Le piège classique
Le considérant 20 cree une zone de double supervision pour les hyperscalers (AWS, Azure, GCP, OVHcloud) et les fournisseurs cloud regionaux (LuxConnect, eBRC, Proximus NXT) : ils sont a la fois infrastructure numérique au sens de NIS 2 et prestataires tiers TIC potentiellement critiques au sens de DORA. La CSSF sanctionné les entités financieres qui presument qu'une certification ISO 27001 ou la conformité NIS 2 de leur fournisseur cloud suffit a couvrir leurs obligations DORA. Les deux cadres sont complementaires, pas substituables.
Lire ce considérant comme un guide d'interprétation des articles 28 a 44
Concretement, ce considérant doit guider votre lecture des articles opérationnels de DORA :
- Le fait qu'AWS soit deja supervise comme infrastructure numérique sous NIS 2 n'exonere pas votre banque ou votre fonds de l'obligation de l'inscrire au registre d'information (article 28(3)) avec toutes ses dependances.
- La désignation eventuelle d'un fournisseur cloud comme prestataire tiers TIC critique par les ESAs (articles 31 a 33) ajoute une couche de supervision européenne directe, sans retirer la supervision nationale NIS 2 effectuée par l'ILR au Luxembourg.
- Les clauses contractuelles obligatoires de l'article 30 doivent s'appliquer intégralement, même avec des hyperscalers qui imposent leurs CGV standardisées : la CSSF refuse l'argument du take-it-or-leave-it.
- La stratégie multi-fournisseurs et les tests de sortie (article 28(8)) deviennent un objectif explicite pour les services cloud supportant des fonctions critiques.
Le piège de la chaîne de sous-traitance cloud
Un SaaS metier (core banking, KYC, gestion d'actifs) hébergé sur Azure cree une chaîne a trois niveaux : entité financiere -> editeur SaaS -> Microsoft. DORA exige la transparence sur toute la chaîne, y compris la localisation reelle des données et les sous-regions cloud utilisees. Les contrats standards des editeurs SaaS occultent souvent cette information.
Comment Luxgap automatise ce risque
Notre Luxgap Cloud Concentration Radar cartographie en temps reel l'exposition cloud reelle de votre établissement financier et detecte les angles morts de la chaîne de sous-traitance, la ou les fichiers Excel des équipes risques s'arretent au prestataire de rang 1. L'outil interroge directement vos comptes AWS Organizations, Azure Tenant, GCP Resource Manager, votre SSO (Okta, Entra ID) et vos factures Odoo / SAP pour reconstituer la carte complète des dependances cloud, y compris les services SaaS qui rehebergent silencieusement chez un hyperscaler.
- Detecte automatiquement chaque nouveau service cloud active dans vos tenants AWS, Azure et GCP, et le rapproche du registre d'information article 28(3).
- Identifié les SaaS metiers qui rehebergent chez un hyperscaler en croisant les certificats TLS, les enregistrements DNS et les adresses IP de destination observees depuis vos passerelles Defender / Zscaler.
- Calcule un score de concentration par fournisseur, par region cloud et par fonction critique, pour materialiser le risque article 29 avant la prochaine revue CSSF.
- Alerte sur les transferts hors UE caches (replication de données vers une region US, support technique offshore) declenches sans avenant contractuel.
- Pre-remplit le registre d'information au format ITS EBA/ESMA/EIOPA attendu pour la remontee annuelle a la CSSF, avec horodatage opposable.
- Simule l'impact d'une désignation critique d'un de vos fournisseurs par les ESAs et prepare le plan de sortie article 28(8).
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent un audit blanc gratuit sous 48h sur vos tenants cloud reels, avec un premier rapport de concentration livre avant tout engagement.
