Nouveau
Découvrez notre nouvelle page de  fonctionnalités

DORA pour les PME : ce qu’il faut savoir pour les entités régulées et les prestataires tiers de services TIC

De nombreuses PME européennes sont désormais concernées par le Digital Operational Resilience Act (DORA). Certaines sont directement régulées : les petites fintechs, les établissements de paiement et les sociétés de gestion ne bénéficient d’aucune exemption liée à la taille. Beaucoup d’autres sont concernées en tant que prestataires tiers de services TIC, car les exigences leur parviennent par voie contractuelle. Cet article explique ce qu’est DORA, dans quelle situation vous vous trouvez et comment vous y préparer sans disposer d’une équipe risques et sécurité étoffée.

Les points à retenir :
  • La cybersécurité n'est pas un projet que l'on termine, c'est une discipline de gestion que l'on entretient. À mesure que votre entreprise évolue, votre exposition au risque évolue avec elle.
  • Les indicateurs de sécurité seuls ne suffisent pas. Une gouvernance efficace exige de comprendre la cybersécurité en termes de risque business, d'exposition financière et de résilience.
  • Les organisations qui affichent la meilleure posture de sécurité ne sont pas celles qui dépensent le plus, ce sont celles qui évaluent, priorisent, agissent et s'améliorent en continu.
Explorez davantage avec l'IA :
Claude
Perplexity
ChatGPT

Comprendre DORA

Qu’est-ce que DORA et qui est concerné ?

DORA est un règlement européen avec un objectif clair : garantir que le secteur financier puisse continuer à fonctionner en cas de défaillance technologique, qu’il s’agisse d’une cyberattaque, d’une panne système ou d’un incident chez un prestataire. Il s’applique de manière uniforme dans tous les pays de l’UE et est en vigueur depuis janvier 2025, les autorités compétentes en assurant désormais activement l’application.

Point essentiel : DORA ne prévoit aucun seuil de taille. Une startup de paiement de trois personnes comme une grande banque entrent toutes deux dans son champ d’application. Les exigences sont adaptées à la taille, mais aucune entité régulée n’en est exemptée au motif qu’elle serait petite.

Comment DORA peut affecter une PME

DORA peut affecter votre activité de deux manières principales, certaines organisations relevant des deux catégories.

  • Vous êtes une entité financière couverte par DORA.
  • Vous fournissez des services TIC à une entité financière couverte par DORA.

DORA s’applique directement à un large éventail d’entités financières, notamment les banques, les assureurs, de nombreux intermédiaires en assurance, les entreprises d’investissement, les sociétés de gestion, les établissements de paiement, les établissements de monnaie électronique, les prestataires de services sur crypto-actifs et les entités liées aux retraites. Si votre organisation relève de l’une de ces catégories, DORA s’applique quelle que soit la taille de l’entreprise.

Pour la plupart des prestataires technologiques, DORA produit un effet indirect. Les entités financières restent responsables de la gestion du risque TIC et de la résilience des services externalisés. Pour remplir ces obligations, elles doivent évaluer leurs prestataires TIC et intégrer des exigences contractuelles couvrant des domaines tels que la sécurité, la résilience opérationnelle, la gestion des incidents, les droits d’audit et la continuité d’activité. En conséquence, les prestataires technologiques au service du secteur financier doivent souvent démontrer un grand nombre des mêmes capacités que celles requises des entités régulées.

Un petit nombre de prestataires TIC peuvent être désignés comme Prestataires Tiers Critiques de services TIC (CTPP). Ces organisations sont soumises à une supervision directe de l’UE au titre de DORA.

La bonne nouvelle : DORA est calibré à la taille de votre organisation

Un point rassurant trop souvent oublié dans la couverture de DORA : le règlement est conçu pour être proportionné. Votre taille, votre profil de risque et la nature de vos activités sont pris en compte ; les autorités compétentes n’attendent donc pas d’une entreprise de 30 personnes la même gouvernance, la même documentation et les mêmes contrôles qu’une grande banque.

Pour les entités financières, DORA prévoit des mesures de proportionnalité : les microentreprises (moins de 10 salariés et un chiffre d’affaires annuel inférieur ou égal à 2 millions d’euros) bénéficient d’un régime allégé, et certaines entités de plus petite taille peuvent suivre des exigences simplifiées.

Pour les prestataires TIC, l’effet pratique est similaire. Si DORA s’applique généralement à vos clients du secteur financier plutôt qu’à vous directement, ces clients devront évaluer votre résilience et vos pratiques de gestion des risques. Dans les faits, les attentes vis-à-vis d’un petit éditeur de logiciels spécialisé différeront de celles formulées à l’égard d’une grande plateforme cloud soutenant des services financiers critiques.

Proportionné ne signifie pas optionnel. Que vous soyez une entité régulée ou un prestataire technologique qui en sert une, l’objectif est de démontrer que votre organisation sait gérer le risque TIC et se rétablir après une perturbation, de manière adaptée à sa taille et à son rôle.

Ce que DORA exige, en termes clairs

Les cinq piliers

DORA s’articule autour de cinq piliers :

  1. Gestion du risque TIC : identifier, gérer et surveiller les risques technologiques au travers d’un cadre documenté.
  1. Notification des incidents TIC : détecter, classifier et notifier les incidents majeurs liés aux TIC au moyen d’un processus formalisé.
  1. Tests de résilience opérationnelle numérique : tester régulièrement le bon fonctionnement réel des systèmes, des processus et des plans de reprise.
  1. Gestion des risques liés aux tiers TIC : comprendre et gérer les risques induits par les fournisseurs technologiques et les services externalisés.
  1. Partage d’informations : participer, le cas échéant, à des dispositifs de partage de renseignements sur les menaces et d’information.

Le fil conducteur, c’est la preuve. Les autorités compétentes comme vos clients veulent constater une gestion des risques documentée, des contrôles testés et une responsabilité clairement attribuée. Un contrôle de sécurité qui n’est pas formalisé par écrit, attribué à un responsable, ni régulièrement réexaminé est difficile à démontrer lorsqu’il faut rendre des comptes à un client ou à l’autorité compétente.

Le risque cyber est une responsabilité de la direction

DORA confie l’imputabilité du risque TIC à l’organe de direction et exige que la direction générale supervise la résilience opérationnelle. Le risque cyber n’est plus seulement un sujet IT ; c’est un risque métier.

Cela suppose de parler du risque cyber en termes métier. Une liste de vulnérabilités techniques est difficile à prioriser pour la direction. Ce que les dirigeants peuvent piloter, c’est une liste restreinte de scénarios réalistes susceptibles de perturber matériellement l’activité, l’impact opérationnel et financier probable de chacun, ainsi que les actions engagées pour réduire ce risque.

Donner une valeur financière aux principaux risques contribue à créer ce langage commun. La direction dispose alors d’un moyen concret de comparer les risques, de prioriser les investissements et de prendre des décisions éclairées en matière de résilience.

Comment se préparer en tant que PME ou ETI au titre de DORA

Que DORA s’applique directement à votre organisation ou vous parvienne au travers des exigences de vos clients, le point de départ est largement le même : comprendre vos risques, documenter vos contrôles, tester votre résilience et conserver des preuves à jour.

1. Identifier vos risques les plus importants

Concentrez-vous sur les quelques scénarios susceptibles de perturber gravement votre activité : rançongiciel, fuite de données majeure, perte d’un fournisseur clé ou panne prolongée. Comprendre l’impact opérationnel et financier de ces événements vous aide à prioriser les améliorations et à démontrer une approche fondée sur le risque.

2. Bâtir un socle de gouvernance

Une petite organisation peut répondre à cette exigence sans alourdir excessivement sa charge administrative. Ce qui compte, c’est une attribution claire des responsabilités, des processus documentés et une approche cohérente des décisions liées au risque.

Pour la plupart des PME, cela commence par un nombre restreint de documents clés :

  • une politique de gestion du risque cyber
  • un plan de réponse aux incidents
  • des procédures de continuité d’activité (PCA)
  • des procédures de reprise après sinistre (PRA)
  • des rôles et responsabilités clairement définis

Il ne s’agit pas seulement de documents de conformité. Ensemble, ils définissent qui prend les décisions, comment les incidents sont traités, comment les services critiques sont rétablis et comment le risque est surveillé dans la durée. Et cela commence au sommet : la direction doit comprendre les risques cyber les plus significatifs pour l’organisation, les réexaminer régulièrement et s’assurer que les contrôles et les capacités de reprise restent appropriés à mesure que l’activité évolue.

