La plupart des organisations pensent qu'évaluer un fournisseur cloud se résume à consulter un rapport SOC 2, jeter un œil à un certificat ISO, et passer à autre chose. Sous DORA et NIS2, ce raccourci devient un risque réglementaire. Le risque cloud est désormais un risque métier ; et les régulateurs attendent de vous que vous le démontriez.
DORA et NIS2 ont changé les règles du jeu. Les régulateurs ne se demandent plus si votre fournisseur cloud a « une bonne sécurité ». Ils veulent savoir si vous êtes en mesure de continuer à opérer lorsque votre fournisseur défaille.
Cela implique :
- des évaluations approfondies
- une transparence contractuelle
- une analyse du risque de concentration
- une surveillance continue
- des stratégies de sortie
- une gouvernance réelle, pas des listes de contrôle
La plupart des organisations n'y sont pas prêtes ; et les auditeurs le savent.
Voici comment évaluer vos fournisseurs cloud correctement sous DORA et NIS2.
1. Commencer par la criticité : tous les services cloud ne se valent pas
L'erreur la plus courante est de traiter tous les services SaaS ou cloud de la même manière.
Sous DORA et NIS2, vous devez classer vos fournisseurs par impact métier :
- critique
- important
- non critique
Les services critiques concernent directement :
- la continuité d'activité
- les opérations orientées clients
- les transactions financières
- les obligations réglementaires
- la sécurité
- l'infrastructure centrale
Anecdote : Un client avait classé son CRM comme « faible risque » parce que « le marketing l'utilise ». Il s'avère que 60 % de son pipeline de revenus en dépendait. Sous DORA, c'est critique.
Les régulateurs attendent une priorisation. Commencez par là.
2. Exiger la transparence sur l'architecture, les dépendances et les sous-traitants
Sous NIS2 et DORA, vous avez besoin de clarté sur :
- la localisation des données
- les sous-traitants
- les dépendances d'infrastructure
- l'architecture de basculement multi-région
- la résidence des données et l'exposition juridictionnelle
Les fournisseurs cloud raffolent des schémas vagues et des discours marketing. Les régulateurs, eux, veulent des éléments précis.
Votre risque, c'est le fournisseur de votre fournisseur.
3. Évaluer la résilience opérationnelle, pas seulement les contrôles de sécurité
ISO 27001 et SOC 2 renseignent sur l'hygiène de sécurité. DORA et NIS2 veulent savoir :vos opérations peuvent-elles survivre à la défaillance d'un fournisseur cloud ?
Demandez :
- les RTO/RPO pour l'ensemble de leur stack
- l'historique réel des incidents
- les résultats des tests de basculement
- les métriques de gestion de capacité
- les délais d'escalade des incidents
- la maturité des niveaux de service
- la fiabilité de la page de statut (l'historique compte)
Anecdote : Un éditeur SaaS affichait « 99,99 % de disponibilité ». Sa page de statut publique recensait huit incidents en 6 mois. Votre évaluation doit refléter la réalité ; pas le marketing.
4. Vérifier comment ils gèrent les incidents majeurs (DORA a des exigences précises)
DORA exige une clarté contractuelle sur :
- la classification des incidents
- les délais de notification
- le partage d'informations
- la remise des analyses de cause racine
- les chemins d'escalade
Si votre fournisseur cloud n'a pas de processus de réponse aux incidents mature, vous en héritez le déficit.
Un exemple concret : Un prestataire livrait ses RCA avec 30 jours de retard ; à chaque fois. Sous DORA, cela devient votre problème réglementaire.
S'ils ne peuvent pas respecter vos délais de reporting réglementaire, ils ne sont pas conformes pour vous.
5. Analyser le risque de concentration et les points de défaillance uniques
C'est le point que la plupart des entreprises ignorent ; et là où les régulateurs pousseront le plus.
Questions à poser :
- Plusieurs services critiques reposent-ils sur le même fournisseur cloud ?
- Sommes-nous verrouillés sur un seul fournisseur sans alternative viable ?
- Quel est le coût de migration ?
- Combien de nos processus critiques dépendent d'AWS/Azure/GCP ?
- Disposons-nous d'une redondance géographique ?
- Deux « fournisseurs » sont-ils en réalité le même parce qu'ils partagent la même infrastructure ?
Anecdote : Une banque pensait avoir mis en place une « redondance » en utilisant deux services SaaS. Les deux tournaient sur la même région AWS.
Vous pouvez externaliser des services. Vous ne pouvez pas externaliser la responsabilité.
6. Exiger le contrôle contractuel (DORA le rend obligatoire)
DORA impose des clauses contractuelles obligatoires pour les services ICT jugés critiques.
Votre contrat doit couvrir :
- les droits d'audit et d'inspection
- le reporting de performance
- les obligations de sécurité
- les plans de sortie et de transition
- les exigences de résilience
- la notification des incidents
- la transparence sur les sous-traitants
- l'assistance à la résiliation
- les responsabilités en matière de chiffrement
Anecdote : Un éditeur SaaS a refusé les droits d'audit. Sous DORA, c'est rédhibitoire. Point final.
S'ils n'autorisent pas la supervision, vous ne pouvez pas les utiliser.
7. Évaluer la surveillance continue, pas les évaluations ponctuelles
NIS2 et DORA mettent tous deux l'accent sur une supervision continue, et non sur des listes de contrôle annuelles.
Vous avez besoin :
- de mises à jour trimestrielles sur l'état de la sécurité
- de rapports SOC annuels
- d'une surveillance de disponibilité en temps réel
- de cycles de mise à jour des questionnaires fournisseurs
- d'évaluations d'impact réglementaire à chaque changement de leur part
- d'une réévaluation après tout incident majeur
Si le fournisseur « ne fait pas de revues continues », passez votre chemin.
Anecdote : Un éditeur SaaS ne renouvelait son rapport SOC 2 que tous les 18 à 24 mois. Sous NIS2 et DORA, c'est inacceptable pour des systèmes critiques.
8. Tester leurs plans de sortie et de portabilité (l'exigence la plus négligée)
DORA exige explicitement des tests de stratégie de sortie. NIS2 attend une continuité opérationnelle.
Les fournisseurs cloud doivent prouver :
- que vous pouvez extraire vos données
- que vous pouvez migrer sans interruption de service
- que les formats sont portables
- que les délais sont raisonnables
- qu'un accompagnement est disponible durant la sortie
Anecdote : Un fournisseur a déclaré : « Nous proposons l'export des données. » L'export était un blob binaire propriétaire. Portabilité nulle.
Si vous ne pouvez pas les quitter, vous ne pouvez pas les utiliser.
9. Construire un modèle de scoring des fournisseurs cloud aligné sur DORA et NIS2
Le moyen le plus simple de passer à l'échelle est d'utiliser un modèle de scoring.
Catégories recommandées :
- Sécurité (ISO/SOC)
- Résilience opérationnelle
- Maturité de la gestion des incidents
- Alignement réglementaire
- Transparence et documentation
- Dépendance fournisseur (sous-traitants)
- Solidité contractuelle
- Risque de concentration
- Faisabilité de la sortie
- Capacité de surveillance
Chaque catégorie notée de 1 à 5. Le score pondéré détermine la classification du risque.
10. Cartographier les preuves fournisseurs sur l'ensemble des référentiels
ISO → accès, journalisation, sauvegardes GDPR → sous-traitants, transferts, protection des données NIS2 → résilience, chaîne d'approvisionnement, notification des incidents DORA → gouvernance ICT, tests, supervision
Plutôt que de multiplier les évaluations :utilisez un seul questionnaire mappé sur tous les référentiels.
Une seule évaluation. Plusieurs conformités. Zéro duplication.
Conclusion
L'évaluation des fournisseurs cloud n'est plus une formalité d'achat. Sous DORA et NIS2, elle fait partie intégrante de votre stratégie de résilience opérationnelle.
Les organisations qui s'en sortiront seront celles qui :
- classifient les fournisseurs par criticité
- exigent la transparence
- évaluent la résilience, pas seulement la sécurité
- imposent des contrats solides
- surveillent en continu
- minimisent le risque de dépendance
- construisent de véritables options de sortie
Le risque cloud est un risque réglementaire. Si vos fournisseurs défaillent, les régulateurs vous demanderont pourquoi vous ne les avez pas évalués correctement.
Utilisez ce moment pour passer des revues fournisseurs à cocher à une vraie gouvernance.
Si vous souhaitez construire un système d'évaluation fournisseurs unifié et prêt pour les régulateurs sous DORA, NIS2, GDPR et ISO 27001, c'est exactement ce que nous enseignons dans le Cyber Academy DORA Lead Manager ou NIS2 Lead Implementer Course Rejoignez la prochaine session et sécurisez l'ensemble de votre chaîne d'approvisionnement numérique.
