4 min de lecture

DORA exige des tests de pénétration pilotés par les menaces (Threat-Led Penetration Tests, TLPT) réguliers sur les systèmes en production pour les établissements financiers systémiquement importants. Pas de laboratoire d’essai, pas de bac à sable : des attaques réelles sur une infrastructure réelle, sans que l’équipe « Blue Team » n’en soit informée. Les premières notifications officielles des autorités de surveillance interviendront en 2026. Pour les DSI du secteur financier qui ne se sont pas encore préparés, un problème aux délais très courts se profile.

L’essentiel

Ce qui distingue le TLPT d’un test de pénétration classique

La plupart des entreprises connaissent les tests de pénétration : une équipe externe examine des systèmes définis à la recherche de vulnérabilités, documente les résultats et formule des recommandations. Ce type de test s’effectue sur des systèmes de test ou dans un périmètre strictement délimité ; l’équipe interne de sécurité informatique (« Blue Team ») en est informée, et les résultats sont intégrés au prochain rapport d’audit.

Le TLPT dans le cadre de DORA est fondamentalement différent. Trois dimensions le distinguent des tests de pénétration conventionnels. Premièrement : la confidentialité. L’équipe « Blue Team », c’est-à-dire l’équipe interne de sécurité informatique, ignore totalement que le test est en cours. Seul un petit cercle au sein de la direction générale est informé (le « White Team »). Deuxièmement : les systèmes en production. Le test est réalisé directement sur l’infrastructure réelle, et non sur des copies ou des environnements de test. Les risques sont réels, les résultats sont significatifs, et une erreur commise par l’équipe « Red Team » peut avoir des conséquences concrètes. Troisièmement : la priorité donnée à l’intelligence sur les menaces. Avant toute action de l’équipe « Red Team », un prestataire externe spécialisé en intelligence sur les menaces analyse la situation spécifique en matière de menaces pesant sur l’établissement. L’attaque simule des acteurs malveillants réels avec leurs tactiques réelles, et non un scénario générique.

L’effort requis est donc considérable : un cycle complet de TLPT dure de 6 à 12 mois. La seule phase de l’équipe « Red Team » a une durée minimale de 12 semaines calendaires. S’y ajoutent la définition du périmètre (scoping), l’analyse d’intelligence sur les menaces, le « Purple Teaming » (analyse conjointe avec l’équipe « Blue Team » après la fin du test) et la rédaction du rapport final. Pour les DSI qui n’ont jusqu’ici connu que les tests de pénétration standards, le TLPT relève d’une tout autre catégorie.

« Les tests de pénétration pilotés par les menaces permettent aux établissements financiers d’identifier précocement les vulnérabilités et de tester la résilience de leurs systèmes TIC dans des conditions réalistes. »
BaFin, « Simulating attacks to enhance security » (décembre 2024)

Qui doit réaliser un TLPT ?

Toutes les entreprises financières ne sont pas concernées par l’obligation TLPT. DORA limite cette exigence aux établissements dotés d’une importance systémique. Sont précisément concernés : les institutions mondialement systémiquement importantes (G-SIIs) et les institutions nationalement systémiquement importantes (O-SIIs), les établissements ayant traité, chacun, plus de 150 milliards d’euros de transactions de paiement au cours des deux derniers exercices, les dépositaires centraux de titres (CSD) et les contreparties centrales (CCP).

En Allemagne, cela concerne notamment les grands établissements : Deutsche Bank, Commerzbank, DZ Bank, les banques régionales (Landesbanken) ainsi que les assureurs systémiquement importants. Mais certains prestataires spécialisés de services de paiement, dont le volume de transactions dépasse ce seuil, peuvent également être concernés. Les autorités de surveillance (en Allemagne, la BaFin et la Banque fédérale allemande) désignent individuellement les établissements soumis à cette obligation. La première vague de notifications aura lieu en 2026.

Pour les DSI hors du secteur financier, le TLPT reste néanmoins pertinent : la directive NIS2 contient des exigences similaires en matière de tests de sécurité réguliers pour les entités essentielles. La méthodologie TLPT deviendra vraisemblablement, au-delà du cadre de DORA, la référence internationale pour les tests de résilience.

TIBER-DE : le cadre allemand

Le TLPT dans le cadre de DORA repose sur le cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), introduit par la Banque centrale européenne en 2018. En Allemagne, la Banque fédérale allemande implémente ce cadre sous la dénomination TIBER-DE, actuellement en version 4.0 (juillet 2025).

Les exigences de TIBER-DE sont pleinement alignées sur les prescriptions TLPT de DORA, mais imposent dans certains domaines des conditions préalables légèrement plus strictes. La Banque fédérale allemande assure le soutien opérationnel des tests, tandis que la BaFin est l’autorité de surveillance compétente pour les tâches de supervision. Les établissements ayant déjà réalisé un test TIBER-DE disposent d’un avantage substantiel par rapport à ceux qui démarreront à zéro.

À noter pour les DSI : le prestataire d’intelligence sur les menaces doit toujours être externe. Un tiers des tests doit être confié à une équipe « Red Team » externe (les deux autres tiers pouvant être réalisés par une équipe interne, à condition que celle-ci remplisse toutes les exigences de DORA). Le « Purple Teaming » est obligatoire en phase finale. Cela signifie que l’équipe « Red Team » et l’équipe « Blue Team » analysent conjointement ce qui a fonctionné ou non. Cette phase constitue la partie la plus précieuse du test, car elle fournit des améliorations concrètes.

Sources : DORA (UE 2022/2554), EBA Final RTS on TLPT, Banque fédérale allemande, TIBER-DE v4.0

Préparation : ce que les DSI doivent faire dès maintenant

1. Clarifier sa situation de conformité. Votre établissement est-il soumis à l’obligation TLPT ? Les critères sont clairs (G-SII/O-SII, volume de transactions supérieur à 150 milliards d’euros, CSD/CCP). En cas de doute, contactez proactivement la BaFin. Celui qui n’apprendra qu’au moment de la notification officielle qu’il est concerné disposera d’un délai de préparation trop court.

2. Constituer un « White Team ». Le « White Team » pilote le TLPT en interne. Il se compose typiquement du DSI / du Directeur de la sécurité de l’information (CISO), du responsable de la gestion des risques et d’un représentant du comité de direction. Ce « White Team » doit commander le test, définir son périmètre (scope) et garantir la confidentialité vis-à-vis de l’équipe « Blue Team ». Sa composition doit être arrêtée à l’avance, et non seulement au moment de la réception de la notification.

3. Évaluer les prestataires externes. Les prestataires d’intelligence sur les menaces et les prestataires de services « Red Team » doivent être sélectionnés très en amont. La disponibilité de prestataires qualifiés pour le TLPT est limitée, surtout si la première vague de notifications active simultanément de nombreux établissements. Les DSI devraient préparer des contrats-cadres avec au moins deux prestataires. Les critères de qualification incluent notamment : la certification CREST, une expérience avérée avec TIBER, et des références auprès d’établissements comparables.

4. Préparer le périmètre (scope). Le périmètre du TLPT doit couvrir les fonctions métiers critiques et les systèmes informatiques qui les supportent. Cela suppose une documentation actualisée des services critiques, de l’infrastructure sous-jacente et des dépendances. Les établissements qui n’ont pas mis à jour leur architecture de cybersécurité auront des difficultés à définir ce périmètre.

5. Évaluer la résilience interne. Le TLPT met en lumière des faiblesses devant ensuite être corrigées. Les DSI devraient combler avant le test les lacunes évidentes : systèmes non mis à jour, absence de segmentation réseau, droits d’accès obsolètes. Non pas pour « réussir » le test, mais parce que ces failles constituent des risques réels. Un TLPT qui ne détecte que des vulnérabilités triviales gaspille le budget sur des évidences, au lieu de se concentrer sur les risques subtils qui apportent la véritable valeur ajoutée.

Ce qui suit le test

Le TLPT ne se termine pas avec la remise du rapport final. Les résultats doivent déboucher sur un plan d’actions concret, dont la mise en œuvre sera suivie par l’autorité de surveillance. La BaFin attend que les vulnérabilités identifiées soient corrigées dans des délais définis. Le comité de direction doit approuver ce plan d’actions et en superviser la mise en œuvre.

Pour les DSI, le TLPT ne représente donc pas une charge ponctuelle, mais un cycle continu d’amélioration. La responsabilité personnelle de la direction générale, prévue par DORA, fait de ce cycle une question stratégique au plus haut niveau. Les DSI qui considèrent le TLPT comme une simple obligation réglementaire contraignante manquent l’essentiel : un test de stress réaliste de leurs propres capacités de défense, que nulle simulation interne ne saurait reproduire.

Questions fréquentes

Source de l’image : Sora Shimazaki / Pexels