Entré en vigueur le 17 janvier 2025, le règlement européen DORA impose aux acteurs du secteur financier – banques, assurances, sociétés de gestion – de renforcer leur cybersécurité… et celle de leurs prestataires informatiques. Objectif : s’assurer que les fournisseurs de services technologiques soient soumis aux mêmes exigences de sécurité que les entités qu’ils accompagnent. Une logique partagée par la directive européenne NIS 2, en cours de transposition en droit français, qui cible plus largement les acteurs dits « essentiels » ou « importants » pour la sécurité numérique du continent.
Auditer avant de signer
Avant de signer avec un prestataire, les entités soumises à Dora ou à la directive NIS 2 doivent donc impérativement évaluer sa cybersécurité. Comme le rappelle Le Journal du Net, un premier filtre consiste à recourir à un security rating. Il s’agit d’un scan automatisé qui détecte les failles visibles (données exposées, logiciels obsolètes, vulnérabilités non corrigées…) et attribue un score de sécurité.
Ce diagnostic reste néanmoins limité à l’apparence extérieure du système. D’où l’importance de compléter l’analyse par un audit documentaire, fondé sur un questionnaire détaillé. Le prestataire doit alors fournir des preuves concrètes de la conformité de sa politique de sécurité, de ses contrats avec ses sous-traitants, de ses dispositifs de double authentification etc. Autre possibilité, l’audit sur site. Plus poussé, ce dernier se déroule dans les locaux du fournisseur avec un expert indépendant – parfois judiciaire – désigné avec son accord. À l’issue de cette journée d’inspection, un rapport est remis, mesurant le niveau de conformité du prestataire aux exigences contractuelles (présence d’un RSSI, gestion des risques, sécurité physique etc.).
Un audit peut coûter cher… et faire rompre un contrat
Une fois le contrat en place, il est recommandé de reconduire régulièrement le security rating (mensuellement ou bimensuellement). Pour ce faire, des clauses d’audit doivent figurer dans le contrat, autorisant des vérifications récurrentes ou à la demande.
Le coût d’un audit complet varie entre 5 000 et 15 000 euros. Mais, si une défaillance est constatée, certaines clauses contractuelles peuvent obliger le prestataire à en assumer les frais.
Lire aussi sur L’Essor de la Sécurité : Microsoft mise sur l’IA pour pallier la pénurie de talents en cybersécurité
Cependant, plus encore que l’aspect financier, c’est l’enjeu réglementaire qui prime. Lors d’un contrôle par une autorité comme l’ANSSI ou l’AMF, l’entreprise cliente doit être en mesure de fournir ces audits. Et si une faille critique est révélée, la sanction peut aller jusqu’à la rupture du contrat.
