🏢 Entreprise & conformité

DORA, ISO 27001, RGPD, Green IT : le panorama conformité pour votre entreprise

Entre DORA pour la finance, ISO 27001 exigée dans les appels d'offres, le RGPD pour tous et le Green IT qui monte, difficile de s'y retrouver. Panorama clair de qui doit quoi - et du point commun à toutes ces exigences.

Publié le 2 juillet 2026 · 4 min de lecture

Le mille-feuille réglementaire cyber s'épaissit chaque année : NIS2, DORA, RGPD, ISO 27001, et maintenant les exigences environnementales du numérique. Pour un dirigeant de PME ou d'ETI, la vraie question n'est pas de tout connaître par cœur, mais de savoir lesquels de ces cadres s'appliquent à vous, ce qu'ils exigent concrètement - et ce qu'ils ont en commun. Panorama sans jargon.

DORA : la résilience numérique du secteur financier

Le règlement européen DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025. Il concerne le secteur financier au sens large : banques, assurances et mutuelles, sociétés de gestion, établissements de paiement, prestataires crypto - ainsi que leurs prestataires informatiques critiques, ce qui étend son effet bien au-delà de la finance.

Ses cinq piliers : gestion des risques informatiques, notification des incidents majeurs aux autorités (ACPR/AMF en France), tests de résilience réguliers, encadrement strict des prestataires tiers, et partage d'informations sur les menaces.

Point souvent manqué : l'article 13 impose des programmes de sensibilisation à la sécurité et des formations à la résilience numérique obligatoires pour tout le personnel, dirigeants compris. Ce n'est pas une recommandation, c'est un module obligatoire du plan de formation.

ISO 27001 : volontaire sur le papier, imposée par le marché

ISO 27001 n'est pas une loi : c'est une certification volontaire de votre système de management de la sécurité de l'information (SMSI). Mais dans les faits, elle devient une condition d'accès au marché : les grands donneurs d'ordre l'exigent de plus en plus dans leurs appels d'offres, et les questionnaires sécurité qu'ils envoient à leurs fournisseurs en reprennent la structure.

La version 2022 de la norme comporte un contrôle explicitement dédié à la sensibilisation et la formation du personnel (contrôle 6.3) : impossible d'être certifié sans programme de sensibilisation documenté, suivi et régulier. Les auditeurs demandent des preuves : taux de participation, dates, contenus.

RGPD : le socle commun à toutes les entreprises

Contrairement aux précédents, le RGPD s'applique à toute organisation qui traite des données personnelles - c'est-à-dire toutes, ne serait-ce que pour la paie. Côté conformité, les fondamentaux : registre des traitements, contrats de sous-traitance (article 28), notification des violations à la CNIL sous 72 h, et jusqu'à 4 % du chiffre d'affaires mondial en sanction.

Le principe d'accountability (responsabilité démontrable) implique de former les équipes : la CNIL cite systématiquement la sensibilisation des collaborateurs parmi les mesures attendues, et une violation causée par un salarié jamais formé pèse lourd dans l'appréciation d'un manquement.

Green IT : la vague qui arrive

Le numérique responsable est le cadre le plus jeune, mais il avance vite en France :

  • La loi REEN (réduction de l'empreinte environnementale du numérique) impose déjà aux grandes collectivités une stratégie numérique responsable - et les entreprises qui travaillent avec le secteur public voient ces critères apparaître dans les appels d'offres.
  • La directive CSRD intègre progressivement le reporting de durabilité des grandes entreprises (calendrier en cours de simplification au niveau européen), et l'empreinte du numérique fait partie des sujets scrutés.
  • Au-delà de l'obligation : allonger la durée de vie du parc informatique et rationaliser les usages, c'est aussi réduire les coûts et la surface d'attaque. Green IT et sécurité convergent.

Pour la plupart des PME, il n'y a pas encore d'obligation directe - mais s'y préparer maintenant, notamment en sensibilisant les équipes, coûte peu et se valorise déjà commercialement (RSE, notation fournisseurs).

Le dénominateur commun : le facteur humain

Relisez les quatre cadres ci-dessus - et ajoutez NIS2, que nous avons détaillée ici : tous exigent ou valorisent la formation des collaborateurs. Ce n'est pas un hasard : la grande majorité des incidents de sécurité commence par une action humaine, un clic sur un email de phishing en tête. Le régulateur le sait, les auditeurs le savent, les assureurs cyber aussi - la plupart conditionnent désormais leurs polices à un programme de sensibilisation.

En clair : quel que soit le cadre qui vous concerne, la sensibilisation des équipes est le seul investissement conforme à tous à la fois - et celui dont les preuves (taux de complétion, attestations, résultats de tests) sont les plus simples à produire en audit.

Par où commencer, concrètement

  1. Qualifiez votre exposition : secteur financier → DORA ; secteur ou taille NIS2 → NIS2 ; appels d'offres exigeants → ISO 27001 ; dans tous les cas → RGPD.
  2. Lancez un programme de sensibilisation mesurable : des parcours suivis par collaborateur, avec des preuves exportables - pas une réunion annuelle dont il ne reste rien.
  3. Testez le réel : une simulation de phishing établit votre niveau de risque humain de départ et documente les progrès, chiffres à l'appui.
  4. Gardez des traces de tout : en conformité, ce qui n'est pas documenté n'existe pas.

C'est exactement le périmètre de Cyvio Business : parcours cyber, RGPD et Green IT suivis par collaborateur, simulations de phishing, attestations auditables et rapports de conformité exportables (RGPD, NIS2, ISO 27001) - hébergé en France, avec un ingénieur cybersécurité en exercice comme interlocuteur direct.

L'équipe Cyvio

Articles rédigés par le fondateur de Cyvio, ingénieur cybersécurité en exercice. Chaque conseil vient du terrain : les attaques décrites ici sont celles que nous voyons réellement circuler.

Sauriez-vous repérer une arnaque ?

Testez-vous en 1 minute sur 5 vrais exemples de SMS et d'emails - gratuit, sans compte.

🎣 Faire le test anti-phishing

À lire aussi