Surveillance des tiers TIC au titre de DORA

Réussissez vos audits DORA sur chaque entité, sans le chaos des tableurs

Mis à jour le 2026-06-23
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui centralise la surveillance des tiers TIC au titre de l'article 28 de DORA, la détection du risque de concentration et la recertification au sein des groupes financiers multi-entités.

Obtenez en quelques semaines une surveillance des tiers TIC prête pour l'audit sur l'ensemble de votre groupe. Un seul registre, une détection automatisée du risque de concentration et 100 % de conformité de recertification sur toutes les filiales, sans nouvel onboarding d'outil.

L'article 28 de DORA impose aux entités financières de tenir un registre exhaustif de tous les accords avec des prestataires tiers TIC et d'appliquer une surveillance renforcée aux prestataires désignés comme « critiques ». Pour les groupes opérant à travers plusieurs filiales et juridictions, cela crée un défi de coordination exponentiel : registres dupliqués, évaluations de risque incohérentes et lacunes d'audit entre entités. Priverion résout cela à l'échelle du groupe, de la même manière qu'il gère déjà le registre des traitements et les AIPD de votre programme de protection des données.

Sans engagement. Adaptée à la structure de votre groupe. Clients Priverion existants : aucun nouvel onboarding requis.

4,8 / 5,0 Score moyen de satisfaction client, T1 2025
Conforme ISO 27001 Infrastructure hébergée en Suisse
Résidence des données en Suisse Toutes les données sont traitées et stockées en Suisse
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Fonctionnalités de surveillance des tiers TIC au titre de DORA

Une seule plateforme. Toutes les entités. Une surveillance complète des tiers TIC au titre de DORA.

Chaque fonctionnalité répond directement aux difficultés rencontrées par votre groupe : registres dupliqués, risques de concentration invisibles, évaluations incohérentes et échéances qui dérapent.

Registre centralisé des prestataires tiers TIC

Tenez un registre unique et à l'échelle du groupe de tous les accords avec des prestataires tiers TIC, aligné sur l'article 28(3) de DORA et sur les modèles RTS/ITS associés. Chaque filiale dispose de sa propre vue restreinte tandis que la conformité du groupe voit l'ensemble : pas de duplication, pas de divergence entre entités.

Cessez de réconcilier manuellement les données fournisseurs entre filiales. Une source unique de vérité signifie que les avenants de contrat et les changements de sous-traitants se propagent instantanément à tout le groupe.

Jusqu'à 70 % de temps en moins

consacré à la réconciliation des données fournisseurs entre filiales

D'après des clients gérant 5 entités ou plus, chiffre soumis à validation par les données de la réussite client

Analyse automatisée du risque de concentration

Priverion cartographie automatiquement les dépendances fournisseurs sur l'ensemble des entités du groupe, en signalant les risques de concentration lorsque plusieurs filiales s'appuient sur le même prestataire TIC critique ou le même sous-traitant. Des vues visuelles du risque de concentration au niveau du groupe comme de l'entité.

Si trois de vos filiales dépendent du même fournisseur d'infrastructure cloud sans qu'aucune ne connaisse la dépendance des autres, c'est exactement le risque que DORA vous impose de mettre en lumière. Des outils cloisonnés en sont incapables.

Des minutes, pas des semaines

pour révéler les risques de concentration cachés à l'échelle de tout votre groupe

Comparé au recoupement manuel entre tableurs d'entité et listes de fournisseurs

Workflows de scoring de risque et d'évaluation de criticité

Des modèles d'évaluation intégrés, alignés sur les critères de DORA pour désigner les prestataires tiers TIC comme « critiques » : importance systémique, substituabilité et interdépendance. Une méthodologie de scoring cohérente appliquée à chaque entité de votre groupe.

Fini d'expliquer aux régulateurs pourquoi le même fournisseur cloud a obtenu une note « risque faible » dans une filiale et « risque élevé » dans une autre. La cohérence est le niveau de base attendu par DORA, et que les auditeurs mettront à l'épreuve.

100 % de cohérence d'évaluation

sur chaque entité de votre groupe grâce à un scoring standardisé

Obtenue grâce à des modèles d'évaluation imposés à l'échelle du groupe et à une gouvernance méthodologique centralisée

Recertification automatisée et surveillance continue

Planifiez et automatisez les réévaluations périodiques des prestataires TIC critiques. Déclenchez des revues basées sur des événements lorsque les contrats changent, qu'un incident survient ou qu'une mise à jour réglementaire s'applique. Des notifications automatisées sont envoyées aux responsables désignés de chaque entité, avec des pistes d'audit complètes de chaque cycle de revue.

Les réévaluations annuelles ou déclenchées par un événement exigent une coordination entre le juridique, les achats, l'IT et la conformité dans chaque entité. Sans workflows automatisés, les échéances dérapent et les pistes d'audit restent incomplètes — précisément ce que le superviseur principal examinera de près.

Zéro échéance de recertification manquée

grâce à des rappels automatisés et à des chemins d'escalade sur toutes les entités

Modélisé sur le taux de recertification du registre des traitements de 100 % d'un assureur suisse, obtenu avec le moteur de recertification automatisée de Priverion

Assistée par l'IA, décidée par l'humain

L'IA assiste la rédaction des évaluations de criticité, les suggestions de scoring de risque et la mise en correspondance réglementaire avec les exigences RTS/ITS de DORA. Chaque résultat de l'IA est revu par votre équipe avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour entraîner les modèles.

Toutes les données sont traitées au sein d'une infrastructure suisse. Cela compte pour les entités financières soumises à la fois à DORA et à un contrôle des transferts transfrontaliers de données : la souveraineté des données suisse n'est pas une case marketing à cocher, c'est votre fondement juridique.

Conçue en Suisse. Hébergée en Suisse. Assistée par l'IA.

Tout le traitement au sein d'une infrastructure suisse, avec une résidence des données européenne garantie

200+

Heures gagnées sur la gestion du registre des traitements

Une entreprise de technologie médicale a récupéré plus de 200 heures auparavant consacrées à la tenue manuelle des registres, redirigées vers la préparation de la certification ISO 27001

60 %

Coût inférieur face aux acteurs grands comptes

D'après des comparaisons de tarifs publiés pour des déploiements multi-entités, sans frais par utilisateur ni pièges d'extension par module

3 mois

D'avance sur le calendrier de certification ISO 27001

Une entreprise de technologie médicale a utilisé les dossiers de preuves prêts pour l'audit de Priverion pour accélérer son calendrier ISO 27001 d'un trimestre complet

AXA

Assurance et services financiers

Pilatus Aircraft

Aérospatiale et industrie

Openmedical

Technologies de santé

« Priverion a remplacé notre gestion du registre des traitements sur tableurs pour 12 entités. Nous avons atteint 100 % de conformité de recertification dès le premier cycle, ce que nous n'avions jamais réussi avec notre configuration précédente. »

Déléguée à la protection des données du groupe

Un assureur suisse, programme de protection des données multi-entités

« Nous avons réduit le temps administratif de conformité de 60 % en six mois. La plateforme s'est rentabilisée avant la fin du premier trimestre. »

Directeur juridique et conformité

Constructeur aéronautique, six premiers mois après la mise en œuvre

Conforme ISO 27001

SMSI conforme à l'ISO 27001

Hébergé en Suisse

Infrastructure hébergée en Suisse

Résidence des données en Suisse

Toutes les données traitées et stockées en Suisse

Satisfaction 4,8 / 5,0

D'après une enquête client, T1 2025

Comparatif

Pourquoi les équipes mid-market quittent OneTrust

Les plateformes de protection des données pour grands comptes ont été conçues pour des budgets du Fortune 500 et des déploiements de 18 mois. Si vous gérez la conformité à travers plusieurs entités mais n'avez pas besoin d'un outil qui couvre aussi l'ESG, les lignes d'alerte éthique et le consentement aux cookies, il existe une meilleure solution.

La plateforme grands comptes typique

Ce que vous payez, mais que vous n'utilisez probablement pas

  • Tarification par utilisateur et par module
    Les coûts explosent à mesure que vous intégrez des filiales. L'imprévisibilité budgétaire est la norme, pas l'exception.
  • Infrastructure hébergée aux États-Unis
    Après Schrems II, l'hébergement américain crée une exposition juridique pour les transferts transfrontaliers de données qu'aucune CCT ne résout pleinement.
  • Plus de 200 intégrations superficielles
    Impressionnant sur une page produit. En pratique, la plupart des connecteurs exigent une configuration sur mesure et une charge de maintenance continue.
  • Mise en œuvre de 6 à 12 mois
    Le temps que vous soyez opérationnel, vous avez manqué deux cycles d'audit et votre DPD a mis à jour ces tableurs 24 fois de plus.
  • Une complexité conçue pour des équipes de conformité de plus de 20 personnes
    Les équipes mid-market de 2 à 5 personnes se noient sous des fonctionnalités pensées pour des organisations dix fois plus grandes.

Priverion

Conçu pour la façon dont les équipes mid-market de protection des données travaillent réellement

  • Tarification prévisible selon le nombre et la taille des entités
    Pas de frais par utilisateur. Pas de ventes additionnelles par module. Ajoutez des filiales sans renégocier votre contrat.
  • Conçue en Suisse. Hébergée en Suisse. Résidence des données européenne.
    Tout le traitement des données au sein d'une infrastructure suisse, non pas une case marketing à cocher, mais un fondement juridique pour la conformité transfrontalière.
  • Des intégrations approfondies avec les systèmes qui comptent
    RH, achats et gestion des actifs IT, les workflows qui font tourner les opérations de protection des données. Pas 200 connecteurs que vous ne configurerez jamais.
  • Opérationnel en quelques semaines, pas en quelques mois
    Un constructeur aéronautique a constaté une réduction de 60 % du temps administratif de conformité au cours de ses six premiers mois, à compter de la mise en œuvre et non du seul lancement. Constructeur aéronautique, six premiers mois après la mise en œuvre
  • Assistée par l'IA, décidée par l'humain
    L'IA aide à rédiger les AIPD, à scorer les risques et à mettre en correspondance les réglementations. Chaque résultat est revu avant de devenir un enregistrement de conformité. Aucune donnée client utilisée pour l'entraînement.
Checklist gratuite

Checklist de surveillance des prestataires tiers TIC critiques au titre de DORA

Cessez de reconstituer les exigences de DORA à partir de PDF réglementaires. Cette checklist cartographie les étapes précises dont votre équipe a besoin pour classer, surveiller et déclarer vos prestataires tiers TIC critiques, avant que votre superviseur principal ne pose la question.

Ce que vous y trouverez :

  • Des critères étape par étape pour classer les prestataires TIC qui se qualifient comme « critiques » au titre de l'article 31 de DORA, y compris les tests de substituabilité et de risque de concentration que les régulateurs examineront de près
  • Un cadre de surveillance continue prêt à l'emploi couvrant les clauses contractuelles, les stratégies de sortie et la surveillance de la chaîne de sous-traitance, aligné directement sur les exigences RTS
  • Un modèle de registre d'informations aligné sur l'article 28(3) de DORA, les champs de données précis que votre autorité de surveillance attend dans votre registre des accords avec des prestataires tiers TIC
  • Un guide de coordination inter-entités pour les groupes gérant des prestataires TIC critiques à travers plusieurs filiales et juridictions, car le fournisseur d'une filiale est le risque de tout le groupe

PDF gratuit. Aucune démo requise. Nous vous l'envoyons par e-mail.

Cessez de piloter la surveillance DORA dans des tableurs. Pilotez-la comme un programme.

Un constructeur aéronautique a réduit son temps administratif de conformité de 60 % en six mois. Un assureur suisse a atteint 100 % de recertification du registre des traitements, entièrement automatisée. Une entreprise de technologie médicale a gagné plus de 200 heures dans sa préparation à l'ISO 27001.

Une surveillance des tiers TIC à l'échelle du groupe sur chaque filiale, chaque juridiction, avec une automatisation assistée par l'IA et une souveraineté des données suisse garantie. Une tarification prévisible, sans pièges par utilisateur.

Pas d'argumentaire commercial, une présentation en direct adaptée à la structure de votre groupe et à vos besoins de conformité. Découvrez comment des organisations comme la vôtre deviennent prêtes pour l'audit en quelques semaines, pas en quelques mois.

Réserver une présentation

Découvrez la surveillance des tiers TIC au titre de DORA en action

30 minutes, adaptées à la structure de votre groupe. Nous vous montrerons comment des organisations gérant plusieurs entités centralisent leurs registres de prestataires TIC, automatisent la recertification et révèlent les risques de concentration, le tout dans une seule plateforme.

Sans engagement. Aucun argumentaire de vente. Nous vous recontacterons sous un jour ouvré pour planifier votre présentation.

Réservez une présentation de 30 minutes
À propos de cette page — références, définitions et FAQ

Points clés — Surveillance des prestataires tiers TIC au titre de DORA

Le règlement européen sur la résilience opérationnelle numérique (DORA, règlement 2022/2554) impose à chaque entité financière régulée de tenir un registre exhaustif des accords avec des prestataires tiers TIC, d'évaluer le risque de concentration entre prestataires et d'appliquer une surveillance renforcée aux prestataires tiers de services TIC critiques (CTPP). Pour les groupes financiers multi-entités, cela crée des défis de coordination exponentiels. Priverion centralise ces obligations dans une plateforme unique hébergée en Suisse — un seul registre, une détection automatisée du risque de concentration, un scoring de criticité cohérent et des workflows de recertification avec des pistes d'audit complètes sur l'ensemble des filiales.

Définitions

Qu'est-ce que DORA (règlement sur la résilience opérationnelle numérique) ?

DORA est le règlement européen 2022/2554, établissant un cadre complet pour la gestion des risques liés aux TIC, la déclaration des incidents, les tests de résilience opérationnelle numérique et la gestion des risques liés aux prestataires tiers TIC pour les entités financières. Il est devenu pleinement applicable le 17.01.2025. Texte intégral — EUR-Lex

Qu'est-ce qu'un registre des prestataires tiers TIC au titre de l'article 28 de DORA ?

Registre des prestataires tiers TIC désigne le registre obligatoire des informations relatives à tous les accords contractuels portant sur l'utilisation de services TIC fournis par des prestataires tiers de services TIC, tel qu'exigé par l'article 28(3) de DORA. Les autorités européennes de surveillance ont publié des normes techniques de réglementation (RTS) et des normes techniques d'exécution (ITS) précisant les modèles et le contenu de ce registre. Article 28 de DORA — EUR-Lex

Qu'est-ce que le risque de concentration dans la surveillance des tiers TIC ?

Le risque de concentration au titre de l'article 29 de DORA est la vulnérabilité systémique qui apparaît lorsque plusieurs entités financières ou filiales d'un groupe dépendent du même prestataire tiers TIC ou d'un nombre limité de prestataires. Les entités doivent évaluer la substituabilité, les chaînes de sous-traitance et la concentration géographique du traitement des données.

Qu'est-ce qu'un prestataire tiers de services TIC critique (CTPP) ?

Un prestataire tiers de services TIC critique est désigné par les autorités européennes de surveillance au titre des articles 31 et 32 de DORA en fonction de son importance systémique, de son degré de substituabilité ainsi que du nombre et de l'importance des entités financières qui en dépendent. Les CTPP sont soumis à un cadre de superviseur principal doté de pouvoirs de surveillance réglementaire directe, y compris des inspections sur site et des ordres de remédiation.

Contexte réglementaire et statistiques

Selon le rapport conjoint des autorités européennes de surveillance, DORA s'applique à plus de 22'000 entités financières dans l'UE, notamment les banques, assureurs, entreprises d'investissement, établissements de paiement et prestataires de services sur crypto-actifs. Le règlement est devenu pleinement applicable le 17.01.2025 après une période de mise en œuvre de deux ans. Règlement DORA — EUR-Lex

Le rapport ENISA 2024 sur le paysage des menaces a souligné que les attaques sur la chaîne d'approvisionnement TIC ont augmenté de 26 % d'une année sur l'autre, ce qui met en évidence la logique de résilience opérationnelle sous-tendant les exigences de surveillance des tiers de DORA. Paysage des menaces ENISA

Selon une enquête Gartner de 2024, 45 % des organisations ont subi des interruptions d'activité liées à des tiers au cours des deux années précédentes, ce qui renforce le besoin d'une analyse systématique du risque de concentration telle qu'imposée par l'article 29 de DORA. Salle de presse Gartner

Foire aux questions

Qu'est-ce que la surveillance des prestataires tiers TIC au titre de DORA ?

La surveillance des prestataires tiers TIC au titre de DORA désigne les obligations issues du règlement européen sur la résilience opérationnelle numérique (règlement 2022/2554) imposant aux entités financières de tenir un registre de tous les accords avec des prestataires tiers TIC, d'évaluer le risque de concentration et d'appliquer une diligence renforcée aux prestataires désignés comme « critiques » par les autorités européennes de surveillance au titre des articles 28 à 44. Texte intégral de DORA — EUR-Lex

Qui est tenu de se conformer aux exigences de surveillance des tiers TIC de DORA ?

Toutes les entités financières régulées dans l'UE — banques, assureurs, entreprises d'investissement, établissements de paiement et prestataires de services sur crypto-actifs — doivent s'y conformer. Les groupes opérant à travers plusieurs filiales et juridictions font face à des défis de coordination supplémentaires, car chaque entité doit tenir son propre registre tandis que le groupe doit démontrer une surveillance consolidée. Article 2 de DORA — EUR-Lex

Qu'est-ce qu'un prestataire tiers de services TIC critique au titre de DORA ?

Au titre des articles 31 et 32 de DORA, un prestataire tiers de services TIC critique (CTPP) est un prestataire désigné par les autorités européennes de surveillance en fonction de son importance systémique, de son degré de substituabilité et du nombre d'entités financières qui en dépendent. Les CTPP sont soumis à un cadre de superviseur principal doté de pouvoirs de surveillance réglementaire directe, y compris des inspections sur site.

Comment Priverion accompagne-t-il la conformité à l'article 28 de DORA ?

Priverion fournit un registre centralisé et à l'échelle du groupe des accords avec des prestataires tiers TIC, aligné sur l'article 28(3) de DORA et sur les modèles RTS/ITS associés. La plateforme automatise la détection du risque de concentration entre filiales, impose un scoring de criticité cohérent et gère les workflows de recertification avec des pistes d'audit complètes — le tout hébergé sur une infrastructure suisse avec une résidence des données européenne garantie.

Qu'est-ce que le risque de concentration au titre de DORA ?

Le risque de concentration au titre de DORA désigne la vulnérabilité systémique créée lorsque plusieurs entités financières ou filiales dépendent du même prestataire tiers TIC. L'article 29 de DORA impose aux entités d'évaluer et de gérer ce risque, y compris l'analyse des chaînes de sous-traitance et de la concentration géographique du traitement des données. Article 29 de DORA — EUR-Lex

Quand DORA est-il devenu applicable ?

DORA (règlement 2022/2554) est entré en vigueur le 16.01.2023 et est devenu pleinement applicable le 17.01.2025. Les entités financières doivent disposer de leurs registres de tiers TIC, de leurs cadres de gestion des risques et de leurs processus de surveillance opérationnels à cette date.

Comment DORA s'articule-t-il avec les lignes directrices existantes sur l'externalisation, comme celles de l'ABE ?

DORA remplace et consolide les précédentes lignes directrices sectorielles sur l'externalisation (telles que les lignes directrices de l'ABE sur les accords d'externalisation) dans un cadre transversal unique. Il introduit des registres obligatoires des tiers TIC, des évaluations du risque de concentration et le cadre de superviseur principal pour les prestataires critiques — des exigences qui vont au-delà du périmètre des lignes directrices antérieures.

Quelles sont les sanctions en cas de non-conformité à DORA ?

DORA habilite les autorités nationales compétentes à imposer des sanctions administratives et des mesures correctives en cas de non-conformité. Pour les prestataires tiers de services TIC critiques, le superviseur principal peut imposer des astreintes pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen pour chaque jour de non-conformité, pendant une durée maximale de six mois. Article 35 de DORA — EUR-Lex

DORA face à la conformité traditionnelle en matière d'externalisation — comparatif

DimensionLignes directrices d'externalisation pré-DORADORA (règlement 2022/2554)
PérimètreSectoriel (ABE, EIOPA, ESMA séparément)Cadre transversal et unifié pour toutes les entités financières
Registre des prestataires TICRecommandé mais non standardiséObligatoire avec modèles RTS/ITS (article 28)
Risque de concentrationMentionné dans les orientations, aucune évaluation formelle requiseÉvaluation et déclaration obligatoires (article 29)
Surveillance des prestataires critiquesAucune surveillance réglementaire directe des prestatairesCadre de superviseur principal avec pouvoirs d'inspection (articles 31 à 44)
Déclaration des incidentsVariable selon le secteurDéclaration harmonisée des incidents TIC (articles 17 à 23)
Sanctions pour les prestatairesAucune (seules les entités régulées sont sanctionnées)Jusqu'à 1 % du chiffre d'affaires mondial journalier pour les CTPP (article 35)
Sous-traitanceDiligence recommandéeSurveillance obligatoire de toute la chaîne d'approvisionnement TIC