Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Exigences de l’article 28 du DORA : Pourquoi les banques britanniques doivent-elles disposer de stratégies de sortie documentées pour les services TIC de tiers

Exigences de l’article 28 du DORA : Pourquoi les banques britanniques doivent-elles disposer de stratégies de sortie documentées pour les services TIC de tiers

par Danielle Barbour updated mai 24, 2026 Risque externe
temps de lecture: 7 minutes

Les institutions financières au Royaume-Uni subissent une pression croissante pour prouver un contrôle total sur leurs relations TIC avec les tiers. L’article 28 de DORA impose des exigences précises concernant la documentation de stratégies de sortie, permettant aux banques de mettre fin à des relations avec des fournisseurs critiques sans compromettre la continuité opérationnelle ni la conformité réglementaire.

Le défi va bien au-delà des simples clauses de résiliation contractuelle. Les banques doivent prouver leur capacité à réaliser une migration complète des données, à maintenir la continuité des services et à conserver la documentation réglementaire lors des transitions entre fournisseurs. Cette complexité opérationnelle exige une planification architecturale que de nombreuses institutions n’ont pas encore mise en œuvre efficacement.

Cette analyse explique comment les banques britanniques peuvent élaborer des stratégies de sortie solides, conformes à l’article 28 de DORA, tout en conservant l’agilité nécessaire à des relations compétitives avec les tiers.

Applicabilité de DORA aux banques britanniques après le Brexit

DORA est un règlement de l’UE qui ne s’applique pas directement à toutes les banques britanniques par défaut. Cependant, sa portée dans le secteur financier britannique est plus large qu’il n’y paraît, et chaque institution doit évaluer précisément son exposition.

Les banques britanniques disposant de succursales, filiales ou entités réglementées dans les États membres de l’UE sont directement soumises à DORA et doivent respecter l’ensemble de ses exigences, y compris les dispositions de l’article 28 sur les stratégies de sortie. De même, les entreprises britanniques qui fournissent des services TIC à des institutions financières de l’UE en tant que prestataires tiers peuvent entrer dans le champ d’application de DORA si ces services sont considérés comme critiques ou importants selon les critères de classification des risques du règlement.

Pour les institutions opérant uniquement au Royaume-Uni, sans activités dans l’UE ni relations de services TIC orientées vers l’UE, l’obligation légale directe ne s’applique pas. Toutefois, la FCA et la PRA affichent une volonté claire d’alignement sur les principes de DORA à travers leurs propres cadres de résilience opérationnelle, tels que SS2/21 et PS6/21, qui imposent des attentes comparables en matière de gestion des risques liés aux tiers, de planification de sortie et de continuité de service. Les banques britanniques doivent donc considérer les standards de l’article 28 de DORA comme représentatifs de l’évolution des attentes réglementaires nationales, qu’elles soient ou non formellement concernées.

Résumé exécutif

L’article 28 de DORA impose aux institutions financières de disposer de stratégies de sortie pour tous les services TIC critiques fournis par des tiers, incluant des plans détaillés de portabilité des données, des mesures de continuité de service et la préservation de la conformité réglementaire. Les banques britanniques doivent prouver leur capacité à gérer les transitions entre fournisseurs sans interruption opérationnelle ni faille de conformité, ce qui nécessite une approche architecturale intégrant la préparation à la sortie dès l’établissement de la relation avec le tiers, et non comme une simple clause contractuelle.

Résumé des points clés

  1. Exigences de l’article 28 de DORA. Nécessite des stratégies de sortie pour les services TIC critiques fournis par des tiers, incluant portabilité des données, continuité de service et préservation de la conformité réglementaire.
  2. Exposition des banques britanniques. S’applique directement aux institutions ayant des activités dans l’UE ou fournissant des services TIC à des entreprises de l’UE ; les autres doivent s’aligner sur les attentes équivalentes de la FCA et de la PRA en matière de résilience opérationnelle.
  3. Éléments essentiels d’une stratégie de sortie. Nécessitent la classification des données, des formats de migration standardisés, l’identification de fournisseurs alternatifs et la préservation continue des pistes d’audit lors des transitions.
  4. Préparation architecturale proactive. La planification de la sortie doit être intégrée à la gouvernance des tiers dès le début, afin de garantir sécurité, conformité et continuité opérationnelle sous surveillance réglementaire.

Composants essentiels des stratégies de sortie conformes à DORA

Les banques doivent concevoir des stratégies de sortie couvrant simultanément plusieurs dimensions opérationnelles. Les exigences de l’article 28 de DORA dépassent la simple gestion contractuelle pour inclure la souveraineté des données, la continuité des services et la préservation de la documentation réglementaire lors des transitions entre fournisseurs.

Des stratégies de sortie efficaces commencent par une classification des données qui identifie tous les flux d’informations entre la banque et les prestataires tiers. Cette cartographie doit inclure non seulement les principaux référentiels de données, mais aussi les métadonnées, les pistes d’audit et la documentation de conformité que les autorités réglementaires exigent de garder accessibles pendant et après les transitions.

La planification de la continuité de service impose aux banques d’identifier des mécanismes alternatifs de prestation pour chaque fonction critique assurée par des tiers. Cette analyse doit prendre en compte la compatibilité technique, les délais d’approbation réglementaire et les contraintes de capacité opérationnelle susceptibles de retarder la transition.

Portabilité des données et planification de la migration

La portabilité des données constitue l’un des aspects techniques les plus complexes des stratégies de sortie conformes à DORA. Les banques doivent garantir leur capacité à extraire, valider et migrer toutes les données pertinentes sans compromettre leur intégrité ni leur traçabilité réglementaire.

Une planification efficace de la migration des données exige des formats d’exportation standardisés qui assurent la continuité des pistes d’audit et la précision du mapping réglementaire. Les banques doivent mettre en place des mécanismes pour vérifier l’exhaustivité des données lors de l’extraction, tout en veillant à la protection des informations sensibles pendant la migration.

Les délais de migration doivent tenir compte des exigences d’approbation réglementaire, des procédures de validation technique et des tests opérationnels démontrant la capacité à fournir un service équivalent. Beaucoup de banques sous-estiment la coordination nécessaire entre les équipes internes, les fournisseurs sortants et les nouveaux prestataires lors de ces transitions.

Continuité de service et solutions alternatives

La planification de la continuité de service impose d’identifier des alternatives viables pour chaque fonction critique avant d’établir une relation avec un tiers. Cette démarche proactive permet d’accélérer l’exécution des transitions tout en réduisant le risque opérationnel lors des changements de fournisseur.

L’analyse des solutions alternatives doit évaluer la compatibilité technique, le statut de conformité réglementaire et la capacité opérationnelle des prestataires potentiels. Les banques doivent maintenir une évaluation à jour des alternatives du marché, y compris les coûts et les délais de mise en œuvre, afin de garantir une transition rapide si nécessaire.

Les tests de continuité valident la capacité des fournisseurs alternatifs à assurer un niveau de service équivalent sans compromettre la conformité réglementaire ni l’efficacité opérationnelle. Ces tests doivent être réalisés régulièrement pour garantir la viabilité des options de remplacement au fur et à mesure de l’évolution des besoins de la banque et des capacités des prestataires.

Préservation de la documentation réglementaire et des pistes d’audit

La conformité DORA impose aux banques de conserver l’intégralité des pistes d’audit et de la documentation réglementaire lors des transitions entre tiers. Cette préservation va au-delà de la simple conservation des données pour inclure les mappings de conformité, les analyses de risques et les rapports de suivi opérationnel prouvant le respect continu des exigences réglementaires.

Les stratégies de préservation documentaire doivent garantir que les pistes d’audit restent accessibles et juridiquement défendables pendant les transitions entre fournisseurs. Les banques doivent disposer de mécanismes pour extraire les preuves de conformité tout en maintenant leur valeur probante lors des contrôles réglementaires et des processus internes de gestion des risques.

La continuité du mapping réglementaire exige que les banques prouvent que les prestataires de remplacement maintiennent un niveau de conformité équivalent, sans faille dans le suivi ni le reporting. Cette continuité doit être démontrée par des tests et des procédures de validation que les autorités de régulation peuvent examiner et vérifier.

Alignement sur les cadres de conformité

Les stratégies de sortie doivent démontrer comment les transitions entre fournisseurs restent alignées sur les cadres réglementaires applicables tout au long du processus de changement. Cet alignement nécessite un mapping détaillé entre les capacités des prestataires et les obligations de conformité spécifiques que la banque doit satisfaire.

Les procédures de validation de la conformité doivent vérifier que les prestataires de remplacement assurent un reporting réglementaire, un suivi des risques et une génération de pistes d’audit équivalents. Les banques doivent prouver cette équivalence par des tests et une documentation que les autorités de régulation peuvent examiner pendant la période de transition.

L’alignement sur les cadres inclut les exigences en matière de protection des données, les standards de résilience opérationnelle et les attentes en gestion des risques, tous suivis en continu par les autorités réglementaires. Les stratégies de sortie doivent préciser comment ces obligations restent respectées lors des transitions entre fournisseurs.

Gestion du risque opérationnel lors des transitions entre fournisseurs

Les transitions entre fournisseurs engendrent des risques opérationnels que les banques doivent identifier, évaluer et atténuer grâce à une planification et une exécution structurées. L’article 28 de DORA insiste sur l’importance de maintenir la résilience opérationnelle lors des changements de relations avec les tiers.

Les processus d’identification des risques doivent recenser les difficultés d’intégration technique, la complexité de la migration des données et les éventuelles ruptures de continuité de service susceptibles de nuire à l’efficacité opérationnelle lors des transitions. Les banques doivent établir des registres de risques couvrant à la fois les difficultés anticipées et les scénarios de repli nécessitant des approches alternatives.

Les stratégies d’atténuation exigent une coordination entre les équipes internes, les fournisseurs sortants et les nouveaux prestataires afin d’assurer un transfert de connaissances et une reprise de service sans heurt. Cette coordination doit préserver les contrôles de sécurité et la conformité réglementaire tout au long de la transition.

Communication avec les parties prenantes et gestion du changement

Des transitions efficaces entre fournisseurs exigent des stratégies de communication qui informent toutes les parties prenantes de l’avancement, des difficultés et des ajustements de calendrier tout au long du processus. Cette communication doit concilier transparence et respect de la confidentialité pour protéger les informations commerciales et opérationnelles sensibles.

Les processus de gestion du changement doivent garantir que les équipes internes comprennent leurs rôles et responsabilités lors des transitions, tout en maintenant leur concentration sur les activités courantes. Les banques doivent définir des procédures d’escalade claires pour les problèmes susceptibles de compromettre la réussite de la transition ou la conformité réglementaire.

La gestion des parties prenantes externes inclut la coordination avec les autorités de régulation, les partenaires commerciaux et les clients susceptibles d’être affectés par les changements de service lors des transitions. Les banques doivent élaborer des modèles de communication et des processus d’approbation pour garantir la cohérence des messages tout en respectant les obligations de transparence.

Conclusion

L’article 28 de DORA marque un tournant dans la gestion des relations TIC avec les tiers par les institutions financières : il s’agit de passer d’une gestion contractuelle réactive à une préparation à la sortie intégrée dès l’architecture. Pour les banques britanniques concernées, que ce soit via des activités dans l’UE, la fourniture de services TIC à des entreprises européennes ou l’alignement sur les cadres FCA et PRA, les exigences opérationnelles et de conformité sont considérables.

Respecter ces exigences suppose bien plus qu’une mise à jour des contrats fournisseurs. Les banques doivent prouver qu’elles peuvent maintenir la portabilité des données, la continuité de service, la préservation des pistes d’audit et l’intégrité de la documentation réglementaire tout au long des transitions, même sous contrôle. Les institutions qui considèrent la planification de sortie comme un exercice post-engagement s’exposent à des risques opérationnels et réglementaires importants.

Élaborer des stratégies de sortie solides impose d’intégrer la préparation à la sortie dans la gouvernance des tiers dès le départ, en s’appuyant sur des architectures techniques qui garantissent sécurité et conformité, quel que soit le fournisseur sous-jacent. Les institutions qui anticipent dès maintenant seront mieux armées face à la pression réglementaire et bénéficieront d’une agilité commerciale accrue grâce à une gestion efficace des risques liés aux tiers.

Sécuriser les données sensibles lors des transitions entre fournisseurs

La planification de sortie traditionnelle se concentre souvent sur les aspects contractuels et opérationnels, négligeant l’importance cruciale de la sécurité des données et de la conformité réglementaire lors des transitions entre fournisseurs. Les banques ont besoin d’approches architecturales intégrant les contrôles de sécurité et la préservation des pistes d’audit à chaque étape de la gestion des risques liés aux tiers.

Le Réseau de données privé Kiteworks permet aux banques de garder le contrôle sur leurs données sensibles lors des transitions entre fournisseurs grâce à une architecture zéro trust qui sécurise l’information, quel que soit le prestataire sous-jacent. Cette approche garantit l’exécution des stratégies de sortie sans compromettre la confidentialité des données ni les exigences documentaires réglementaires.

Kiteworks fournit des pistes d’audit inviolables qui préservent la preuve de conformité réglementaire lors des changements de fournisseurs, permettant aux banques de démontrer leur conformité continue aux exigences de DORA pendant les périodes de transition. Les contrôles contextuels de la plateforme assurent la protection des données sensibles tout en facilitant la portabilité et la migration exigées par des stratégies de sortie efficaces. La plateforme est validée selon la norme FIPS 140-3, utilise TLS 1.3 pour les données en transit et est prête pour FedRAMP High — permettant ainsi aux banques de répondre aux exigences techniques de sécurité les plus strictes imposées par DORA et la réglementation du secteur financier.

L’intégration avec les workflows SIEM, SOAR et ITSM existants permet aux banques de conserver une visibilité opérationnelle et une capacité de gestion des risques lors des transitions entre fournisseurs. Cette intégration garantit la continuité du monitoring de sécurité et du reporting de conformité, tout en fournissant la documentation et la traçabilité attendues par les autorités de régulation lors des changements de relations avec les tiers.

Pour découvrir comment Kiteworks peut aider votre institution à bâtir des cadres de transition conformes à DORA, tout en maintenant sécurité, conformité et continuité opérationnelle lors des changements critiques de relations avec les tiers, réservez une démo personnalisée.

Foire aux questions

L’article 28 de DORA impose aux institutions financières de disposer de stratégies de sortie pour tous les services TIC critiques fournis par des tiers, incluant des plans détaillés de portabilité des données, des mesures de continuité de service et la préservation de la conformité réglementaire.

DORA s’applique directement aux banques britanniques disposant de succursales ou filiales dans l’UE, ou fournissant des services TIC critiques à des institutions de l’UE. Pour les entreprises opérant uniquement au Royaume-Uni, les cadres FCA et PRA s’alignent sur les principes de DORA via des règles de résilience opérationnelle telles que SS2/21 et PS6/21.

Des stratégies efficaces nécessitent une classification des données, l’identification de prestataires alternatifs, des formats de migration standardisés préservant les pistes d’audit, ainsi que des tests réguliers pour garantir l’intégrité de la documentation réglementaire et la continuité de service.

Les banques doivent conserver l’intégralité des pistes d’audit, des mappings de conformité et des analyses de risques lors des transitions, afin que ces documents restent accessibles et juridiquement défendables, tout en prouvant le respect continu des exigences réglementaires auprès des autorités.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks