Le risque ne disparaît pas : il change d'adresse
07 avril 2026La gestion des risques dans les institutions financières n'a jamais été aussi sophistiquée. Les dispositifs sont documentés, les modèles calibrés, les contrôles internes tracés et audités. À la lecture des indicateurs internes, l'organisation semble maîtrisée.
Pourtant, le risque n'a pas disparu. Il a migré. L'écosystème de tiers qui sous-tend désormais les fonctions critiques, de l'infrastructure cloud aux traitements externalisés, des intégrations fintech aux chaînes de sous-traitance multi-niveaux, est devenu le principal foyer d'exposition. L'institution moderne n'est plus une entité autonome et contenue. C'est un système distribué. Et les systèmes distribués portent un risque distribué.
💡 Points clés
- Le risque n'a pas disparu des institutions financières. Il a migré vers l'écosystème de tiers qui sous-tend désormais les fonctions critiques.
- Le risque de concentration DORA est systématiquement sous-estimé : les stratégies de sortie sont souvent théoriques et les exercices de résilience incluent rarement les prestataires de manière substantielle.
- Sous DORA, la gestion des risques tiers est une obligation de gouvernance de première ligne : les institutions restent pleinement responsables des fonctions externalisées, quel que soit l'exécutant.
- Les dispositifs de supervision fragmentés, TPRM, KYC, RGPD, CSRD, capturent chacun une vue partielle du même tiers sans produire de vision consolidée.
- Un TPRM efficace n'est plus un exercice de documentation. Il exige une capacité stratégique à connaître les tiers, cartographier les dépendances réelles et gouverner le risque de concentration en continu.
Le déplacement structurel du risque
Pendant des décennies, la gouvernance des risques a reposé sur une hypothèse implicite : le risque est contenu dans l'organisation. Maîtriser le périmètre, contrôler les processus, et le risque est sous contrôle.
Cette hypothèse ne tient plus. Une part croissante des fonctions critiques, systèmes d'information, traitements opérationnels, gestion des données, services cloud, voire certaines activités réglementées, dépend désormais de prestataires externes. Ce déplacement n'est pas marginal. Il est structurel : le fonctionnement quotidien des institutions est devenu indissociable de prestataires qu'elles ne gouvernent pas pleinement.
Les constats des superviseurs confirment cet écart. Beaucoup d'entités peinent encore à disposer d'une vision exhaustive de leurs prestations externalisées, de leur criticité réelle et de leurs dépendances effectives. Elles pilotent leur risque interne avec précision tout en restant largement aveugles au risque qu'elles ont transféré à l'extérieur.
Une dépendance devenue invisible
Le problème de fond n'est pas l'externalisation en soi. C'est l'accumulation de dépendances, chacune individuellement rationnelle, collectivement opaque.
Considérons les strates : dépendance technologique vis-à-vis des plateformes cloud et des API ; dépendance opérationnelle sur des processus délégués ; dépendance réglementaire pour le reporting ou les calculs externalisés ; et dépendance en chaîne, lorsque les sous-traitants s'appuient eux-mêmes sur d'autres prestataires que l'institution n'a jamais évalués. Aucune décision prise isolément ne crée la vulnérabilité. C'est l'architecture qui la crée.
Les constats des autorités de supervision reviennent régulièrement sur les mêmes points : le risque de concentration est sous-estimé, les stratégies de sortie sont théoriques plutôt que testées, et les exercices de résilience n'intègrent que rarement les tiers de manière substantielle. Une institution peut être pleinement convaincue de maîtriser son exposition au risque tout en étant dépendante, de façon critique, d'un prestataire unique qu'elle ne pourrait pas remplacer.
Le risque, dans cet environnement, n'est plus un événement. C'est une condition structurelle.
DORA et gestion des risques tiers : reconnaissance réglementaire du risque étendu
DORA ne crée pas le risque lié aux tiers. Il formalise la reconnaissance réglementaire que le risque TIC ne peut pas être contenu dans le seul périmètre de l'institution.
Le postulat central du règlement est lourd de conséquences : les fonctions critiques portées par des prestataires externes, les chaînes de dépendance et les infrastructures partagées relèvent intégralement des obligations de gouvernance des risques de l'institution. Externaliser une activité ne transfère pas le risque associé. L'institution reste responsable, quel que soit l'exécutant.
Pour de nombreuses institutions, c'est un changement de fond. La gestion des risques tiers sous DORA ne peut plus être soldée au niveau contractuel. Elle exige une gouvernance active et continue des relations avec les tiers, incluant des registres de dépendances, des tests de résilience englobant les prestataires externes, et la capacité démontrée à gérer le risque de concentration et de substitution. La clause contractuelle est nécessaire, mais insuffisante.
Au sens de DORA, le risque de concentration désigne spécifiquement l'exposition créée lorsque des fonctions TIC critiques dépendent d'un prestataire unique ou d'un nombre limité de prestataires, sans stratégie de substitution crédible. Les superviseurs attendent des institutions qu'elles identifient, mesurent et gouvernent activement cette exposition, et non qu'elles se contentent de la déclarer acceptable dans un registre des risques.
Une vision fragmentée de la personne morale
Malgré cette pression réglementaire, la plupart des institutions continuent d'observer leurs tiers à travers des prismes fragmentés. Le TPRM régit les relations fournisseurs. Le KYC couvre les contreparties et les clients. Le RGPD impose des obligations aux sous-traitants de données. Sapin II en France traite le risque de corruption dans les relations commerciales. La CSRD étend le regard aux chaînes de valeur.
