Articles DORA de WeeSec
- DORA pour SaaS financiers : roadmap 2026
- PCI DSS 4.0.1 : changements 2026
- ISO 27001 SaaS B2B : roadmap 12 mois
- Gérer un incident cyber en 7 étapes
- NIS2 transposition France
Questions fréquentes sur DORA
Qu'est-ce que DORA et qui est concerné ?
DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est applicable depuis le 17 janvier 2025. Il concerne 21 catégories d'entités financières (banques, assurances, gestionnaires d'actifs, fintech) ET leurs prestataires TIC critiques. Un SaaS qui sert un client financier en Europe est indirectement soumis aux exigences DORA via ses contrats.
Quels sont les 5 piliers de DORA ?
(1) Gestion des risques TIC — gouvernance, identification, protection, détection. (2) Gestion et reporting des incidents TIC majeurs aux autorités. (3) Tests de résilience opérationnelle — TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités significatives. (4) Gestion des risques liés aux prestataires TIC — DDQ, contrats, surveillance. (5) Partage d'informations sur les cyber-menaces.
Mon SaaS doit-il signer un addendum DORA ?
Oui, si vous servez une entité financière européenne. Les contrats doivent intégrer les clauses obligatoires de l'Article 30 : description des services, lieu de traitement, niveaux de service, droits d'audit, exit strategy, sous-traitance encadrée, coopération avec les autorités. Refuser ces clauses revient à perdre le client financier.
Comment se préparer à un test TLPT DORA ?
Documenter le périmètre opérationnel critique, identifier les actifs TIC essentiels, coordonner avec les prestataires (les TLPT incluent leur périmètre), désigner un threat lead (interne ou externe certifié TIBER), prévoir 6 à 9 mois de préparation. Le coût d'un TLPT complet : 200 à 600 K€ selon la complexité.
Quelles différences entre DORA et NIS2 ?
DORA est lex specialis sur le secteur financier (Article 1 DORA). Pour les entités financières, DORA prime sur NIS2 mais les obligations sont en grande partie convergentes. DORA est plus précis et contraignant sur les TIC : Article 30 (contrats), TLPT, classification des prestataires critiques. NIS2 est un cadre plus large (18 secteurs) avec moins de précision technique.
Comment articuler DORA et ISO 27001 ?
ISO 27001:2022 couvre environ 60% des exigences techniques DORA (gestion du risque, gestion des accès, cryptographie, supply chain). Pour une fintech ou un SaaS financier : ISO 27001 d'abord (foundation ISMS), puis DORA en 6-9 mois additionnels. Bundle ISO 27001 + DORA sur 18 mois économise 30-40% vs deux démarches séparées.
Offres dédiées sur ce sujet
Au-delà du guide ci-dessus, voici les prestations WeeSec qui adressent directement la conformité DORA.