Les établissements financiers soumis à DORA, NIS 2 ou aux exigences de l’ACPR ne peuvent plus traiter la gestion IT comme un sujet périphérique. La convergence de ces cadres réglementaires transforme l’infogérance en fonction critique, directement liée à la résilience opérationnelle et à la conformité. Nous observons que les structures qui tardent à professionnaliser leur supervision IT s’exposent à des risques de non-conformité bien avant de subir un incident technique.
DORA et NIS 2 : obligations de supervision des prestataires IT dans la finance
Le règlement DORA impose aux entités financières de l’Union européenne un cadre strict de gestion des risques liés aux technologies de l’information et de la communication. Parmi les exigences les plus structurantes, la supervision continue des prestataires tiers de services IT oblige les établissements à documenter, tester et auditer leurs chaînes de sous-traitance informatique.
Lire également : Problème de l’ESD : découvrir les solutions pour le contrer
La directive NIS 2, en cours de transposition en droit français, élargit ce périmètre. Plus de 15 000 entités sont concernées, avec une majorité de PME et ETI, dont de nombreux acteurs financiers et prestataires critiques de la chaîne de valeur. Elle impose gouvernance, gestion des incidents, supervision de la sécurité et reporting formalisé.
Pour un établissement de taille intermédiaire, répondre à ces deux textes avec une équipe IT interne réduite relève du défi. L’infogérance managée devient alors le véhicule opérationnel de la conformité : le prestataire prend en charge la supervision, le reporting d’incidents et les tests de résilience que l’entreprise ne peut pas structurer seule.
A découvrir également : Exploiter vos données sans penser cyber ? Le raccourci vers l'incident majeur
Les acteurs du secteur financier régulé qui externalisent leur gestion IT doivent toutefois s’assurer que leur infogérant est lui-même aligné sur ces obligations, sous peine de transférer le risque sans le réduire.
Cloud souverain et hébergement des données financières : ce que DORA change pour l’infogérance
Les exigences de localisation des données ne sont plus un sujet de préférence. DORA renforce l’obligation de maîtrise des flux de données confiés à des tiers, et les tendances 2026 du cloud en Europe montrent un mouvement marqué vers des clouds souverains et privés, en réaction aux tensions géopolitiques et aux inquiétudes liées aux acteurs extracommunautaires.
Pour un infogérant qui opère dans la finance régulée, cela signifie que ses plateformes et data centers doivent être hébergés en France ou dans l’Union européenne, avec une conformité RGPD native et non ajoutée a posteriori. Ce point est rarement explicité dans les contrats d’infogérance généralistes, qui se contentent souvent d’une clause de localisation sans préciser le régime juridique applicable aux accès distants.
Nous recommandons de vérifier trois éléments avant de signer un contrat d’infogérance dans un contexte régulé :
- La localisation physique des data centers utilisés et le régime juridique des accès (pas uniquement le siège social du prestataire)
- L’existence d’un plan de réversibilité documenté, conforme aux exigences DORA sur la sortie de relation avec un prestataire critique
- La capacité du prestataire à produire des rapports d’audit exploitables par le régulateur (ACPR, AMF) dans les délais imposés
Un hébergement souverain ne garantit rien sans gouvernance contractuelle adaptée. Le choix du cloud souverain doit s’accompagner d’une revue juridique du contrat d’infogérance, pas seulement d’une vérification technique.
Pénurie de compétences cybersécurité : pourquoi l’infogérance devient structurelle
Le déficit de profils qualifiés en cybersécurité et en administration systèmes n’est plus conjoncturel. Les offres d’emploi de type directeur systèmes et réseaux ou responsable sécurité SI restent ouvertes pendant des mois, et les rémunérations demandées dépassent souvent les grilles salariales des PME et ETI financières.
Dans ce contexte, l’infogérance n’est plus un choix d’optimisation budgétaire. C’est une réponse structurelle à une incapacité de recrutement. Un prestataire d’infogérance spécialisé mutualise des compétences rares (analystes SOC, ingénieurs cloud, experts conformité) sur plusieurs clients, ce qui permet à chaque établissement d’accéder à un niveau de service qu’il ne pourrait pas financer seul.
La mutualisation des compétences cyber par l’infogérance réduit le risque RH autant que le risque technique. Un départ non remplacé dans une équipe IT interne de trois personnes peut paralyser la conformité DORA pendant des semaines. Avec un contrat d’infogérance structuré, la continuité de service ne dépend plus d’un seul salarié.
Gestion des incidents et reporting réglementaire : le rôle opérationnel de l’infogérant
DORA impose un cadre de notification des incidents IT majeurs aux autorités de supervision. Les délais sont courts et les informations attendues précises : nature de l’incident, périmètre affecté, mesures de remédiation, impact sur la continuité de service.
Un infogérant qui travaille avec des entreprises du secteur financier doit être capable de produire ces éléments en temps réel, pas de les reconstituer après coup. Cela suppose des outils de supervision adaptés :
- Un SIEM (Security Information and Event Management) configuré pour détecter les incidents qualifiés au sens DORA
- Des procédures de remontée d’alerte intégrées au contrat de service, avec des SLA alignés sur les délais réglementaires
- Une traçabilité complète des actions de remédiation, exploitable lors d’un contrôle de l’ACPR ou de l’AMF
Nous observons que la plupart des contrats d’infogérance standards ne couvrent pas ces obligations. Le reporting réglementaire doit figurer explicitement dans le périmètre contractuel, avec des responsabilités claires entre l’établissement et son prestataire. Sans cette formalisation, l’infogérance crée un angle mort réglementaire au lieu de le combler.
Le choix d’un prestataire d’infogérance dans la finance régulée ne se résume pas à une comparaison de tarifs ou de niveaux de disponibilité. La conformité DORA et NIS 2 transforme cette relation en un partenariat de gestion des risques, où la qualité du reporting et la gouvernance contractuelle pèsent autant que la compétence technique. Les établissements qui intègrent ces critères dès la phase de sélection gagnent du temps sur la mise en conformité et réduisent leur exposition aux sanctions.
