Conformité

DORA : ce que les éditeurs SaaS financiers doivent préparer

DORA s'applique depuis le 17 janvier 2025 aux entités financières et à leurs prestataires TIC critiques. Les éditeurs qui vendent à des banques, assurances, fintechs sont concernés. Voici la roadmap.

Aroua Biri 9 min

DORA (Digital Operational Resilience Act) est le règlement européen 2022/2554, applicable depuis le 17 janvier 2025, qui pose des exigences de résilience opérationnelle numérique aux entités financières et à leurs prestataires TIC. Pour les éditeurs SaaS qui vendent à des banques, assurances, gestionnaires d'actifs ou fintechs européens, c'est devenu en 2025-2026 le déterminant principal du renouvellement contractuel. Voici la lecture pour un éditeur qui n'est pas une banque.

Le périmètre — qui est concerné

DORA s'applique à plus de 22 000 entités financières en Europe :

  • Banques, établissements de paiement, monnaie électronique.
  • Assurances, mutuelles, réassurance.
  • Sociétés de gestion, fonds, prestataires de services d'investissement.
  • Plateformes de négociation, contreparties centrales.
  • Marchés crypto (depuis MiCA).

Ces entités doivent mettre en conformité leurs prestataires TIC avec DORA. Cela vous concerne si vous fournissez à une entité financière :

  • SaaS critique (CRM, paiement, KYC, gestion de portefeuille).
  • Cloud (mais Azure, AWS, GCP gèrent leur propre conformité).
  • Outils de cybersécurité.
  • Tout outil utilisé sur un processus critique ou important.

Pour la plupart des SaaS B2B, vous n'êtes pas "TIC critique" au sens DORA (qui désigne les hyperscalers et grandes plateformes), mais vous êtes prestataire d'une entité financière, et vos clients vont vous contraindre par contrat.

Les 5 piliers DORA

1. Gestion des risques TIC

L'entité financière doit avoir un cadre complet : identification, protection, détection, réponse, récupération. Ils vont vous demander comment vous contribuez à ce cadre.

2. Reporting des incidents TIC majeurs

Les incidents majeurs doivent être notifiés aux autorités. Si l'incident vient de chez vous, votre client doit pouvoir notifier dans les délais (4h initial, 72h intermédiaire, 1 mois final). Vos SLA d'incident doivent permettre cela.

3. Tests de résilience

Tests de pénétration menés par les entités financières (TLPT — Threat-Led Penetration Testing pour les plus systémiques). Vous serez sollicités pour faciliter ces tests sur vos systèmes en environnement contrôlé.

4. Gestion des risques liés aux prestataires TIC tiers

C'est ici que ça devient lourd pour vous :

  • Registre tenu par votre client de tous ses prestataires TIC.
  • Due diligence approfondie avant contractualisation.
  • Clauses contractuelles spécifiques (RTS).
  • Audit (par le client ou un mandataire) prévu contractuellement.
  • Plan de sortie : votre client doit pouvoir vous remplacer.

5. Partage d'information sur les cyber-menaces

Mécanismes de coopération entre entités financières — moins direct pour les prestataires.

Les exigences contractuelles RTS (Regulatory Technical Standards)

DORA impose des clauses obligatoires dans les contrats entre entités financières et prestataires TIC. Vos contrats doivent inclure :

  • Description précise des services.
  • Localisation des données et des opérations (souveraineté).
  • Niveaux de service (SLA) avec mesures.
  • Notifications d'incident dans des délais précis.
  • Obligations de coopération en cas d'enquête réglementaire.
  • Droit d'audit du client (et des autorités).
  • Mesures de sécurité de l'information.
  • Plan de continuité.
  • Plan de sortie / assistance à la résolution.

Si vos contrats actuels n'ont pas ces clauses, vos clients vont demander des avenants. Refuser bloque le renouvellement.

Les exigences techniques attendues

Concrètement, votre client va vérifier que vous avez :

Sur la gouvernance

  • Politique sécurité écrite alignée avec les standards (ISO 27001 ou équivalent — voir ISO 27001 pour SaaS B2B).
  • RSSI ou équivalent fonctionnel.
  • Comité de direction sécurité avec sponsor exécutif.

Sur l'opérationnel

  • Plan d'incident et notification client dans les délais DORA.
  • Tests de continuité annuels documentés.
  • Sauvegardes immuables avec test de restauration.
  • Architecture résiliente (RTO/RPO mesurés).

Sur les sous-traitants (4ème niveau)

DORA introduit la notion de TIC en chaîne. Si vous utilisez vous-même un sous-traitant critique (par exemple un hyperscaler pour héberger), votre client va auditer ce niveau aussi. Soit directement, soit en exigeant que vous le gériez.

Sur les tests

  • Pen test annuel minimum.
  • Vulnerability management documenté avec MTTR par criticité.
  • Tableau de bord sécurité partageable avec votre client.

Roadmap pour un éditeur SaaS qui démarre

Mois 1 — Diagnostic

  • Identifier vos clients soumis à DORA.
  • Lire leurs questionnaires DDQ DORA-spécifiques.
  • Faire l'écart par rapport à votre conformité actuelle.

Mois 2-3 — Avenants contractuels

  • Préparer un avenant DORA-compliant à proposer à vos clients soumis.
  • Négocier les délais d'incident, le périmètre d'audit, les engagements de sortie.

Mois 4-6 — Renforcement opérationnel

  • Si vous n'avez pas ISO 27001, démarrer la démarche (12-18 mois pour la certification).
  • Plan d'incident DORA-compliant avec délais 4h / 72h / 1 mois.
  • Tests de continuité et de restauration documentés.

Mois 6-12 — Continuous compliance

  • Outillage continuous compliance (Drata, Vanta) avec module DORA.
  • Reporting régulier à vos clients.
  • Audit annuel partagé.

Coûts et bénéfices

DORA n'est pas gratuit. Pour une scale-up européenne avec 5-10 clients financiers :

  • Mise en conformité initiale : 60-150 k€ (conseil + outils + tests).
  • Coût récurrent : 30-80 k€/an (compliance, audit, tests).

Bénéfices :

  • Maintien des contrats existants (le coût d'un client perdu est généralement plus élevé que la conformité).
  • Différenciation commerciale vs concurrents non-conformes.
  • Posture sécurité globale renforcée.

Articulation avec ISO 27001, NIS2, AI Act

  • ISO 27001 : socle. Une certification ISO 27001 vous fait 70-80% du chemin DORA.
  • NIS2 : recoupements forts. Si vous êtes sous NIS2 et DORA, optimiser conjointement.
  • AI Act : si vous fournissez de l'IA à une entité financière, double conformité (DORA pour le service, AI Act pour l'IA).
  • CRA : pour les composants logiciels embarqués, troisième strate.

Pour 2026-2027, la stack typique d'un SaaS B2B vendant en finance EU est : ISO 27001 + DORA + AI Act. Démarche mutualisée, audit unique avec différents standards à valider en parallèle.

Ce qui passe en 2026-2027

Les ESA (Autorités Européennes de Surveillance) durcissent progressivement les attentes. À surveiller :

  • TLPT obligatoire pour les acteurs systémiques en 2026-2027.
  • Standards de reporting harmonisés en cours de finalisation.
  • Désignation des prestataires TIC critiques (CTPP) par les ESA — concernera les hyperscalers et certains éditeurs majeurs.

Pour le moment, la majorité des SaaS B2B ne sont pas désignés CTPP — vous êtes "prestataires" classiques avec obligations contractuelles. Mais la barre va monter.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéNIS2 transposition France ConformitéCRA roadmap ConformitéISO 42001

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt