Commencer gratuitementQu'est-ce que le reglement DORA et quelles PME sont concernees ?
Le Digital Operational Resilience Act (DORA) est le reglement europeen qui impose des exigences de resilience operationnelle numerique aux entites du secteur financier. Applicable depuis le 17 janvier 2025, il concerne environ 22 000 entites dans l'UE, dont 3 500 en France. Les PME concernees : fintechs, courtiers, conseillers en investissement, plateformes de crowdfunding, societes de gestion, prestataires de services de paiement et leurs prestataires TIC critiques. Les sanctions peuvent atteindre 2 % du CA annuel mondial ou 1 M EUR pour les personnes physiques.
| Type d'entite | Concerne ? | Niveau d'exigence |
|---|---|---|
| Banque / assurance | Oui | Complet |
| Fintech / PSP | Oui | Complet |
| Courtier / CGP | Oui | Proportionnel |
| Plateforme crowdfunding | Oui | Proportionnel |
| E-commerce classique | Non (sauf si PSP) | - |
| Prestataire IT d'une entite financiere | Oui (indirect) | Contractuel |
Les 5 piliers de DORA pour les PME
Pilier 1 : gestion des risques TIC
Mettre en place un cadre de gestion des risques informatiques : identification des actifs critiques, evaluation des menaces, plan de mitigation. Pour les micro-entites (< 10 salaries), un cadre simplifie est accepte — pas besoin d'une equipe RSSI dediee.
Pilier 2 : gestion des incidents TIC
Implementer un processus de detection, classification et notification des incidents. Les incidents "majeurs" doivent etre signales a l'ACPR ou l'AMF dans un delai de 4 heures (notification initiale) puis 72h (rapport intermediaire).
Pilier 3 : tests de resilience
| Type de test | Frequence | PME concernees |
|---|---|---|
| Tests de vulnerabilite | Annuel | Toutes |
| Tests de penetration (pentest) | Tous les 3 ans | Entites significatives |
| Tests de continuite d'activite | Annuel | Toutes |
| TLPT (Threat-Led Penetration Testing) | Tous les 3 ans | Grandes entites uniquement |
Pilier 4 : gestion des prestataires TIC
Toute externalisation informatique (cloud, SaaS, hebergement) doit etre documentee et evaluee. Les contrats avec les prestataires critiques doivent inclure des clauses de resilience, d'audit et de sortie. Les PME doivent maintenir un registre de tous les prestataires TIC.
Pilier 5 : partage d'informations
Partager les informations sur les menaces cyber avec d'autres entites du secteur est encourage (pas obligatoire pour les PME). Des plateformes comme le CERT-FR et l'ANSSI facilitent ce partage.
Budget de mise en conformite pour une PME
| Action | PME < 10 salaries | PME 10-50 salaries |
|---|---|---|
| Audit initial | 2 000 - 5 000 EUR | 5 000 - 15 000 EUR |
| Outils de monitoring | 100 - 500 EUR/mois | 500 - 2 000 EUR/mois |
| Tests de vulnerabilite annuels | 1 000 - 3 000 EUR | 3 000 - 8 000 EUR |
| Formation equipe | 500 EUR | 2 000 EUR |
| Plan de continuite (PCA/PRA) | 1 500 - 4 000 EUR | 4 000 - 12 000 EUR |
| Total an 1 | 5 000 - 13 000 EUR | 15 000 - 40 000 EUR |
Le principe de proportionnalite est cle : l'ACPR adapte ses attentes a la taille et la complexite de l'entite. Une micro-fintech n'aura pas les memes exigences qu'une banque. Les PME du secteur financier qui communiquent aupres de leurs clients sur leur conformite renforcent la confiance — sur I am Beezy, les entreprises locales peuvent promouvoir leur serieux et leur fiabilite aupres des clients de proximite des 2 EUR par campagne.
Comment I am Beezy repond a ce besoin
La conformite renforce la confiance client. I am Beezy permet de :
- Communiquer sur ta fiabilite et ta conformite aupres des clients locaux
- Promouvoir tes services financiers de maniere ethique et locale
- Campagnes geolocalisees des 2 EUR
Lancez votre premiere campagne sur I am Beezy.
Informations pratiques
| Detail | Information |
|---|---|
| Date d'application | 17 janvier 2025 |
| Autorite France | ACPR / AMF |
| Sanction maximale | 2 % du CA mondial ou 1 M EUR |
| Budget PME an 1 | 5 000 - 40 000 EUR |
| Publicite locale | iambeezy.app |
