La réglementation DORA impose aux entités financières un renforcement important de la gestion des tiers, notamment en matière de sécurité et de résilience opérationnelle. Mais contrairement à certaines idées reçues, évaluer ses tiers ne signifie pas les évaluer directement sur le référentiel DORA.
Comprendre ce que DORA impose (et ce qu’il n’impose pas)
Grâce à une analyse croisée (datant de Janvier 2025) du règlement DORA, du règlement délégué UE 2024/1773 et du rapport final JC 2023 86 draft, Tenacy a mené une recherche approfondie par mots-clés (ex. prestataire, third party, doit, s’engage, ... ) afin d’identifier toutes les exigences – directes ou indirectes – concernant les prestataires.
Résultat : 32 exigences ont été identifiées et rattachées dans Tenacy aux mesures existantes. Ce socle constitue une base minimale pour toute évaluation de tiers dans un contexte de conformité à DORA.
🔎 Si vous êtes sujet à DORA et que vous devez évaluer vos tiers, il faudrait que votre évaluation couvre à minima ces sujets (mesures) :
⚠️ Cette interprétation ne constitue pas un conseil juridique. Elle est à adapter selon votre contexte contractuel et avec l’appui de votre direction juridique.
Quels référentiels utiliser pour les évaluations ?
DORA ne fournit pas de référentiel d’évaluation, mais impose des thématiques précises. C’est pourquoi Tenacy a cartographié les mesures identifiées avec les référentiels standards présents dans notre catalogue.
Les deux référentiels les plus adaptés aujourd’hui sont :
ISO 27002:2013 : couverture de 95 % des mesures DORA
NIST CSF : couverture de 91 %
Ces référentiels permettent de couvrir les exigences DORA sans créer de doublons ou de référentiels maison peu maintenables.
Ce que cela implique pour vos évaluations fournisseurs
Ce travail permet de clarifier une notion-clé :
💡Être conforme à DORA signifie que vos évaluations doivent couvrir les thématiques imposées par DORA, mais pas que vous devez créer un référentiel DORA spécifique pour chaque tiers.
En pratique, cela signifie :
Catégoriser vos fournisseurs selon leur niveau de criticité pour adapter le périmètre des évaluations
Utiliser les bons référentiels en fonction de ce niveau de criticité : (ISO 27002, NIST CSF, etc.)
Une approche pragmatique : catégoriser dans Tenacy
Dans Tenacy, nous recommandons de structurer vos fournisseurs directement dans le module Organisation, selon des groupes de criticité adaptés à votre politique interne. Par exemple, sur la base de la politique du CESIN :
Groupe Criticité C1 : Prestataires critiques ou essentiels au fonctionnement de l’organisation (hébergement, télécoms, services cloud…)
Groupe Criticité C2 : Fournisseurs importants mais non critiques (maintenance, outils SaaS non essentiels…)
Groupe Criticité C3 : Fournisseurs non sensibles (prestataires logistiques, services généraux…)
Cette catégorisation permet ensuite de déclencher des évaluations spécifiques selon le niveau de risque.
💡lire cet article pour plus d'informations sur la modélisation de vôtre organisation.
Concrètement dans Tenacy
En résumé, pour gérer vos fournisseurs dans le cadre de DORA, vous pouvez vous appuyer sur la méthodologie suivante :
Catégoriser vos fournisseurs dans Organisation (C1, C2, C3…)
Associer un référentiel d’évaluation adapté à chaque niveau de criticité
Vérifier la couverture DORA via les mesures déjà identifiées par Tenacy (cf. visuel)
Documenter et tracer vos évaluations pour preuve de conformité
🔎 Pour toute question sur la mise en œuvre de cette démarche dans votre espace Tenacy, n’hésitez pas à contacter votre Customer Success Manager.