DORA (Digital Operations Resilience Act) est le règlement sur la résilience opérationnelle numérique. DORA vise ainsi à renforcer la stabilité du système financier européen. Malgré les discussions en cours sur l’application de certaines dispositions, il est clair que le règlement DORA entraînera des répercussions importantes. Que ce soient sur les pratiques de gestion des risques des entités financières ou sur les relations avec leurs fournisseurs. Décryptage avec nos experts.
Sommaire
DORA : des exigences règlementaires qui obligent à appréhender les écosystèmes dans toute leur complexité
Dans un contexte de dépendance croissante des institutions financières à l’égard des fournisseurs du secteur des technologies de l’information et de la communication (TIC) et de vulnérabilité aux cyberattaques, le règlement sur la résilience opérationnelle numérique DORA vise à renforcer la stabilité du système financier européen.
En partant du constat de fortes interdépendances entre les États membres de l’Union Européenne (UE) et de l’hétérogénéité des réglementations nationales relatives aux TIC, DORA met en avant une approche holistique de la résilience opérationnelle et fixe des exigences uniformes autour des cinq piliers illustrés ci-dessous.
A quoi s’attendre à compter du 17 janvier 2025, date d'entrée en vigueur du règlement DORA ?
Des répercussions importantes sur les pratiques de gestion des risques des entités financières et les relations avec leurs fournisseurs
Malgré les discussions en cours sur l’application de certaines dispositions, il est d’ores et déjà clair que le règlement DORA entraînera des répercussions importantes sur les pratiques de gestion des risques des entités financières et les relations avec leurs fournisseurs.
De l’introduction de normes de sécurité plus strictes à la mise en place d’exigences accrues en termes de reporting, d’audit et de surveillance, DORA complexifie davantage les relations entre donneurs d’ordres et fournisseurs en responsabilisant les premiers dans le cas où une défaillance et/ou une non-conformité d’une tierce partie impacteraient leurs opérations ou celles de leurs clients.
Cette responsabilité rend nécessaire un pilotage resserré des fournisseurs et une gestion proactive des risques associés, et induit une sophistication accrue des processus de gestion des relations fournisseurs et des coûts associés (ex. : surveillance continue).
Des dispositifs prévus dans le règlement DORA qui risquent de ne pas être suffisants assurer une bonne maîtrise des risques opérationnels
Afin de faciliter cette démarche, le règlement DORA prévoit la mise en place de dispositifs mutualisés, pilotés au niveau européen. Bien que ces dispositifs constituent des instruments importants au service des institutions financières, ils risquent de pas être suffisants pour assurer une bonne maîtrise des risques opérationnels compte tenu de la diversité et de l’interdépendance des portefeuilles fournisseurs.
En effet, si le cadre de suivi du règlement DORA prévoit des enquêtes, des inspections et des recommandations (y compris la publication d’une liste de fournisseurs stratégiques), il n’a pas vocation à fixer des plafonds ou des limites strictes à l’exposition aux risques tiers. La mise en œuvre des principes DORA incombe donc aux entités financières elles-mêmes, qui sont responsables de la bonne gestion de leur portefeuille de fournisseurs.
Par conséquent, la sécurisation des relations fournisseurs TIC passe par une approche proactive intégrant les enjeux relatifs aux risques opérationnels dès le choix et la contractualisation avec les tierces parties.
Contract management : vecteur de résilience opérationnelle
Fréquemment sous-utilisé, le Contract Management est un levier reconnu de la performance globale des entreprises en général et, spécifiquement, de la maîtrise des risques opérationnels. Il permet de structurer, de cadrer et d’opérer les relations client-fournisseur dans un contexte d’accroissement des exigences règlementaires et de faible tolérance aux risques d’exécution des prestations.
Au-delà du suivi de la rédaction et de la signature d’instruments légaux, la bonne gestion des contrats suppose l’adoption d’une stratégie de contractualisation ex ante afin de définir la posture de l’entreprise en matière de gestion des risques, les critères de choix des fournisseurs et les modalités de montage contractuel privilégiées.
