Cible · Fintech et SaaS financiers

Cybersécurité fintech — DORA, PCI DSS, ISO 27001, threat modeling IA.

Pour les fintech et SaaS financiers européens, le cumul DORA + PCI DSS 4.0.1 + ISO 27001 + AI Act forme un parcours dense. Cabinet indépendant pour scale-ups et néo-banques, Paris, vendor-neutral.

Réserver une scope-call de 20 min

Le cadre réglementaire fintech en 2026

Le secteur financier européen est l'un des plus régulés au monde. En 2026, six règlements se cumulent :

DORA (règlement UE 2022/2554) — applicable depuis le 17 janvier 2025. Cinq piliers : gestion du risque TIC, reporting incidents, tests de résilience (TLPT pour entités significatives tous les 3 ans), gestion du risque tiers (contrats Article 30), partage threat intel. Sanctions très lourdes pour les entités significatives.

PCI DSS 4.0.1 — applicable depuis mars 2025. Toutes les exigences best practice de la 4.0 sont devenues obligatoires le 31 mars 2025. Si vous traitez, stockez ou transmettez des données de carte (PAN), ou même si vous avez des scripts JavaScript sur la page de paiement (exigence 6.4.3 et 11.6.1).

ISO 27001 — quasi-prérequis client enterprise + facilite 70% de DORA et 60% de PCI DSS.

NIS2 — secteur bancaire = entité essentielle. Notification 24h, gouvernance personnelle des dirigeants.

AI Act — scoring crédit, fraud detection, KYC automatisé sont en haut risque (Annexe III). Application 2 août 2026.

RGPD — toujours là, et particulièrement strict sur les données financières.

Les chantiers types fintech

1. Foundation DORA + ISO 27001. Information Security Management System + alignement Article 6-15 DORA. 12-18 mois. 150-300 K€. C'est la base.

2. PCI DSS Service Provider ou Marchand. Selon votre exposition aux PAN. Pour un SaaS de paiement : SAQ D ou ROC complet par QSA. 30-100 K€/an.

3. Préparation TLPT. Pour les entités financières significatives, un TLPT (Threat-Led Penetration Testing) est obligatoire tous les 3 ans. Préparation : 6-9 mois. Coût TLPT complet : 200-600 K€.

4. AI Act haut risque pour scoring crédit / KYC / fraud detection. Documentation Annexe IV, surveillance humaine, robustesse. 4-6 mois pour la mise en conformité.

5. Contrats Article 30 DORA. Renégociation des contrats avec vos prestataires TIC critiques (cloud, processeur de paiement, KYC SaaS). Effort juridique + technique.

Pour qui c'est pertinent

Trois profils fintech où WeeSec apporte le plus de valeur :

  • Néo-banque ou fintech post-Series A/B (50-300 personnes) qui démarre la conformité DORA + structurer un programme cyber complet.
  • SaaS financier B2B (paie, comptabilité, factoring, KYC, trésorerie d'entreprise) servant des clients régulés (banques, assurances) — soumis indirectement à DORA via les contrats.
  • InsurTech ou WealthTech avec scoring algorithmique en production — AI Act haut risque + DORA + ISO 27001.

Les fintech de plus de 500 personnes ont généralement un RSSI interne et une fonction cyber dédiée — WeeSec intervient alors en mission ad-hoc ciblée (audit, AI Act, ISO 42001).

Combien ça coûte

Programme cyber fintech complet (DORA + ISO 27001 + PCI DSS + AI Act) sur 18-24 mois pour une scale-up 50-300 personnes : 250-600 K€.

RSSI externalisé fintech (forfait certification + DORA pilotage) : 12-18 K€ HT/mois.

Audit DORA seul (gap analysis + plan d'action) : 25-50 K€ HT.

Préparation TLPT (coordination, threat lead, identification du périmètre opérationnel critique) : 40-100 K€ HT.

Audit code source spécifique fintech (PCI DSS scope, scripts JS pages de paiement, OWASP ASVS L2) : 25-60 K€ HT.

Cadrage direct, sans engagement.

Une scope-call de 20 minutes pour qualifier votre besoin et vous fournir un devis ferme.

Réserver un échange Calendly

Articles connexes

ConformitéDORA pour SaaS financiers : roadmap 2026 ConformitéPCI DSS 4.1 : changements 2026 ConformitéISO 27001 SaaS B2B : roadmap 12 mois ConformitéAI Act haut risque : application août 2026
FAQ

Questions fréquentes.

Mon SaaS B2B sert des banques. Suis-je soumis à DORA ?

Indirectement, oui. DORA s'applique aux entités financières et à leurs prestataires TIC critiques. Si vous fournissez un SaaS critique à une banque ou une assurance européenne, votre client va vous demander de signer un addendum Article 30 (clauses obligatoires : description des services, lieu de traitement, droits d'audit, exit strategy, sous-traitance encadrée). Refuser ces clauses = perdre le client.

Combien coûte un TLPT DORA ?

Un TLPT complet (Threat-Led Penetration Testing) coûte 200-600 K€ selon la complexité du périmètre opérationnel critique. Préparation : 6-9 mois (documentation, threat lead certifié TIBER, coordination avec les prestataires TIC critiques, désignation périmètre). Obligatoire tous les 3 ans pour les entités significatives DORA.

PCI DSS 4.0.1 s'applique-t-il à mon e-commerce SaaS ?

Oui, dès que vous traitez, stockez ou transmettez des données de carte. Même en redirection PSP (Stripe, Adyen) avec SAQ A, l'exigence 6.4.3 et 11.6.1 de PCI DSS 4.0 (scripts JavaScript sur les pages de paiement) vous concerne depuis mars 2025. Aucun e-commerce moderne n'est totalement hors scope PCI DSS.

Le scoring crédit IA est-il à haut risque AI Act ?

Oui. L'Annexe III AI Act classe explicitement le scoring crédit, l'évaluation de solvabilité, et la détection automatique de fraude comme systèmes à haut risque. Application au 2 août 2026. Obligations : système qualité (Article 17), documentation Annexe IV, gestion du risque (Article 9), surveillance humaine, robustesse. ISO 42001 facilite la conformité.

Comment articuler DORA et NIS2 ?

DORA est lex specialis sur le secteur financier. Pour les entités financières, DORA prime sur NIS2 (article 1 DORA). Mais les obligations sont en grande partie convergentes (gestion du risque TIC, notification d'incident, gestion supply chain). Une approche pooled DORA/NIS2 économise 30-40% vs deux démarches séparées.

Quelle expertise WeeSec sur la fintech ?

Aroua Biri a accompagné des grands comptes financiers (BNP Paribas, Société Générale, AXA, Allianz) sur la sécurité produit et les certifications pendant 15+ ans. La pratique fintech actuelle se concentre sur les scale-ups post-Series A/B qui doivent industrialiser leur conformité DORA + ISO 27001 + AI Act sans alourdir leur roadmap produit.

À propos

Aroua Biri — fondatrice WeeSec, ingénieure docteure en cybersécurité

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt