DORA : tests de résilience opérationnelle numérique

Le règlement (UE) 2022/2554, dit DORA, ne se contente pas d'exiger un dispositif de gestion du risque lié aux technologies de l'information et de la communication (TIC) : il impose de le mettre à l'épreuve. Le troisième pilier du texte, consacré aux tests de résilience opérationnelle numérique, transforme la conformité en démonstration concrète, et non en simple documentation.

Tester, dans la logique de DORA, c'est vérifier que les plans de continuité et de reprise tiennent face à un incident réel, et que les fonctions critiques restent disponibles. Ce pilier distingue deux niveaux d'exigence : un programme de tests réguliers applicable largement, et un régime renforcé réservé à certaines entités.

Des tests réguliers du dispositif TIC

Le premier niveau concerne l'ensemble du dispositif. DORA attend des entités financières qu'elles conduisent des tests réguliers de leurs outils, systèmes et procédures TIC, afin d'identifier les faiblesses, les défaillances et les écarts avant qu'un incident ne les révèle. Ces tests ne sont pas un exercice ponctuel mais un programme continu, intégré à la gouvernance du risque TIC.

L'intérêt de la démarche dépasse la conformité formelle : un test bien mené produit des preuves opposables à un superviseur et alimente les plans de remédiation. Tester sans documenter ni corriger reviendrait à manquer l'objectif du pilier.

Le TLPT, un régime renforcé pour certaines entités

Au-dessus de ce socle, le règlement prévoit un régime renforcé : les tests de pénétration fondés sur la menace, désignés par l'acronyme TLPT (Threat-Led Penetration Testing). Il s'agit de simuler des attaques réalistes, calquées sur les scénarios de menace pertinents pour l'entité, afin d'éprouver les systèmes en conditions proches du réel.

Ce régime ne s'applique pas à tout le monde. DORA le réserve à certaines entités, celles présentant une importance pour la stabilité financière. La sélection repose sur des critères tenant à la nature, à la taille et au profil de risque de l'entité, et relève des autorités compétentes.

Une liste confidentielle et une lettre d'identification

Particularité notable du dispositif : la liste des entités soumises au TLPT n'est pas rendue publique. Une organisation ne peut pas, en consultant un registre ouvert, savoir si elle est concernée. C'est l'autorité compétente qui prend l'initiative et contacte bilatéralement les entités visées, par une lettre d'identification.

En France, plusieurs autorités interviennent selon les cas : la Banque de France, l'ACPR et l'AMF, ainsi que la Banque centrale européenne pour les établissements de crédit importants placés sous sa supervision directe. Une entité qui s'interroge sur son éventuel assujettissement ne peut donc pas trancher seule la question ; elle attend, le cas échéant, d'être identifiée par son superviseur.

TLPT et cadres européens existants

Le TLPT n'apparaît pas dans un vide méthodologique. L'Union européenne disposait déjà, avant DORA, d'un référentiel de tests fondés sur la menace, TIBER-EU, élaboré sous l'égide de la Banque centrale européenne. Le cadre TLPT du règlement s'inscrirait dans la continuité de cette approche, dont il partage la philosophie de scénarios pilotés par le renseignement sur la menace. Cette filiation, souvent évoquée, mérite d'être confirmée au regard des textes d'application avant d'être tenue pour acquise ; les normes techniques précisant le TLPT sont élaborées par les autorités européennes de surveillance.

Du test à la résilience démontrée

Les tests de résilience sont le moment où DORA cesse d'être un corpus de règles pour devenir une mesure de la réalité opérationnelle. Tests réguliers pour toutes les entités dans le champ, TLPT pour quelques-unes désignées discrètement : dans les deux cas, l'enjeu est de transformer un dispositif théorique en capacité prouvée à encaisser un incident. C'est précisément là que se joue la conformité DORA en matière de cybersécurité, qui ne se satisfait d'aucun document de façade. Replacer ces tests dans une trajectoire de mise en conformité DORA complète permet d'en faire un levier de robustesse plutôt qu'une contrainte isolée.

Poursuivre la lecture

Poursuivre la lecture