Ce cadre permet notamment d’appuyer des démarches “Know your supplier” et facilite naturellement l’évaluation des fournisseurs actuels et potentiels en matière de résilience opérationnelle.
Quels premiers retours d’expériences des entreprises les plus avancées ?
La mise en place d'une fonction Contract Management
Dans le cadre de l’implémentation de directives sur les Prestations de Services Essentiels Externalisées (PSSE), certaines institutions financières de premier rang ont mis en place une fonction Contract management pour mieux maîtriser les risques opérationnels et contractuels engendrés par l’externalisation d’activités stratégiques.
La maturité désormais acquise de cette fonction permet à ces acteurs d’absorber efficacement les nouvelles obligations imposées par la règlement DORA, en s’appuyant sur les process et outils contractuels en place. Plus spécifiquement, les diagnostics de maturité et conformité contractuelle ainsi que la revue de contrats clés réalisés au préalable, leur ont permis de définir des stratégies de mitigation et de surveillance et d’optimiser le pilotage de leur portefeuille de fournisseurs.
L'adoption d'outils de Contract Lifecycle Management (CLM)
D’autres entreprises ont opté pour l’adoption d’outils de gestion du cycle de vie des contrats (Contract Lifecycle Management) afin d’automatiser, améliorer et sécuriser leurs processus contractuels. Segment émergent sur le marché, ces outils technologiques permettent de suivre de manière rapprochée les obligations contractuelles (ex. : jalons, suivi des modifications) et d’améliorer la gouvernance des portefeuilles de contrat.
Les solutions CLM sont fréquemment couplées à des solutions existantes de passation de marchés ou de Source to Pay (S2P).
La bonne maîtrise des risques contractuels et les pratiques de pilotage de la relation fournisseur associées permettent aux entreprises le plus avancées d’identifier l’impact des évolutions réglementaires sur leur portefeuille de contrats, et de définir et mettre en place plus facilement une trajectoire de mise en conformité.
Quels sont les freins à anticiper dans la mise en conformité avec la règlemntation DORA ?
La réalisation de cette trajectoire dépend de l’adhésion des fournisseurs concernés, rendant ainsi déterminantes les phases de négociations contractuelles pour l’objectif de mise en conformité.
Tandis que les prestataires informatiques basés dans l’UE sont également concernés par le règlement DORA (à l’exception des micro-entreprises) et doivent se mettre en conformité vis-à-vis de ces principes, des difficultés sont à prévoir lors des négociations avec des fournisseurs extra-européens. Plus spécifiquement, le professionnalisme contractuel accru des fournisseurs et les efforts de standardisation des prestations et instruments légaux engendrent des négociations complexes.
Dans ce contexte, des acteurs du secteur sont déjà en train d’acculturer les équipes concernées (ex. : juristes, acheteurs) et de revoir leurs stratégies de négociation pour prendre en considération les garanties minimales énoncées par le règlement DORA en amont du choix du fournisseur.
En l’absence d’accord des TIC hors UE et selon la criticité de la relation (ex. : sensibilité des données, vulnérabilités), les entités financières sont incitées à changer de prestataire ou à internaliser le périmètre concerné, selon la complexité du service ou de la solution fournie.
Dans ce contexte, plusieurs entreprises choisissent de se faire accompagner dans la (re)définition de leur stratégie d’externalisation afin de mieux maitriser les risques et de gérer leurs compétences internes.
Comment iQo peut vous accompagner sur votre trajectoire ?
Avec une expertise reconnue sur les aspects réglementaires et opérationnels du Contract Management et sur la résilience numérique, nous pouvons vous guider tout au long du cycle de vie de vos contrats et les utiliser en tant que catalyseur de la performance globale de votre entreprise.
En définissant des facteurs de performance contractuelle et leurs interactions avec les risques opérationnels, nous veillons à ce que la résilience soit prise en compte de manière native dans la gouvernance contractuelle de vos prestations.
N’hésitez pas à nous contacter pour en savoir plus !
Contract Management
Teresa DORNER
Directrice Conseil iQo
son profil LinkedIn
Fernanda FREITAS
Manager iQo
son profil LinkedIn