DORA, SOC 2 et ISAE 3402 : conformité pour les fournisseurs informatiques suisses

Il s'agit d'une transcription automatique de notre podcast. Vous trouverez le lien vers le podcast tout en bas de la page.

DORA, SOC 2, ISAE 3402 : trois concepts, un seul objectif

Quiconque travaille dans le secteur financier suisse, dans le secteur de la santé ou dans d'autres secteurs réglementés ne peut plus ignorer ces trois concepts.

La DORA (Digital Operational Resilience Act) est un règlement européen qui s’applique depuis janvier 2025. Elle réglemente les prestataires de services TIC en matière de risques liés aux tiers et exige une gestion systématique de l’ensemble de la chaîne d’approvisionnement. Contrairement aux exigences suisses de la FINMA, qui se limitaient jusqu’à présent aux externalisations significatives, la DORA inclut explicitement les sous-traitants et les quatrièmes parties.

SOC 2 (Service Organization Controls 2) évalue la manière dont les entreprises gèrent les risques. La norme suit les Trusted Service Criteria et se concentre sur les risques informatiques, la disponibilité, la confidentialité et l’intégrité des données. SOC 2 est particulièrement pertinent dans les secteurs sensibles qui exigent une gestion des risques dont l’efficacité doit être démontrée.

La norme ISAE 3402 est une norme d'audit internationale destinée aux prestataires qui fournissent des services à des tiers. Le rapport d'audit qui en résulte répond à la question centrale suivante : le système de contrôle interne du prestataire est-il solidement établi et fonctionne-t-il également au quotidien ? Un rapport ISAE 3402 de type II couvre une période d'audit plus longue et démontre que les contrôles ne sont pas seulement définis, mais qu'ils sont également mis en œuvre de manière efficace.

Alors qu'une certification ISO 27001 atteste qu'une entreprise dispose d'un plan, les normes SOC 2 et ISAE 3402 vérifient si ce plan fonctionne réellement. C'est ce contrôle d'efficacité qui fait toute la différence.

Pourquoi le règlement DORA concerne également les prestataires informatiques suisses

De nombreuses entreprises suisses partent du principe que le règlement DORA, en tant que réglementation européenne, ne les concerne pas. C'est une erreur. Dès lors qu'un prestataire informatique fournit des services à des clients soumis au règlement DORA – par exemple des banques ou des compagnies d'assurance opérant dans l'UE –, il fait partie intégrante de la chaîne d'approvisionnement réglementée.

Concrètement, cela signifie que les garanties contractuelles ne suffisent plus à de nombreux clients. Ils exigent un audit indépendant qui prouve de manière standardisée que le fournisseur respecte les exigences. Pour les prestataires informatiques, cela présente un avantage évident : au lieu de répondre individuellement aux demandes de chaque client, un audit uniforme établit une norme qui s’applique de la même manière à tous les clients.

Les chiffres soulignent l’urgence de la situation : selon les rapports de la FINMA, environ 47 % de tous les incidents signalés sont dus à des faiblesses chez des tiers. C’est précisément ce risque que DORA vise à traiter – et c’est exactement pour cette raison que les auditeurs examinent de plus en plus attentivement la manière dont les prestataires informatiques gèrent leur chaîne d’approvisionnement.

Ce que signifie réellement la conformité au quotidien

Pour qu'un audit apporte une valeur ajoutée aux clients, il ne suffit pas de documenter les processus. Ceux-ci doivent être mis en pratique au quotidien et leur mise en œuvre doit pouvoir être prouvée. Cela implique des responsabilités clairement définies, une documentation complète et des contrôles régulièrement effectués et vérifiés.

Les auditeurs ne vérifient pas seulement si les processus existent, mais aussi s’ils fonctionnent de manière stable sur une longue période – à l’aide de journaux, d’échantillons et de preuves. Les entreprises qui abordent la conformité comme un projet ponctuel sous-estiment systématiquement cet effort. En revanche, celles qui considèrent la conformité comme un processus continu abordent un audit de manière nettement plus détendue : il suffit de montrer comment on travaille déjà.

L’aspect culturel est ici déterminant. La conformité commence par la culture d’entreprise. Même dans les secteurs soumis à une réglementation, une culture de la conformité vécue au quotidien ne va pas de soi. Les entreprises qui considèrent la conformité comme un avantage concurrentiel stratégique et non comme une simple obligation se distinguent fondamentalement de celles qui se contentent de cocher des cases sur des listes de contrôle.

La conformité n'est pas un projet ponctuel : c'est un processus continu qui commence par la culture d'entreprise. Ceux qui intègrent la conformité dans leur quotidien, plutôt que de se contenter de la cocher sur une liste, instaurent la confiance, réduisent les risques et gagnent du temps pour se consacrer à l'essentiel.

Mettre en place soi-même ou faire appel à un prestataire certifié ?

Les entreprises qui souhaitent mettre en place elles-mêmes leur système de conformité sous-estiment souvent l'ampleur de la tâche. Cela nécessite non seulement des technologies, mais aussi un savoir-faire interne en matière de sécurité informatique, de gestion des risques et de conformité, des processus et des contrôles clairement définis, ainsi que, bien souvent, des conseils externes. Il faut compter plusieurs mois, voire plusieurs années, avant qu'une entreprise soit prête à être auditée. Selon la complexité, les coûts peuvent atteindre plusieurs centaines de milliers, voire plusieurs millions d’euros.