Chaque dispositif capture une vue partielle de la même entité sous-jacente, avec ses propres sources de données, ses propres critères de risque et ses propres processus de gouvernance. Aucun ne communique avec les autres. Il en résulte qu'un même tiers, un prestataire cloud qui est aussi sous-traitant de données, entité réglementée, et risque de concentration, est évalué cinq fois sans jamais être compris dans sa globalité.
Cette fragmentation n'est pas une simple inefficacité. Elle crée un angle mort structurel. La question "que représente réellement cette entité pour notre institution ?" n'a ni propriétaire ni réponse.
Vers une nouvelle discipline : la connaissance étendue des tiers
Dans ce contexte, la gestion des risques tiers sous DORA ne peut plus fonctionner comme un exercice de documentation. La question de conformité, "le questionnaire est-il rempli, le contrat contient-il les bonnes clauses ?", est nécessaire mais insuffisante. Ce dont les institutions ont réellement besoin, c'est d'une capacité fondamentalement différente : la capacité à connaître leurs tiers, et pas seulement à les administrer.
Cela signifie comprendre les dépendances réelles plutôt que déclarées. Cela signifie être en mesure de retracer la manière dont une défaillance opérationnelle chez un prestataire critique se propage dans l'institution. Cela signifie disposer d'une réponse crédible et testée à la question de la substitution, et non d'un simple droit contractuel de sortie. Cela signifie une surveillance continue et explicable, plutôt que des évaluations ponctuelles.
Ce passage, de la gestion des fournisseurs à une connaissance réelle des tiers, ne suppose pas de jeter les dispositifs existants. Il suppose de les connecter. Les vues fragmentées décrites dans la section précédente, TPRM, KYC, RGPD, CSRD, doivent être organisées autour d'une compréhension partagée de la personne morale. C'est cette vision consolidée qui fait aujourd'hui défaut, et que la prochaine génération de gouvernance des risques devra fournir.
Conclusion : le vrai sujet n'est pas le risque, c'est la visibilité
Le défi central n'est pas que les institutions font face à plus de risques qu'auparavant. C'est qu'elles font face à des risques qu'elles ne voient pas. Plus dépendantes que jamais de prestataires externes, mais dotées de dispositifs conçus pour le contrôle interne, beaucoup d'institutions gouvernent un périmètre qui ne reflète plus l'endroit où se situe réellement leur exposition.
La visibilité est la condition préalable au contrôle. Une institution qui ne peut pas reconstruire une image consolidée de son écosystème de tiers, ses dépendances, ses concentrations, ses chemins de propagation, ne peut pas prétendre crédiblement gouverner son risque.
Le TPRM est le mécanisme par lequel cette visibilité se construit. Non pas comme une fonction de conformité, mais comme une capacité stratégique. La question n'est plus de savoir s'il faut y investir, mais si l'approche en place est réellement à la hauteur.
Questions fréquentes sur la gestion des risques tiers sous DORA
Que requiert DORA en matière de gestion des risques tiers ?
DORA impose aux institutions financières une gouvernance active de l'ensemble de leurs relations avec des tiers TIC, et non une simple documentation. Cela inclut la tenue d'un registre exhaustif des dépendances TIC, l'intégration des prestataires dans les tests de résilience, la gestion du risque de concentration et de substitution, et la capacité à démontrer que les arrangements d'externalisation ne compromettent pas le respect des obligations réglementaires.
En quoi DORA modifie-t-il l'approche de la gestion des risques tiers ?
DORA fait passer la gestion des risques tiers d'un exercice de conformité contractuelle à une obligation de gouvernance active. Les institutions ne peuvent plus s'acquitter de leurs responsabilités en insérant les bonnes clauses dans leurs contrats. Elles doivent démontrer une visibilité continue sur leurs dépendances, des stratégies de sortie testées, et la capacité à maintenir les fonctions critiques en cas de défaillance d'un prestataire.
Pourquoi les institutions financières peinent-elles à satisfaire aux exigences DORA en matière de risques tiers ?
La plupart des institutions gouvernent leurs tiers à travers des dispositifs fragmentés, TPRM pour les fournisseurs, KYC pour les contreparties, RGPD pour les sous-traitants de données, chacun avec ses propres données et processus. Cela crée des angles morts : la même entité est évaluée plusieurs fois sans jamais être comprise dans sa globalité. DORA exige une vision consolidée que la plupart des structures de gouvernance existantes ne sont pas conçues pour produire.
Quel est le rôle du risque de concentration dans la gestion des risques tiers sous DORA ?
Le risque de concentration est l'une des dimensions les plus systématiquement sous-estimées de la conformité DORA. Il survient lorsque des fonctions TIC critiques dépendent d'un prestataire unique ou d'un petit nombre de prestataires, sans alternative de substitution viable. DORA impose aux institutions d'identifier, de surveiller et de gérer activement cette exposition, et non de se contenter de l'inscrire dans un registre des risques.
Comment les institutions financières doivent-elles construire un programme de gestion des risques tiers conforme à DORA ?
Un programme efficace commence par une cartographie complète et précise des dépendances TIC, y compris les chaînes de sous-traitance. Il suppose d'intégrer les prestataires tiers dans les processus de gouvernance, de tester les stratégies de sortie, et de passer d'évaluations périodiques à une surveillance continue. L'objectif est une connaissance réelle des tiers, et non une simple conformité administrative aux exigences de documentation.
Harmoney's compliance platform helps financial institutions build consolidated visibility over their third-party ecosystem, map ICT dependencies, and govern concentration risk continuously. Get in touch to learn how we can support your DORA compliance programme, or stay up to date via our newsletter ⬇️.