Retour au blog

Le risque de concentration ICT : le détecter avant que le régulateur ne le fasse

Quand plusieurs fonctions critiques dépendent d'un même prestataire, DORA parle de risque de concentration. Comment l'identifier, y compris dans la sous-traitance en cascade.

·Lecture : 6 min·Pour Risques, conformité, RSSI

Le registre d'information n'est pas un simple inventaire de prestataires. Sa finalité, du point de vue du superviseur, est notamment de révéler le risque de concentration : les situations où trop de choses reposent sur trop peu d'acteurs. C'est un angle que l'ACPR examine explicitement à partir des registres remis, et un point que beaucoup d'entités négligent parce qu'il ne saute pas aux yeux quand on regarde ses prestataires un par un.

Qu'est-ce que le risque de concentration ?

DORA demande d'identifier les cas où plusieurs fonctions critiques ou importantes dépendent d'un même prestataire, ou d'un nombre restreint de prestataires. La logique est intuitive : si un seul acteur supporte la valorisation, le reporting réglementaire et l'hébergement de vos données, sa défaillance n'affecte pas une fonction, mais plusieurs simultanément. Le risque n'est pas additif, il est systémique à l'échelle de votre entité.

Cette préoccupation dépasse d'ailleurs le cadre de chaque entité. Les autorités européennes agrègent les registres pour identifier les prestataires tiers critiques (CTPP) — typiquement les grands hyperscalers du cloud — dont la défaillance menacerait le secteur financier tout entier. Votre analyse de concentration individuelle nourrit cette vision macro.

Pourquoi elle échappe à l'analyse classique

Le problème de la concentration, c'est qu'elle est invisible dans une lecture ligne à ligne. Chaque contrat, pris isolément, peut sembler maîtrisé. C'est en croisant les prestataires avec les fonctions qu'ils supportent que le motif apparaît. Or c'est précisément ce croisement que des fichiers séparés ne permettent pas facilement : le contrat est dans un tableur, la cartographie des fonctions dans un autre, et personne ne fait naturellement la jointure.

Les trois formes de concentration à surveiller

  1. La concentration directe. Un même prestataire supporte plusieurs de vos fonctions critiques. Le cas le plus visible — et pourtant souvent non formalisé.

  2. La concentration sectorielle. Vous êtes diversifié en apparence, mais vos différents prestataires reposent tous, en arrière-plan, sur le même hyperscaler. La diversité de surface masque une dépendance de fond.

  3. La concentration par sous-traitance en cascade. C'est la plus insidieuse. Votre prestataire direct sous-traite lui-même à un acteur qui se retrouve, sans que vous le sachiez, au point de convergence de plusieurs de vos chaînes. DORA exige explicitement que l'analyse couvre cette sous-traitance en cascade — ce qui suppose une visibilité au-delà de votre premier rang de fournisseurs.

Ce que le régulateur attend

L'ACPR utilise les registres pour évaluer la cartographie des interdépendances et le risque de concentration. Concrètement, elle attend que vous soyez capable de :

  • Identifier vos points de dépendance uniques (single points of failure au niveau prestataire).
  • Documenter la criticité des fonctions rattachées à chaque prestataire.
  • Étendre l'analyse à la sous-traitance significative.
  • Intégrer cette analyse dans votre cadre de gestion des risques, et non la traiter comme un exercice à part.

Un registre qui liste des prestataires sans permettre cette lecture croisée passe à côté de sa raison d'être.

Comment structurer son analyse

Quelques réflexes pour rendre la concentration visible :

  1. Relier systématiquement prestataire ↔ fonction. Chaque fonction critique doit pointer vers le ou les prestataires qui la soutiennent, et réciproquement.
  2. Cartographier au-delà du premier rang. Recenser les sous-traitants significatifs de vos prestataires directs.
  3. Visualiser plutôt que lister. Une cartographie des dépendances fait apparaître les nœuds de concentration qu'un tableau masque.
  4. Réévaluer régulièrement. La concentration évolue à chaque nouveau contrat ou changement de sous-traitance.

Un enjeu qui déborde la conformité

Détecter sa concentration n'est pas qu'une obligation réglementaire : c'est une information stratégique. Elle éclaire vos décisions d'achat (faut-il diversifier ?), votre gestion de crise (que se passe-t-il si ce nœud tombe ?), et vos négociations (quel est votre niveau de dépendance réel face à ce fournisseur ?). La conformité, ici, coïncide avec une meilleure maîtrise opérationnelle.

Le rôle d'Axenia. Axenia cartographie vos dépendances ICT en reliant chaque prestataire aux fonctions qu'il soutient, met en lumière les concentrations — y compris via la sous-traitance — et transforme votre registre en une véritable carte des risques, lisible d'un coup d'œil plutôt que reconstituée à la main.


Cet article a une vocation pédagogique et ne constitue pas un avis juridique. Référez-vous aux textes officiels et aux orientations de votre autorité compétente.

Voir comment Axenia cartographie vos concentrations. Réserver une démo →