En travaillant avec un prestataire informatique certifié, bon nombre de ces éléments sont fournis sous forme de services intégrés. Cela permet non seulement de gagner du temps lors de la mise en place, mais aussi d’alléger considérablement le processus d’audit interne : des rapports d’audit standardisés selon les normes ISAE 3402 ou SOC 2 garantissent au client que les services externalisés ont été contrôlés de manière indépendante. Dans la pratique, cela se traduit par une réduction de 30 à 50 % de la charge de travail liée aux audits internes.

Il est important de noter que le client ne délègue pas pour autant sa responsabilité. Il reste responsable de sa conformité globale et doit comprendre comment les services externalisés s’intègrent dans son système. Mais il n’a pas à construire lui-même les fondations ; il peut s’appuyer sur une base déjà vérifiée et éprouvée.

Les principaux écueils lors de la mise en œuvre

Les défis commencent dès la compréhension. Le paysage réglementaire est complexe : directives de la FINMA, DORA, NIS 2, Cyber Resilience Act, loi sur la protection des données – les réglementations applicables dépendent du secteur d’activité, de la taille et du marché concerné. Le principe de proportionnalité signifie qu’une micro-banque de cinq employés et une grande banque doivent en principe satisfaire aux mêmes exigences – mais à des degrés divers.

Pour les entreprises ayant des liens avec l’UE, la situation se complique encore davantage, car les réglementations locales et suprarégionales doivent s’articuler entre elles. La question de savoir quels rapports d’audit couvrent quelles exigences et comment ils se complètent mutuellement s’apparente à un casse-tête.

Au niveau opérationnel, les ressources internes font souvent défaut pour mettre en place et maintenir des processus de conformité. Les entreprises nouvellement soumises à la réglementation – par exemple les gestionnaires de fortune suite à la nouvelle réglementation de la FINMA – sont particulièrement confrontées au défi de devoir créer soudainement des structures de conformité pour lesquelles elles ne disposent ni de l’expérience ni des capacités en interne.

Conformité et innovation : pas une contradiction

Pour les fournisseurs informatiques, l'innovation est essentielle, qu'il s'agisse d'IA, de nouveaux logiciels ou de technologies cloud. La conformité ne doit pas freiner l'innovation, mais elle doit définir le cadre dans lequel celle-ci peut s'exercer de manière responsable. Cela nécessite une conformité qui évolue délibérément dans une zone grise positive : prendre des risques pouvant être couverts de manière adéquate, sans franchir de lignes rouges.

Dans ce contexte, la surréglementation représente un danger plus grand qu’une prise de risque raisonnable. Une bureaucratie interne de conformité surchargée freine une entreprise plus rapidement qu’un risque contrôlé. La clé réside dans la gestion des risques : prendre des risques en toute connaissance de cause, les documenter de manière transparente et autoriser une certaine tolérance – tant que les contrôles essentiels fonctionnent.

Ce qui attend les entreprises : gouvernance de l'IA et Cyber Resilience Act

Au cours des deux ou trois prochaines années, deux thèmes en particulier marqueront le paysage de la conformité.

La gouvernance de l'IA devient de plus en plus importante pour les entreprises qui travaillent avec l'IA. Au sein de l'UE, l'IA fait l'objet d'une réglementation restrictive. La Suisse adopte délibérément une approche différente : plutôt que d'imposer une réglementation trop restrictive, elle entend encourager l'innovation et tirer parti de son avantage concurrentiel. Les entreprises devraient néanmoins mettre en place dès que possible un cadre de gouvernance de l’IA, car les exigences en matière de protection et de traitement des données augmentent considérablement avec l’adoption de l’IA.

À partir de 2027, la loi sur la cyber-résilience concernera toutes les entreprises qui fabriquent ou importent des produits pouvant se connecter à un réseau ou à Internet. Pour les entreprises suisses ayant des activités commerciales dans l’UE, cela entraînera un changement considérable.

Plus généralement, le concept de résilience opérationnelle gagne en importance : il s'agit de la capacité à se remettre rapidement d'incidents imprévus et à maintenir l'activité. Il ne s'agit pas d'une mesure ponctuelle, mais d'une capacité que chaque entreprise doit développer et entretenir en permanence.

Trois facteurs qui font de la conformité un avantage concurrentiel

Pour les prestataires informatiques qui appliquent la conformité de manière rigoureuse, cela se traduit par trois avantages concrets.

Premièrement, l'accès au marché : plus un prestataire peut justifier de certifications et d'audits, plus il lui est facile d'accéder à des clients importants et soumis à une réglementation. Dans les appels d'offres, une conformité vérifiable est aujourd'hui de plus en plus un critère incontournable.

Deuxièmement, l’efficacité : des processus uniformes et audités pour les domaines d’activité essentiels rationalisent les opérations. Au lieu de répondre individuellement à chaque demande de conformité, il existe une norme qui s’applique à tous.

Troisièmement, l’allègement de la charge pour les clients : les clients dont le fournisseur informatique a déjà fait l’objet d’un audit réalisent des économies significatives sur leurs propres audits. Cela facilite la collaboration et renforce la fidélisation des clients.

Écouter le podcast dans son intégralité (en allemand) :UMB IT Expert Talk – Compliance im Fokus: DORA, SOC 2 & ISAE 3402

En savoir plus:Sécurité et protection des données chez UMB | UMB Cybersécurité | Services de sécurité