Comment votre entreprise doit se préparer à la Loi DORA et quels changements attendre en 2026
Depuis janvier 2025, une loi européenne décisive refonde la sécurité informatique des entreprises françaises : la Loi DORA (Digital Operational Resilience Act). Pour beaucoup de dirigeants en Drôme et Ardèche, ces trois lettres ne disent rien. Pourtant, DORA touche déjà votre PME, qu'elle soit à Valence, Romans, Privas ou Montélimar. C'est une obligation légale, pas une option commerciale.
Cet article décrypte DORA sans jargon technique : ce que c'est, qui doit agir, quand, et comment faire sans se ruiner. Je vous partage aussi ce que je constate chez mes clients artisans et TPE de Valence qui traversent cette transition.
DORA est une directive européenne entrée en vigueur le 1er janvier 2025. Elle s'applique à tous les États membres, dont la France. Son objectif : renforcer drastiquement la résilience opérationnelle des entreprises face aux crises numériques (piratages, pannes, ransomwares, etc.).
Avant DORA, chaque pays avait sa réglementation (NIS, PSMN en France). Désormais, il existe un socle commun européen qui s'impose à tous. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en est le régulateur français. Vous pouvez consulter les recommandations officielles ANSSI sur DORA.
En clair : DORA oblige votre entreprise à prouver qu'elle peut fonctionner même quand ses systèmes informatiques subissent une attaque ou une défaillance grave. Ce n'est pas de la théorie. C'est légal, contrôlable et pénalisable.
Attention piège courant : beaucoup de PME croient que DORA ne s'applique qu'aux grandes banques ou assurances. C'est faux.
DORA concerne toute entreprise qui fournit un service numérique, y compris :
Il n'y a pas de seuil de chiffre d'affaires. Une micro-entreprise en Ardèche ou une PME de Valence qui touche à l'informatique doit se mettre en conformité. Les seules exceptions : entreprises sans données numériques (impossible aujourd'hui) ou microentreprises sans clients sensibles (rares).
Si vous vous posez la question « suis-je concerné ? », la réponse est probablement : oui.
La Loi DORA repose sur 4 piliers. Pas besoin d'être expert IT pour les comprendre. Pensez à chacun comme à un assurance pour votre continuité d'activité.
Vous devez réaliser un audit de sécurité informatique complet auprès d'un cabinet agréé. Cet audit doit identifier vos points faibles : serveurs mal sécurisés, données non chiffrées, absence de sauvegarde, etc.
Délai : déjà applicable depuis janvier 2025. Organismes critiques : fin 2026.
Si vos systèmes IT tombent en panne (ransomware, perte internet, serveur grillé), pouvez-vous continuer à servir vos clients ? C'est ce que DORA exige : un plan écrit pour reprendre activité en maximum 24 à 72h selon votre criticité.
Concretement : sauvegardes hors site, test régulier de restauration, procédures documentées, contact de secours identifié.
Votre hébergeur cloud, votre éditeur ERP, votre agence web : tous sont vos tiers-parties numériques. DORA exige que vous les audition, évaluis leur sécurité, et incluiez des clauses de sécurité dans vos contrats.
Enjeu : un fournisseur faible = une porte ouverte aux pirates. Vous restez responsable.
Au moins une fois par an, vous devez tester votre résilience : simuler une attaque, une panne, une crise pour vérifier que vos équipes réagissent correctement et que votre PCA fonctionne réellement.
Pas juste : des tests papier. De vrais tests opérationnels.
Traduction réelle : Il n'y a plus de marge. Si vous n'avez rien commencé en juillet 2026, vous êtes en retard. Le temps de trouver un auditeur, de faire l'audit, de corriger : 4 à 8 mois minimum.
Un audit IT complet coûte entre 3 000 et 15 000 € selon la taille de votre entreprise. Pour une PME de Valence avec 20 salariés, comptez 5 000 à 8 000 €.
Cela paraît cher. Mais :
DORA demande du travail administratif : maintenir un registre de vos actifs IT, documenter votre politique de sécurité, auditer les tiers, organiser des tests. Comptez 20 à 40 heures par an pour une PME.
Ce temps peut être partagé entre direction, responsable IT et prestataire extérieur (comme moi).
Vous devrez revoir vos contrats avec vos fournisseurs (cloud, ERP, hébergeur) pour y ajouter des clauses DORA. Vos clients publics et grandes entreprises exigeront des certifications DORA.
À Valence, j'ai des clients qui travaillent avec des marchés publics. DORA devient déjà un critère d'attribution.
Depuis 18 mois que j'aide mes clients à se préparer, j'observe des patterns clairs.
Les PME qui avancent bien : celles qui commencent par un audit. Un cabinet d'audit IT externe, c'est comme un diagnostic médecin. On voit très vite où ça cloche : serveurs sans mise à jour depuis 3 ans, données client en clair dans le cloud, pas de sauvegarde de secours, responsable IT qui gère tout seul.
J'ai un client, une agence de design graphique à Romans (Drôme), qui avait zéro formalisation. L'audit a révélé qu'un collaborateur, parti 6 mois avant, avait toujours accès aux serveurs. L'audit a aussi découvert des données client sur un disque dur oublié dans un placard. DORA a forcé le nettoyage.
Les PME qui galèrent : celles qui attendent. Elles disent « oh, DORA c'est pour les banques ». Puis elles se font pirater, ou perdent un marché public parce qu'elles ne sont pas certifiées. Là, elles appellent en urgence (moi ou un concurrent). Le coût grimpe, le stress s'installe, et elles auraient donné tout pour démarrer 6 mois avant.
Un petit cabinet comptable en Ardèche m'a contacté en avril 2026 en panique : un client de son client avait fait un audit de sécurité et découvert que les données comptables n'étaient pas sécurisées selon DORA. Résultat : perte du client, urgence pour mettre aux normes en 3 mois. C'était possible, mais tendu et cher.
Mon conseil honnête : Tout dirigeant de PME en Drôme, Ardèche ou ailleurs qui n'a pas commencé DORA en 2026 prend un risque réel. Ce n'est pas un buzz de consultant. C'est du droit, de la conformité, du contrôle d'audit.
Voici comment démarrer sans paniquer, du plus urgent au moins urgent.
DORA s'applique depuis le 1er janvier 2025. Les organismes non-critiques doivent être en cours de conformité, mais il n'y a pas encore d'inspection intensive. Les organismes critiques ont jusqu'au 1er janvier 2026. Après 2027, les contrôles vont s'intensifier.
L'ANSSI et vos régulateurs sectoriels commenceront par des demandes de conformité amiables. Puis, amendes progressives : jusqu'à 5 % du chiffre d'affaires. Aussi, perte probable de clients (publics, grandes entreprises), et responsabilité civile si cyber-incident et non-conformité prouvée.
Pour l'audit initial, il faut un cabinet externe agréé (garant de l'impartialité). Après, la maintenance peut être interne si vous avez les compétences. Mais beaucoup de PME manquent de temps ou d'expertise. Un partenaire externe (comme moi) peut aider en continu, c'est souvent plus rentable.
Oui, sauf si vous n'avez aucun système IT ni données numériques (quasi impossible). Mais les attentes sont proportionnées à votre taille. Pour une micro-PME : audit simple, PCA basique, test annuel. Budget peut être 2 000 à 5 000 € au lieu de 10 000 €.
Je propose aux PME de Drôme et Ardèche une première consultation gratuite pour évaluer votre situation et tracer un plan d'action réaliste.
Pas de prise de tête, pas de jargon. Juste une stratégie claire et adaptée à votre budget.
Me contacter pour un diagnostic DORA