverner une chaîne de providers qu'elle n'a pas mappée. Et elle ne peut pas répondre à "combien de temps" sans objectif de recovery testé, relié à une fonction critique ou importante spécifique.

02

Concentration

La deuxième discipline est la concentration.

DORA exige que les entités financières prennent en compte le risque de concentration lorsqu'elles concluent des arrangements pour des services ICT soutenant des fonctions critiques ou importantes. Cela inclut la question de savoir si un fournisseur n'est pas facilement substituable ou si plusieurs arrangements créent des dépendances envers le même fournisseur ou des fournisseurs étroitement liés.

Cela compte parce que la diversification peut être trompeuse.

Deux fournisseurs peuvent paraître indépendants au niveau contractuel, mais converger sur les couches cloud, data centre, réseau, identité, DNS, logiciel, subcontracting ou support opérationnel. Une réponse board-grade ne s'arrête donc pas à "we have more than one provider". Elle demande si les modes de défaillance sont réellement indépendants.

03

Capacité d'exit

La troisième discipline est la capacité d'exit.

DORA exige des stratégies d'exit pour les services ICT soutenant des fonctions critiques ou importantes; ces plans d'exit doivent être complets, documentés, suffisamment testés et périodiquement revus. DORA exige également des arrangements contractuels écrits allouant droits et obligations, y compris des dispositions relatives à l'accès, au recovery, à la restitution des données, à la résiliation et à l'exit.

C'est ici que les réponses faibles semblent souvent plausibles.

  • Une exit policy n'est pas un exit.
  • Une clause contractuelle n'est pas une transition testée.
  • Le resilience plan d'un provider n'est pas le recovery plan de la banque.

Et l'oversight direct d'un fournisseur critique ne remplace pas le third-party risk management propre de l'institution. Les ECB Supervisory Priorities 2026–28 indiquent que les exigences liées à DORA, notamment le risque tiers ICT et l'incident response management, doivent être mises en œuvre de manière cohérente et rapide; elles indiquent également que le DORA oversight framework pour les critical third-party providers complète, mais ne remplace pas, un sound third-party risk management.

La question pratique du board n'est donc pas de savoir si le provider est solide.

Elle est de savoir si l'institution est résiliente à la défaillance du provider.

Cela exige une structure de réponse différente. Le board devrait voir une dependency map, une vue de criticité, une concentration assessment, un recovery objective, un exit path testé, une evidence contractuelle et un dashboard du risque résiduel. Il devrait également voir où la substitution n'est pas réaliste. Dans ces cas, la résilience doit venir des continuity arrangements, contingency planning, protections contractuelles, monitoring et acceptation formelle du risque résiduel.

Le but n'est pas d'éliminer chaque dépendance.

Ce serait irréaliste.

Le but est de savoir quelles dépendances comptent, ce qui casse lorsqu'elles échouent, combien de temps dure la récupération, qui détient la réponse et quelle evidence soutient la réponse.

Un provider supervisé n'est pas la même chose qu'une institution résiliente.

La résilience commence lorsque le board peut poser la question — et recevoir une réponse mappée, testée et gouvernable.

Base de sources sélectionnée

← Tous les briefings