Orange et Capgemini sont des prestataires critiques de services TIC pour le secteur financier.

Ainsi en ont décidé l’ABE (Autorité bancaire européenne), l’AEAPP (Autorité européenne des assurances et des pensions professionnelles) et l’AEMF (Autorité européenne des marchés financiers). Elles ont intégré 17 autres sociétés sur leur liste, élaborée dans le cadre du règlement DORA (résilience opérationnelle numériques des entités financières).

Une possibilité d’astreinte à 1 % du CA quotidien

Cette liste doit être mise à jour annuellement. Sa composition découle de quatre critères. Dans les grandes lignes :

• Effet systémique sur les services financiers en cas de défaillance opérationnelle à grande échelle du prestataire
• Importance des entités financières qui dépendent du prestataire
• Dépendance de ces mêmes entités à l’égard des services du prestataire sur leurs fonctions critiques ou importantes
• Degré de substituabilité du prestataire

Les fournisseurs désignés comme critiques font l’objet d’une supervision spécifique. Des exigences ou des processus de sécurité et de qualité peuvent leur être imposés (correctifs, chiffrement, accords d’externalisation, prévention des points uniques de défaillance…).

En cas de non-respect des mesures à adopter, les prestataires peuvent écoper d’une astreinte, sur base journalière, pendant 6 mois maximum. Le montant est au plus égal à 1 % du CA quotidien moyen réalisé au niveau mondial. Les autorités peuvent aller jusqu’à demander aux entités financières de suspendre temporairement l’utilisation ou le déploiement de solutions.

DORA établit un principe de divulgation publique des prestataires qui ne notifient leur intention de suivre les recommandations du superviseur – ou qui ne fournissent pas de refus circonstancié.

Illustration générée par IA

The post Règlement DORA : la liste des prestataires IT critiques appeared first on Silicon.fr.