Aller au contenu principal

Évaluer les prestataires cloud sous DORA & NIS2

Les prestataires cloud se trouvent désormais au cœur des exigences réglementaires. Voici comment les évaluer correctement sous DORA et NIS2, sans vous noyer dans la paperasse ni passer à côté des risques critiques.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min de lecture
Evaluating Cloud Providers under DORA and NIS2

La plupart des organisations pensent qu'évaluer un fournisseur cloud se résume à consulter un rapport SOC 2, jeter un œil à un certificat ISO, et passer à autre chose. Sous DORA et NIS2, ce raccourci devient un risque réglementaire. Le risque cloud est désormais un risque métier ; et les régulateurs attendent de vous que vous le démontriez.

DORA et NIS2 ont changé les règles du jeu. Les régulateurs ne se demandent plus si votre fournisseur cloud a « une bonne sécurité ». Ils veulent savoir si vous êtes en mesure de continuer à opérer lorsque votre fournisseur défaille.

Cela implique :

  • des évaluations approfondies
  • une transparence contractuelle
  • une analyse du risque de concentration
  • une surveillance continue
  • des stratégies de sortie
  • une gouvernance réelle, pas des listes de contrôle

La plupart des organisations n'y sont pas prêtes ; et les auditeurs le savent.

Voici comment évaluer vos fournisseurs cloud correctement sous DORA et NIS2.

1. Commencer par la criticité : tous les services cloud ne se valent pas

L'erreur la plus courante est de traiter tous les services SaaS ou cloud de la même manière.

Sous DORA et NIS2, vous devez classer vos fournisseurs par impact métier :

  • critique
  • important
  • non critique

Les services critiques concernent directement :

  • la continuité d'activité
  • les opérations orientées clients
  • les transactions financières
  • les obligations réglementaires
  • la sécurité
  • l'infrastructure centrale

Anecdote : Un client avait classé son CRM comme « faible risque » parce que « le marketing l'utilise ». Il s'avère que 60 % de son pipeline de revenus en dépendait. Sous DORA, c'est critique.

Les régulateurs attendent une priorisation. Commencez par là.

2. Exiger la transparence sur l'architecture, les dépendances et les sous-traitants

Sous NIS2 et DORA, vous avez besoin de clarté sur :

  • la localisation des données
  • les sous-traitants
  • les dépendances d'infrastructure
  • l'architecture de basculement multi-région
  • la résidence des données et l'exposition juridictionnelle

Les fournisseurs cloud raffolent des schémas vagues et des discours marketing. Les régulateurs, eux, veulent des éléments précis.

Votre risque, c'est le fournisseur de votre fournisseur.

3. Évaluer la résilience opérationnelle, pas seulement les contrôles de sécurité

ISO 27001 et SOC 2 renseignent sur l'hygiène de sécurité. DORA et NIS2 veulent savoir :vos opérations peuvent-elles survivre à la défaillance d'un fournisseur cloud ?

Demandez :

  • les RTO/RPO pour l'ensemble de leur stack
  • l'historique réel des incidents
  • les résultats des tests de basculement
  • les métriques de gestion de capacité
  • les délais d'escalade des incidents
  • la maturité des niveaux de service
  • la fiabilité de la page de statut (l'historique compte)

Anecdote : Un éditeur SaaS affichait « 99,99 % de disponibilité ». Sa page de statut publique recensait huit incidents en 6 mois. Votre évaluation doit refléter la réalité ; pas le marketing.

4. Vérifier comment ils gèrent les incidents majeurs (DORA a des exigences précises)

DORA exige une clarté contractuelle sur :

  • la classification des incidents
  • les délais de notification
  • le partage d'informations
  • la remise des analyses de cause racine
  • les chemins d'escalade

Si votre fournisseur cloud n'a pas de processus de réponse aux incidents mature, vous en héritez le déficit.

Un exemple concret : Un prestataire livrait ses RCA avec 30 jours de retard ; à chaque fois. Sous DORA, cela devient votre problème réglementaire.

S'ils ne peuvent pas respecter vos délais de reporting réglementaire, ils ne sont pas conformes pour vous.

5. Analyser le risque de concentration et les points de défaillance uniques

C'est le point que la plupart des entreprises ignorent ; et là où les régulateurs pousseront le plus.

Questions à poser :

  • Plusieurs services critiques reposent-ils sur le même fournisseur cloud ?
  • Sommes-nous verrouillés sur un seul fournisseur sans alternative viable ?
  • Quel est le coût de migration ?
  • Combien de nos processus critiques dépendent d'AWS/Azure/GCP ?
  • Disposons-nous d'une redondance géographique ?
  • Deux « fournisseurs » sont-ils en réalité le même parce qu'ils partagent la même infrastructure ?

Anecdote : Une banque pensait avoir mis en place une « redondance » en utilisant deux services SaaS. Les deux tournaient sur la même région AWS.

Vous pouvez externaliser des services. Vous ne pouvez pas externaliser la responsabilité.

6. Exiger le contrôle contractuel (DORA le rend obligatoire)

DORA impose des clauses contractuelles obligatoires pour les services ICT jugés critiques.

Votre contrat doit couvrir :

  • les droits d'audit et d'inspection
  • le reporting de performance
  • les obligations de sécurité
  • les plans de sortie et de transition
  • les exigences de résilience
  • la notification des incidents
  • la transparence sur les sous-traitants
  • l'assistance à la résiliation
  • les responsabilités en matière de chiffrement

Anecdote : Un éditeur SaaS a refusé les droits d'audit. Sous DORA, c'est rédhibitoire. Point final.

S'ils n'autorisent pas la supervision, vous ne pouvez pas les utiliser.

7. Évaluer la surveillance continue, pas les évaluations ponctuelles

NIS2 et DORA mettent tous deux l'accent sur une supervision continue, et non sur des listes de contrôle annuelles.

Vous avez besoin :

  • de mises à jour trimestrielles sur l'état de la sécurité
  • de rapports SOC annuels
  • d'une surveillance de disponibilité en temps réel
  • de cycles de mise à jour des questionnaires fournisseurs
  • d'évaluations d'impact réglementaire à chaque changement de leur part
  • d'une réévaluation après tout incident majeur

Si le fournisseur « ne fait pas de revues continues », passez votre chemin.

Anecdote : Un éditeur SaaS ne renouvelait son rapport SOC 2 que tous les 18 à 24 mois. Sous NIS2 et DORA, c'est inacceptable pour des systèmes critiques.

8. Tester leurs plans de sortie et de portabilité (l'exigence la plus négligée)

DORA exige explicitement des tests de stratégie de sortie. NIS2 attend une continuité opérationnelle.

Les fournisseurs cloud doivent prouver :

  • que vous pouvez extraire vos données
  • que vous pouvez migrer sans interruption de service
  • que les formats sont portables
  • que les délais sont raisonnables
  • qu'un accompagnement est disponible durant la sortie

Anecdote : Un fournisseur a déclaré : « Nous proposons l'export des données. » L'export était un blob binaire propriétaire. Portabilité nulle.

Si vous ne pouvez pas les quitter, vous ne pouvez pas les utiliser.

9. Construire un modèle de scoring des fournisseurs cloud aligné sur DORA et NIS2

Le moyen le plus simple de passer à l'échelle est d'utiliser un modèle de scoring.

Catégories recommandées :

  • Sécurité (ISO/SOC)
  • Résilience opérationnelle
  • Maturité de la gestion des incidents
  • Alignement réglementaire
  • Transparence et documentation
  • Dépendance fournisseur (sous-traitants)
  • Solidité contractuelle
  • Risque de concentration
  • Faisabilité de la sortie
  • Capacité de surveillance

Chaque catégorie notée de 1 à 5. Le score pondéré détermine la classification du risque.

10. Cartographier les preuves fournisseurs sur l'ensemble des référentiels

ISO → accès, journalisation, sauvegardes GDPR → sous-traitants, transferts, protection des données NIS2 → résilience, chaîne d'approvisionnement, notification des incidents DORA → gouvernance ICT, tests, supervision

Plutôt que de multiplier les évaluations :utilisez un seul questionnaire mappé sur tous les référentiels.

Une seule évaluation. Plusieurs conformités. Zéro duplication.

Conclusion

L'évaluation des fournisseurs cloud n'est plus une formalité d'achat. Sous DORA et NIS2, elle fait partie intégrante de votre stratégie de résilience opérationnelle.

Les organisations qui s'en sortiront seront celles qui :

  • classifient les fournisseurs par criticité
  • exigent la transparence
  • évaluent la résilience, pas seulement la sécurité
  • imposent des contrats solides
  • surveillent en continu
  • minimisent le risque de dépendance
  • construisent de véritables options de sortie

Le risque cloud est un risque réglementaire. Si vos fournisseurs défaillent, les régulateurs vous demanderont pourquoi vous ne les avez pas évalués correctement.

Utilisez ce moment pour passer des revues fournisseurs à cocher à une vraie gouvernance.

Si vous souhaitez construire un système d'évaluation fournisseurs unifié et prêt pour les régulateurs sous DORA, NIS2, GDPR et ISO 27001, c'est exactement ce que nous enseignons dans le Cyber Academy DORA Lead Manager ou NIS2 Lead Implementer Course Rejoignez la prochaine session et sécurisez l'ensemble de votre chaîne d'approvisionnement numérique.

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.