Le piège classique
L'article 1 de la circulaire CSSF 25/882 fixe le champ d'application et les principes generaux : il determine qui est soumis aux exigences DORA en matière de services TIC tiers, et a quelles conditions une entité peut recourir a un prestataire. Le piège classique est de croire que cette circulaire ne concerne que les grands établissements de crédit. En réalité, elle s'applique a un large eventail d'entités financieres supervisees par la CSSF (PSF, établissements de paiement, gestionnaires de fonds, fintechs régulées). La CSSF sanctionne en pratique les entités qui n'ont pas correctement delimite leur périmètre, ou qui externalisent des fonctions critiques ou importantes sans avoir applique les principes de gouvernance attendus.
Le test de delimitation du périmètre : ce que la CSSF verifie en premier
Avant même de regarder vos contrats, la CSSF contrôle votre capacite a qualifier correctement chaque service TIC tiers. Les points sensibles :
- Identifier si l'entité entre dans le champ DORA et donc dans celui de la circulaire 25/882 (un PSF de support n'est pas traite comme une banque universelle).
- Distinguer un simple recours a un tiers pour des opérations TIC d'une externalisation de fonction critique ou importante au sens des articles 28 et suivants de DORA.
- Maintenir un registre des accords contractuels exhaustif et à jour, condition préalable de toute supervision.
- Garantir la sauvegarde des positionnements comptables et la continuite des données, même en cas de defaillance du prestataire.
- Documenter la chaîne complète des sous-traitants TIC, y compris les sous-sous-traitants situes hors UE.
L'erreur récurrente : une qualification trop etroite du périmètre, qui exclut a tort des services pourtant critiques, et qui s'effondre des le premier contrôle sur place.
Comment Luxgap automatise ce risque
Notre Luxgap DORA Scope Mapper rend impossible l'angle mort de périmètre : il etablit automatiquement la cartographie complète de vos services TIC tiers et qualifié chaque relation au regard des articles 28 et suivants de DORA et de la circulaire CSSF 25/882. L'outil croise vos contrats Odoo, vos flux comptables Sage BOB 50, votre annuaire Active Directory, vos depenses cloud (AWS, Azure, eBRC, LuxConnect) et Microsoft Defender pour reconstituer la chaîne d'externalisation reelle, sans demander a votre responsable conformité de remplir un seul tableur.
- Detecte automatiquement chaque prestataire TIC des qu'un contrat, un paiement ou un accès apparait dans vos systèmes connectes.
- Classifie chaque service en fonction critique ou importante selon la grille DORA et signale les qualifications sous-evaluees avant un contrôle CSSF.
- Determine si votre entité entre dans le champ d'application de la circulaire 25/882 et genere la note de périmètre justificative.
- Surveille en continu la sauvegarde des positionnements comptables et alerte en cas de rupture de continuite des données chez un prestataire.
- Cartographie la chaîne complète des sous-traitants TIC, y compris les flux hors UE, et signale les ruptures de transparence.
- Produit un rapport PDF horodate, opposable a la CSSF lors d'une inspection, demontrant la coherence de votre delimitation de périmètre.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.