Quels incidents dois-je déclarer sous DORA ?

Tous les incidents informatiques perturbant vos services. Le délai est de 24h pour l'avertissement initial, puis 72h pour le rapport complet à l'autorité compétente (ANSSI en France).

Quel coût pour se mettre en conformité DORA ?

Entre 5 000 et 50 000 euros selon la taille et la complexité IT. Audit, politiques, formation et outils représentent l'essentiel du budget.

DORA s'applique-t-elle à mon prestataire IT ?

Oui, si votre prestataire (cloud, hébergeur, intégrateur) fournit des services critiques. Vous devez vérifier sa conformité et inclure DORA dans vos contrats.

DORA : ce que change cette loi pour les PME françaises

Q: Quand s'applique DORA pour une PME ?

DORA s'applique progressivement : 17 décembre 2024 pour les grandes entreprises, 17 décembre 2025 pour les PME critiques, et 17 décembre 2026 pour les autres PME.

Sommaire

Introduction : DORA, une loi qui vous concerne
Qu'est-ce que DORA et pourquoi maintenant ?
Les 5 obligations clés pour votre PME
Calendrier réglementaire : quand agir
Audit obligatoire et certification
Mon expérience terrain en Drôme-Ardèche
Feuille de route : par où commencer
Questions fréquentes

En 2024-2025, une nouvelle loi européenne commence à impacter gravement les PME françaises : DORA (Digital Operational Resilience Act). Ce n'est pas une simple recommandation. C'est une obligation légale, avec des pénalités jusqu'à 2,5 millions d'euros ou 2,5 % du chiffre d'affaires pour non-conformité.

Chez mes clients en Drôme et Ardèche, c'est la question revenant le plus souvent : "Hugo, cette loi, ça me concerne vraiment ?" Oui. Et elle impose des changements profonds dans la gestion de votre infrastructure IT, vos contrats avec vos prestataires, et votre manière de signaler les incidents de sécurité. Décryptons ensemble ce qui change réellement.

Qu'est-ce que DORA et pourquoi maintenant ?

DORA est un règlement européen entré en vigueur le 17 janvier 2023, mais sa véritable application se fait de façon progressive jusqu'à décembre 2026. L'objectif affiché par la Commission européenne : renforcer la résilience numérique des entités financières et de leurs prestataires IT critiques.

Pour vous, cela signifie concrètement que votre banque, votre assureur, votre gestionnaire de paye, ou votre hébergeur cloud ne peuvent plus fonctionner comme avant. Ils doivent :

Maîtriser leurs risques IT de façon documentée et auditée
Vous signaler rapidement (72h) tout incident affectant vos données ou services
Passer un audit annuel sur leur conformité

Et vous aussi, en tant que PME utilisant ces services ou gérant des données sensibles, vous êtes indirectement soumis à DORA. L'Autorité de Contrôle Prudentiel et de Résolution (ACPR) et l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) supervisent cette application en France.

Les 5 obligations clés pour votre PME

1. Politique de gestion des incidents IT obligatoire

DORA impose une procédure formelle pour identifier, documenter et signaler tout incident affectant votre activité. Ce ne sont plus les bons vieux fichiers Excel. Cela doit être :

Écrit et approuvé par votre direction
Testé régulièrement (simulations d'incident)
Accompagné de responsabilités claires (qui contacte qui, dans quel délai)

À Valence, un client artisan en électricité m'a dit : "Hugo, on n'a jamais eu d'incident grave." Certes. Mais un ransomware qui crypte tes devis et factures, c'est grave. Et DORA demande d'avoir un plan avant que ça n'arrive.

2. Contrats IT renforcés avec vos prestataires

Si vous travaillez avec un hébergeur cloud, un intégrateur, une agence web, ou même votre consultant IT (yes, c'est moi aussi dans certains cas), DORA exige des clauses contractuelles strictes :

Droit d'audit de son infrastructure chez lui
Obligations de notification d'incidents en 24h
Plan de continuité approuvé par écrit
Interdiction de sous-traiter sans vous demander

Beaucoup de contrats actuels sont muets sur ces sujets. Il faut les remettre à jour.

3. Tests de résilience : "exercices d'intrusion"

DORA demande aux PME critiques (et cela descend progressivement à toutes les PME) de tester leur IT une fois par an minimum. Cela peut être :

Un test de pénétration (un expert essaie de pirater votre réseau avec votre permission)
Un exercice de continuité d'activité (on coupe Internet 2h, peut-on continuer à travailler ?)
Une simulation d'incident de sécurité

Le rapport doit être documenté et communiqué à votre auditeur.

4. Monitoring et registre des incidents

DORA impose un suivi actif de tout ce qui se passe sur vos systèmes IT. Cela demande :

Des logs (journaux) conservés au moins 1 an
Un responsable IT identifié qui surveille
Un registre des incidents (un tableau : date, type, impact, actions)

Un petit restaurateur en Ardèche m'a dit : "Mon serveur, je ne le vois jamais, il est chez mon hébergeur." Exactement. Donc vous devez demander les logs à votre hébergeur.

5. Déclaration rapide aux autorités

DORA impose de signaler certains incidents à l'ANSSI ou à votre superviseur bancaire, dans des délais très courts :

24h pour l'avertissement initial (juste dire "on a un incident")
72h pour le rapport complet (détails, cause, impact, actions)

Cette obligation est nouvelle et stricte. Elle n'existait pas avant.

Calendrier réglementaire : quand agir

⚠️ Chronologie de DORA en France

17 décembre 2024 : Loi appliquée aux grandes entreprises du secteur financier (banques, assurances > 5 000 salariés)
17 décembre 2025 : Obligation pour les PME "critiques" (chiffre d'affaires > 350 M€ ou bilan > 175 M€)
17 décembre 2026 : Obligation complète pour toutes les PME fournissant des services IT critiques

Si vous gérez des données clients, un site de vente, ou des services en ligne, vous êtes probablement "critique". Vous entrez en scope décembre 2025 au plus tard.

Les sources de l'ANSSI et du CERT-FR précisent que les critères d'applicabilité sont évaluables par tout dirigeant.

Audit obligatoire et certification DORA

Une des exigences les plus couteuses : DORA impose un audit externe annuel obligatoire. Cet audit doit être réalisé par un organisme indépendant et certifié (auditeur ISAE 3402 ou équivalent).

Coût estimé : entre 8 000 et 30 000 euros par an pour une PME, selon votre complexité IT.

Cet audit couvre :

La gouvernance IT et les responsabilités
Les tests de pénétration et simulations
Le respect des délais de signalement
La gestion des sous-traitants IT
L'existence de plans de continuité

À titre informatif, un guide de la CNIL disponible en ligne détaille les attentes de conformité pour les PME opérant en France.

Le rapport d'audit doit être conservé et présenté en cas de contrôle par l'ANSSI.

Mon expérience terrain en Drôme-Ardèche

Depuis 6 ans, j'interviens chez des dizaines de PME en Drôme et Ardèche. En 2024-2025, j'ai vu trois vagues de panique autour de DORA :

Première vague : Les clients reçoivent une lettre de leur banque disant "DORA s'applique à vous, vous devez être conforme avant le 17 décembre". Panique. La plupart des PME pensaient que DORA était une loi "pour les grandes banques".

Deuxième vague : Quand je vais auditer leur IT, je découvre que :

Aucun document sur la gestion des incidents
Les contrats avec les prestataires IT ne mentionnent jamais l'audit ou la résilience
Aucune sauvegarde testée depuis 3 ans
Les mots de passe admin sont partagés sur un Post-it

Troisième vague : Une fois que j'explique le scope réel et les actions, beaucoup se rendent compte que ce n'est pas "catastrophique", mais cela demande du travail organisé.

Un client en particulier, entrepreneur en maçonnerie à Valence, m'a dit : "Hugo, j'ai une comptabilité en ligne, des devis en cloud, des photos de chantiers en ligne. Si tout s'arrête, mon affaire s'arrête." Exactement. C'est pourquoi DORA existe.

Feuille de route : par où commencer

Mois 1-2 : Audit de situation

✅ Action immédiate

Identifier tous vos prestataires IT critiques (cloud, hébergement, logiciels métier en ligne)
Lister tous les incidents IT des 12 derniers mois (même mineurs)
Vérifier si vous avez une personne "responsable IT" désignée
Consulter votre assureur pour vérifier les couvertures cyber

Mois 3-4 : Mise en place de la gouvernance

Documenter votre politique de gestion des incidents (modèle fourni par l'ANSSI)
Désigner un responsable IT unique avec responsabilités claires
Vérifier que votre contrat d'assurance couvre les frais de remédiation cyber
Créer un registre des incidents (simple fichier Excel avec : date, type, impact, actions)

Mois 5-6 : Renégociation des contrats IT

Auditer chaque contrat prestataire (cloud, hébergeur, agence web, consultant IT)
Ajouter les clauses DORA : droit d'audit, délai de notification 24h, plan de continuité
Demander à vos prestataires leur plan de conformité DORA
Documenter les sous-traitants (qui sous-traite pour qui ?)

Mois 7-8 : Tests de résilience

Engager un prestataire pour un test de pénétration ou un audit de continuité
Tester votre plan de sauvegarde (restaurer des données réelles pour vérifier)
Simuler un incident (email ransomware, perte d'accès Internet, etc.) et mesurer le temps de réaction

Mois 9 : Audit DORA externe

Engager un auditeur certifié ISAE 3402
L'audit durera 3-5 jours pour une PME moyenne
Coûts : 8 000 à 30 000 euros selon complexité

Mois 10-12 : Mise en conformité finale

Corriger les écarts identifiés par l'auditeur
Former votre équipe à la politique d'incidents
Mettre en place un monitoring des incidents IT
Conserver le rapport d'audit et les preuves de conformité

Budget total estimé pour une PME 10-50 salariés : 15 000 à 50 000 euros sur 12 mois (audit, documentation, tests, outils monitoring).

Questions fréquentes

Quand s'applique DORA pour une PME ?

DORA s'applique progressivement. Si votre PME a un chiffre d'affaires supérieur à 350 millions d'euros ou un bilan dépassant 175 millions, vous entrez en scope le 17 décembre 2025. Pour les autres, c'est le 17 décembre 2026. Si vous fournissez des services IT critiques, les délais peuvent être plus serrés.

Quels incidents dois-je déclarer à l'ANSSI ?

Tous les incidents "perturbant significativement" vos activités IT. Le seuil dépend de votre secteur. Pour une PME en e-commerce, cela inclut : ransomware, indisponibilité du site > 4h, vol de données clients, attaque DDoS. L'avertissement se fait en 24h, le rapport complet en 72h auprès de votre superviseur (ANSSI, ACPR, ou régulateur secteur).

DORA s'applique-t-elle à ma PME si j'ai juste un site vitrine ?

Cela dépend. Si votre site vitrine est juste une présentation sans prise de commande ni données sensibles, DORA ne s'applique pas directement. Mais si vous traitez des paiements, des données clients, ou des réservations, vous êtes "critique" et vous êtes concerné.

Qui paye l'audit DORA : moi ou mon prestataire ?

Vous payez votre audit (celui de votre PME). Votre prestataire paye le sien. Mais dans le contrat, vous pouvez demander à votre prestataire de vous partager ses rapports d'audit pour vérifier la conformité.

Je ne comprends pas, est-ce que DORA s'applique à moi ?

Le test simple : Si votre activité dépend d'Internet, du cloud, d'une application métier en ligne, ou de données clients sensibles, DORA s'applique probablement à vous. Consultez cette ressource officielle de Cybermalveillance.gouv.fr ou prenez contact pour un diagnostic gratuit.

Y a-t-il des amendes si je ne suis pas conforme ?

Oui. Les pénalités vont jusqu'à 2,5 millions d'euros ou 2,5 % de votre chiffre d'affaires annuel, selon ce qui est supérieur. En cas de non-conformité grave, l'ANSSI peut aussi suspendre vos droits d'accès à certains services publics numériques.

Besoin d'aide pour vous mettre en conformité DORA ?

Je propose un diagnostic gratuit et personnalisé pour les PME en Drôme et Ardèche. Une heure pour évaluer votre scope DORA, identifier les actions urgentes, et construire un plan réaliste.

Demander mon diagnostic DORA

À propos de l'auteur

Hugo Laurent est technicien informatique indépendant basé à Valence (Drôme, 26). Depuis 2019, il accompagne les PME et artisans de la Drôme et de l'Ardèche en matière d'infogérance, cybersécurité, mise en conformité légale (RGPD, DORA, NIS2), création de sites web et dépannage informatique. Hugo intervient aussi auprès des collectivités locales et des associations.

Domaines d'expertise : Infrastructure IT, conformité réglementaire, audit de sécurité, migration cloud, formation utilisateur.

Contact : hugoinformatique.fr/contact ou 06 XX XX XX XX