3. Valider les capacités de reprise

De nombreuses organisations partent du principe que la reprise fonctionnera parce que des sauvegardes existent. Malheureusement, une sauvegarde qui n’a jamais été testée est une hypothèse, pas une capacité de reprise.

Testez régulièrement les processus définis dans vos plans de continuité d’activité et de reprise après sinistre. Restaurez les systèmes, mesurez les temps de reprise, vérifiez que les données critiques peuvent être récupérées et documentez les écarts qui apparaissent.

Cela répond à un double objectif. D’abord, améliorer la résilience en identifiant les faiblesses avant qu’un incident ne survienne. Ensuite, apporter la preuve que les capacités de reprise sont autre chose qu’un plan théorique sur le papier.

4. Maintenir les preuves et la supervision

Une bonne gouvernance n’est pas un exercice ponctuel. Les risques évoluent, les systèmes changent, les fournisseurs vont et viennent, et les contrôles doivent être réexaminés en continu.

Tenez à jour un registre de vos analyses de risques, politiques, tests de reprise, revues de sécurité, incidents et actions de remédiation. Que la demande émane d’une autorité compétente, d’un client, d’un auditeur ou d’un assureur cyber, la capacité à démontrer ce que vous avez fait est souvent aussi importante que les contrôles eux-mêmes.

Les organisations qui réexaminent régulièrement leur posture face au risque cyber sont généralement mieux placées pour identifier les menaces émergentes, justifier leurs investissements de sécurité, répondre aux demandes de due diligence clients et démontrer leur résilience opérationnelle quand cela compte vraiment.

La conformité est le point de départ, pas l’objectif

De nombreuses organisations abordent DORA comme un exercice de conformité. En réalité, la conformité est souvent le sous-produit d’une bonne gestion des risques.

Les entreprises qui en tirent le plus de bénéfices sont celles qui maintiennent une vision continue de leur paysage de risque cyber, plutôt que de traiter les analyses de risques comme un exercice annuel. De nouveaux fournisseurs apparaissent, les systèmes changent, des vulnérabilités émergent et les attaquants s’adaptent. Sans visibilité régulière, les contrôles d’aujourd’hui peuvent vite devenir les failles de demain.

Un processus structuré de gestion du risque cyber aide les organisations à :

  • identifier les menaces et expositions émergentes
  • comprendre les évolutions de leur surface d’attaque
  • prioriser les investissements en fonction du risque
  • démontrer leur résilience auprès des clients et partenaires
  • fournir des preuves lors des audits et des due diligences
  • appuyer les souscriptions et renouvellements d’assurance cyber

Lorsque la gouvernance, l’analyse des risques et la collecte des preuves font partie des opérations courantes, la conformité devient nettement plus simple. Plutôt que de s’agiter pour répondre à des questionnaires ou préparer des audits, l’information existe déjà, parce que l’organisation gère activement son risque.

Article suivant : Gestion de la posture de cybersécurité
DORA

C-Trust vous aide à vous préparer à DORA

La plupart des PME ne disposent pas d’une équipe risques et sécurité étoffée pour mener tout cela, et elles n’en ont pas besoin. C’est là que C-Trust intervient.

C-Trust associe une plateforme à un analyste dédié qui prend le temps de comprendre votre environnement IT et votre activité. Lorsque vous comprenez votre risque en termes objectifs et financiers, vous prenez de meilleures décisions métier, et savez notamment quand vous pouvez prendre davantage de risque pour croître, parce que vous voyez ce que cela coûte réellement et si cela en vaut la peine.

In progress Completed edit Not started In progress

Prêt à élaborer votre stratégie de cybersécurité ?

C-Trust vous fournit un plan d'action priorisé, adapté à votre entreprise, vous savez ainsi exactement par où commencer et quoi faire ensuite.

Demander une démo →