Tests TLPT DORA : tests de pénétration fondés sur la menace

02L'essentiel

Ce qu'il faut retenir

Le pilier « tests de résilience » prévoit, pour certaines entités, des tests de pénétration fondés sur la menace (TLPT). En France, l'autorité compétente (Banque de France, ACPR, AMF, et la BCE pour les établissements de crédit importants) identifie ces entités par une lettre dédiée. La liste n'est pas rendue publique.

03En détail

Ce que le règlement implique ici

Tous les tests de résilience prévus par DORA ne se valent pas. Le règlement (UE) 2022/2554 distingue un socle de tests réguliers, applicable largement, et les tests de pénétration fondés sur la menace (TLPT), réservés à certaines entités présentant une importance pour la stabilité financière.

La liste des entités soumises au TLPT n'est pas publique. En France, l'autorité compétente (Banque de France, ACPR et AMF, ainsi que la BCE pour les établissements de crédit importants) identifie ces entités et les contacte bilatéralement par une lettre dédiée. Tant qu'une entité n'est pas identifiée, elle n'a pas à conduire de TLPT à ce titre.

Pour les entités concernées, un TLPT est un exercice exigeant qui se prépare : périmètre des fonctions critiques, scénarios fondés sur la menace réelle, et coordination avec l'autorité. Le cadre s'inscrit dans la continuité des approches européennes de tests fondés sur la menace.

Ce qu'est un test de pénétration fondé sur la menace

Le test de pénétration fondé sur la menace (TLPT, Threat-Led Penetration Testing) est la forme la plus avancée des tests de résilience prévus par le règlement (UE) 2022/2554. Il ne s'agit pas d'un audit de configuration ni d'un scan de vulnérabilités classique, mais d'un exercice offensif réaliste : des équipes simulent des attaques inspirées de menaces réelles contre les systèmes en production, afin d'éprouver la capacité de l'entité à détecter, contenir et se rétablir face à un adversaire déterminé.

Ce niveau d'exigence ne s'applique pas à toutes les entités financières. DORA distingue un socle de tests réguliers du dispositif TIC, applicable largement, et le TLPT, réservé à certaines entités présentant une importance pour la stabilité financière. Cette gradation relève du pilier « tests de résilience opérationnelle numérique » et s'inscrit dans la démarche de conformité DORA de l'entité concernée. Le détail des tests de résilience DORA précise ce qui distingue le socle commun de cet exercice renforcé.

Qui est concerné, et comment l'entité l'apprend

Une particularité du TLPT mérite d'être comprise : la liste des entités qui y sont soumises n'est pas rendue publique. Aucune entité ne peut donc déduire son statut de la lecture d'un texte ou d'une liste officielle. C'est l'autorité compétente qui identifie les entités concernées, au regard notamment de leur importance pour la stabilité financière, puis les contacte de façon bilatérale.

En France, cette identification relève de l'autorité compétente, c'est-à-dire la Banque de France, l'ACPR et l'AMF, ainsi que la BCE pour les établissements de crédit importants. L'entité retenue est avertie par une lettre d'identification dédiée. Tant qu'une entité n'a pas reçu cette notification, elle n'a pas à conduire de TLPT à ce titre, ce qui ne la dispense évidemment pas des tests de résilience réguliers qui composent le socle commun. Savoir où l'on se situe dans ce dispositif fait partie des premiers repères à poser dans une mise en conformité DORA bien menée.

Un exercice qui se prépare longtemps à l'avance

Pour une entité identifiée, un TLPT n'est pas une formalité ponctuelle mais un projet structurant qui mobilise plusieurs fonctions. Il faut délimiter le périmètre des fonctions critiques ou importantes à éprouver, construire des scénarios fondés sur le renseignement de menace réel plutôt que sur des hypothèses théoriques, et coordonner l'ensemble avec l'autorité compétente tout au long de l'exercice. Les enseignements tirés du test alimentent ensuite les plans de remédiation et le dispositif de gestion du risque lié aux TIC.

Sur le plan méthodologique, le cadre TLPT de DORA s'inscrirait dans la continuité des approches européennes de tests fondés sur la menace, dont le référentiel TIBER-EU est l'illustration la plus connue. Cette filiation est cohérente avec l'esprit du dispositif, mais nous la présentons avec prudence : elle n'est pas reprise telle quelle comme un fait dans les sources officielles que nous citons. Pour les entités non concernées par le TLPT, l'effort se concentre sur la robustesse des tests réguliers, sujet abordé dans nos repères sur les obligations de conformité au règlement DORA.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit de conformité DORA pose le point de départ documenté de votre démarche.