DORA Articles 19, 28 et 30 : Pourquoi un SMSI ne suffit plus pour les entités financières
DORA exige une communication opérationnelle avec les clients pendant les incidents, un registre à jour des prestataires TIC et une surveillance continue. Un SMSI seul ne peut pas répondre à ces exigences.
DORA Articles 19, 28 et 30 : Pourquoi un SMSI ne suffit plus pour les entités financières
Le règlement DORA s'applique directement à la quasi-totalité des entités financières de l'UE depuis le 17 janvier 2025. Il introduit des exigences qu'un SMSI traditionnel ne peut pas satisfaire — en particulier concernant la communication avec les clients et la surveillance continue des prestataires de services TIC.
Ce qu'un SMSI couvre — et ce qu'il ne couvre pas
Un SMSI aligné sur ISO 27001 assure la gouvernance : politiques, registres des risques, contrôles, audits annuels. DORA s'appuie sur cette base — les articles 5 et 6 exigent un cadre documenté de gestion des risques TIC sous la responsabilité de l'organe de direction. Un SMSI peut y répondre.
Mais DORA va significativement plus loin dans trois domaines :
1. Article 19(3) : Les clients doivent être informés sans retard injustifié
DORA n'introduit pas seulement des délais de signalement aux autorités de supervision (24 heures pour la notification initiale, 72 heures ensuite pour le rapport de suivi, puis 1 mois après le rapport de suivi pour le rapport final). L'article 19(3) exige en outre :
« Lorsqu'un incident majeur lié aux TIC survient et a un impact sur les intérêts financiers des clients, les entités financières doivent, sans retard injustifié dès qu'elles en ont connaissance, informer leurs clients. »
C'est nouveau : la communication ne circule pas seulement verticalement vers l'autorité, mais horizontalement vers les partenaires commerciaux. Un SMSI documente les incidents en interne — il ne fournit aucun canal pour une communication structurée en temps réel avec les clients.
2. Article 28(3) : Le registre d'informations doit être à jour
Les entités financières doivent maintenir et mettre à jour un registre complet de tous les prestataires tiers de services TIC — pas comme un exercice ponctuel, mais de manière continue. Les autorités de supervision telles que la BaFin peuvent demander ce registre à tout moment.
Un SMSI contient généralement une liste de fournisseurs. Mais un registre au sens de DORA exige des données structurées et actuelles sur le périmètre contractuel, les localisations, les sous-traitants et la criticité — idéalement dans un format pouvant être alimenté automatiquement.
3. Article 30(3)(e) : Surveillance continue — pas des audits annuels
DORA exige dans les contrats avec les prestataires critiques de services TIC « le droit de surveiller en permanence la performance du prestataire tiers de services TIC ». En même temps, le règlement fait référence à des mécanismes tels que « les droits d'accès, d'inspection et d'audit » et « les inspections sur site ».
C'est là que réside l'écart : DORA exige une surveillance continue mais présuppose des instruments issus du monde des audits annuels. Aucune entité financière ne peut réaliser des inspections trimestrielles sur site de 30 prestataires de services TIC. Ce que « continu » signifie opérationnellement doit être résolu autrement : avec des tableaux de bord, des mises à jour automatisées des statuts et des flux de données structurés.
La solution : SMSI pour la gouvernance, Trust Center pour les opérations
DORA sépare implicitement deux mondes : le contrôle interne et la communication externe. Un SMSI couvre le premier. Pour le second — communication avec les clients pendant les incidents, surveillance continue des prestataires, registre d'informations à jour — un système opérationnel est nécessaire.
Un Trust Center comble exactement cet écart : il rend la posture de sécurité visible, permet une communication proactive et fournit des données structurées que les clients peuvent directement intégrer dans leurs propres registres d'informations.
Sources :