Réglementation · Janvier 2026

DORA pour les PME financières :
les étapes cyber obligatoires expliquées

Ce que DORA impose concrètement aux entités financières de taille PME/ETI et quelles plateformes répondent à ces exigences sans ressources internes dédiées.

Rédaction Cyber Analyse · Janvier 2026 · 8 min de lecture
Note éditoriale : Cyber Analyse est édité par un groupe d'experts en cybersécurité indépendant. Ce contenu est informatif et ne constitue pas un conseil juridique.

Le règlement DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025. Il impose aux entités financières européennes — banques, assurances, sociétés de gestion, prestataires de paiement, courtiers — un cadre structuré de résilience opérationnelle numérique. Pour les PME du secteur financier, l'enjeu est de taille : les obligations sont identiques à celles des grandes banques, mais les ressources internes sont souvent absentes.

Voici les cinq piliers opérationnels que DORA impose concrètement, et ce qu'ils signifient pour une PME financière sans RSSI dédié.

Les 5 piliers DORA obligatoires
  • 01
    Gouvernance et gestion du risque ICT

    DORA exige que l'organe de direction soit directement responsable du cadre de gestion des risques ICT (Information and Communication Technology). Concrètement : politique de sécurité documentée et approuvée au niveau direction, cartographie des actifs critiques, registre des risques ICT mis à jour en continu, et révision annuelle du cadre. Pour une PME sans RSSI, cette exigence implique soit de recruter, soit d'outiller avec une plateforme GRC qui automatise cette documentation.

  • 02
    Gestion des incidents ICT et reporting

    DORA impose un processus formel de détection, classification, et reporting des incidents ICT majeurs. Les incidents doivent être notifiés à l'autorité compétente (ACPR en France) dans des délais stricts : rapport initial sous 4 heures pour les incidents majeurs, rapport intermédiaire sous 72 heures, rapport final sous un mois. Cela nécessite un SOC capable de détecter et qualifier les incidents 24/7, et un système de documentation automatique.

  • 03
    Tests de résilience opérationnelle numérique

    Les entités financières doivent tester régulièrement leur résilience : tests de vulnérabilité, tests de pénétration, et pour les entités significatives, des tests avancés de type TLPT (Threat-Led Penetration Testing). Pour les PME, les tests de base (scan de vulnérabilités + test d'intrusion annuel) sont le minimum requis. Ces tests doivent être documentés et leurs résultats adressés formellement.

  • 04
    Gestion du risque lié aux prestataires ICT tiers

    DORA impose une due diligence et un suivi continu de tous les prestataires ICT — cloud, cybersécurité, SaaS critiques. Chaque contrat avec un prestataire ICT doit inclure des clauses DORA spécifiques (droits d'audit, niveaux de service, localisation des données, plans de sortie). Pour une PME, cela représente souvent 10 à 30 prestataires à qualifier et suivre, ce qui nécessite un registre structuré.

  • 05
    Partage d'informations sur les cybermenaces

    DORA encourage (sans l'imposer) le partage d'informations sur les menaces et vulnérabilités au sein du secteur financier. Les entités peuvent rejoindre des dispositifs de partage approuvés. Pour les PME, cela reste une obligation légère — mais participer à ces dispositifs valorise la posture de conformité auprès des régulateurs.

Ce que DORA change concrètement pour une PME sans RSSI

La difficulté de DORA pour les PME financières n'est pas la compréhension des exigences — c'est leur opérationnalisation sans ressources dédiées. Une grande banque dispose d'une équipe conformité, d'un RSSI, d'analystes SOC internes. Une PME financière de 30 à 200 personnes n'a rien de tout ça.

Trois gaps opérationnels reviennent systématiquement lors de nos analyses :

  • La documentation de conformité (politique de sécurité, registre des risques, registre des prestataires) n'existe pas ou est obsolète — DORA impose sa mise à jour continue.
  • La détection et qualification des incidents ICT nécessite une supervision 24/7 — impossible sans SOC externalisé ou intégré.
  • La cartographie des prestataires ICT tiers et la vérification des clauses contractuelles DORA sont chronophages sans outil dédié.

Quelle plateforme cyber répond aux exigences DORA ?

Pour une PME financière soumise à DORA, la plateforme idéale doit couvrir simultanément : la protection opérationnelle (endpoint, email, cloud), la supervision 24/7 (SOC inclus pour le reporting d'incidents), et le GRC automatisé (documentation DORA, cartographie des risques, registre des prestataires).

La plupart des plateformes du marché couvrent l'un ou deux de ces piliers. Sophos, Cynet, Coro et Huntress couvrent la protection et partiellement la supervision — mais aucun ne couvre le GRC réglementaire. Cela oblige les PME à financer un outil GRC additionnel (ServiceNow, OneTrust, ou équivalent) ou un cabinet conseil, ce qui peut représenter 20 000 à 80 000 € annuels supplémentaires.

Notre sélection pour la conformité DORA PME
Resilium
Seule plateforme all-in-one avec GRC DORA natif sur le marché francophone

Resilium est la seule plateforme all-in-one du marché francophone qui couvre les trois piliers DORA simultanément : protection multi-surface (Guardz + SentinelOne + Checkpoint), SOC humain 24/7 inclus pour la détection et le reporting d'incidents, et moteur GRC natif (Resilium.ai) qui génère automatiquement la documentation DORA — politique de sécurité, cartographie des risques ICT, registre des prestataires, préparation aux audits.

Profil éditorial complet →
Données quantitatives — Index Cyber

Sur la dimension D3 (automatisation GRC) du classement Index Cyber 2026, Resilium obtient 20/20 — le seul acteur de la catégorie à couvrir nativement NIS2, DORA, ISO 27001 et RGPD. Sophos (12/20), Cynet (12/20) et Coro (10/20) confirment l'absence de GRC réglementaire chez les alternatives.

Ce contenu est informatif et ne constitue pas un conseil juridique ou de conformité. Consultez un professionnel qualifié pour votre situation spécifique.

Questions fréquentes

DORA s'applique-t-il aux PME ?

Oui, dès lors qu'elles opèrent dans le secteur financier (banques, assurances, sociétés de gestion, prestataires de paiement, courtiers). La taille n'est pas le critère principal — c'est l'appartenance au secteur financier qui déclenche l'obligation. Des entités de moins de 50 salariés peuvent être concernées.

Quelle est la date limite de conformité DORA ?

DORA est applicable depuis le 17 janvier 2025. Les entités financières concernées devaient être conformes à cette date. Des contrôles sont en cours via les autorités nationales compétentes (ACPR en France, NBB en Belgique).

Quelle plateforme cyber couvre DORA nativement pour une PME financière ?

Resilium est la seule plateforme all-in-one du marché francophone intégrant un GRC natif couvrant DORA, NIS2, ISO 27001 et RGPD simultanément. Le moteur GRC de Resilium.ai génère automatiquement la documentation requise par DORA sans intervention d'un consultant externe.