DORA10 min de lectureMis à jour mars 2026

Tests de résilience DORA : exigences et TLPT expliqués

DORA impose des tests réguliers des systèmes TIC pour valider que les entités financières peuvent résister aux perturbations. Les exigences de tests vont des évaluations de vulnérabilité de base pour toutes les entités aux tests de pénétration avancés guidés par les menaces (TLPT) pour les institutions d'importance systémique.

Robin Coste

•

Co-founder

Robin is a co-founder of Bastion, bringing extensive experience in compliance automation and security strategy. Previously, he led compliance as a tech lead at Palantir. He helps startups navigate the complexities of SOC 2 and ISO 27001 certification.

SOC 2ISO 27001Compliance AutomationSecurity Strategy

Les tests ne sont pas optionnels sous DORA. Ils servent de mécanisme de validation pour l'ensemble de votre cadre de gestion des risques TIC, prouvant que vos contrôles fonctionnent réellement dans des conditions réalistes.

Points clés

Point	Résumé
Toutes les entités testées	Chaque entité concernée doit effectuer des tests réguliers appropriés à son profil de risque
Programme de tests annuel	Les non-microentreprises ont besoin d'un programme de tests annuel couvrant les systèmes critiques
TLPT pour les entités significatives	Les institutions d'importance systémique doivent subir des tests de pénétration guidés par les menaces tous les 3 ans
Inclusion des tiers	Les prestataires TIC supportant les fonctions critiques doivent participer aux tests
Tests indépendants	Certains tests doivent être effectués par des parties indépendantes

Réponse rapide : DORA exige de toutes les entités financières qu'elles testent leurs systèmes TIC régulièrement, avec une sophistication des tests adaptée à la taille et à l'importance systémique de l'entité. Les exigences de base incluent les évaluations de vulnérabilité, les tests de sécurité réseau et les analyses d'écarts. Les entités plus grandes doivent mettre en œuvre des programmes de tests annuels complets. Les institutions les plus significatives doivent subir des tests de pénétration guidés par les menaces (TLPT), un exercice red team contrôlé contre les systèmes de production en direct, au moins tous les trois ans.

Vue d'ensemble des exigences de tests

DORA établit des exigences de tests par paliers selon les caractéristiques de l'entité :

Type d'entité	Exigences de tests
Toutes les entités concernées	Tests appropriés basés sur le profil de risque
Non-microentreprises	Programme de tests annuel couvrant les systèmes critiques
Significatives/d'importance systémique	Tests de pénétration guidés par les menaces (TLPT) au moins tous les 3 ans

Proportionnalité dans les tests

Les exigences de tests s'adaptent selon :

La taille et la complexité de l'entité
La nature et la criticité des services
Le profil de risque TIC
L'impact potentiel sur la stabilité financière

Une petite fintech aura des obligations de tests différentes d'une banque d'importance systémique, mais les deux doivent tester de manière appropriée.

Exigences de tests de base

Toutes les entités concernées doivent effectuer des tests appropriés à leur profil de risque.

Types de tests de base

Type de test	Description
Évaluations de vulnérabilité	Identification systématique des faiblesses de sécurité dans les systèmes et applications
Évaluations de sécurité réseau	Évaluation de l'architecture réseau, des configurations et des contrôles
Analyses d'écarts	Comparaison de l'état actuel avec les exigences et les bonnes pratiques
Revues de sécurité physique	Évaluation de la sécurité des centres de données et installations
Tests de sécurité logicielle	Revues de code source, tests de sécurité applicative
Tests basés sur des scénarios	Simulation de scénarios d'incidents spécifiques
Tests de compatibilité	Vérification que les systèmes fonctionnent correctement ensemble
Tests de performance	Évaluation du comportement des systèmes sous charge

Fréquence des tests

Bien que DORA ne prescrive pas de fréquences spécifiques pour tous les types de tests, les tests doivent être :

Réguliers et appropriés au risque
Déclenchés par des changements significatifs
Mis à jour selon les menaces émergentes
Documentés et suivis

Programme de tests annuel

Les non-microentreprises doivent établir et maintenir un programme de tests annuel complet.

Exigences du programme

Élément	Description
Périmètre	Tous les systèmes et applications TIC critiques
Couverture	Gamme de types de tests basée sur l'évaluation des risques
Indépendance	Tests par des parties sans conflit d'intérêts
Documentation	Plans de tests, résultats et suivi des remédiations
Reporting	Rapports à la direction sur les résultats des tests

Approche basée sur les risques

Le programme de tests doit prioriser :

Les systèmes supportant les fonctions critiques ou importantes
Les systèmes exposés à Internet
Les systèmes traitant des données sensibles
Les systèmes récemment modifiés
Les systèmes avec des vulnérabilités connues

Méthodologie de tests

Les tests doivent suivre des standards et méthodologies reconnus :

Outils de scan de vulnérabilité standards de l'industrie
Cadres de tests de pénétration reconnus
Procédures de test documentées
Formats de reporting cohérents

Tests de pénétration guidés par les menaces (TLPT)

Le TLPT représente la forme la plus avancée de tests sous DORA, requise pour les entités financières d'importance systémique.

Qu'est-ce que le TLPT ?

Le TLPT est défini à l'article 3(17) de DORA comme :

« Un cadre qui imite les tactiques, techniques et procédures d'acteurs malveillants réels perçus comme constituant une véritable cybermenace, qui délivre un test contrôlé, sur mesure, guidé par le renseignement (red team) des systèmes de production en direct critiques de l'entité financière. »

Caractéristiques clés

Caractéristique	Description
Guidé par le renseignement	Basé sur le renseignement actuel sur les menaces spécifiques à l'entité
Exécution red team	Simulation d'adversaire par des testeurs offensifs qualifiés
Production en direct	Tests contre les systèmes de production réels, pas les environnements de test
Périmètre complet	Couvre l'organisation entière, pas seulement des systèmes spécifiques
Défenseurs non informés	L'équipe bleue (défenseurs) n'est pas informée pendant les tests
Contrôlé	Géré avec des garanties appropriées

TLPT vs tests de pénétration traditionnels

Aspect	Pentest traditionnel	TLPT
Périmètre	Systèmes ou applications spécifiques	Organisation entière
Approche	Identification des vulnérabilités	Simulation d'adversaire
Renseignement	Hypothèses de menaces génériques	Renseignement sur mesure
Durée	Jours à semaines	Mois
Défenseurs	Peuvent être informés	Non informés (furtif)
Objectif	Trouver des vulnérabilités	Tester la résilience de bout en bout

Qui doit subir le TLPT ?

Les autorités compétentes désignent les entités financières pour le TLPT selon :

L'importance systémique
L'impact sur la stabilité financière
Le profil de risque TIC
La maturité des cyberdéfenses
La criticité des services fournis

Les critères incluent :

Les établissements de crédit significatifs sous supervision BCE (tels que définis à l'article 6(4) du règlement (UE) n° 1024/2013)
Les contreparties centrales et dépositaires centraux de titres
Les grands établissements de paiement
Les opérateurs d'infrastructures critiques

Fréquence du TLPT

Les entités désignées doivent subir un TLPT au moins tous les 3 ans. Les autorités compétentes peuvent ajuster cette fréquence selon :

Les changements de profil de risque
Les incidents significatifs
Les résultats des tests
Les changements organisationnels

Périmètre du TLPT

Le TLPT doit couvrir :

Les fonctions critiques ou importantes
Les systèmes de production en direct supportant ces fonctions
Les services TIC fournis par des tiers (avec leur participation)
Les processus organisationnels et personnes pertinents

Équipes de tests

Le TLPT implique plusieurs équipes :

Équipe	Rôle
Équipe de contrôle	Équipe interne gérant le test, assure la sécurité
Fournisseur de renseignement sur les menaces	Délivre le renseignement sur mesure
Red team	Exécute la simulation d'adversaire
Blue team	Défenseurs (non informés pendant les tests)

Testeurs internes vs externes

DORA permet les testeurs internes mais avec des conditions :

Les tests internes sont autorisés pour 2 TLPT sur 3
Des testeurs externes doivent être utilisés tous les trois TLPT
Le renseignement sur les menaces doit toujours provenir de fournisseurs externes
Les établissements de crédit significatifs doivent toujours utiliser des red teams externes
Les testeurs internes doivent répondre aux exigences d'indépendance

Purple teaming

DORA impose une phase de purple teaming après l'achèvement du TLPT :

La red team partage ses conclusions avec la blue team
Analyse conjointe des chemins d'attaque et des défenses
Transfert de connaissances pour améliorer les défenses futures
Opportunité de formation pour les défenseurs

Résultats et remédiation du TLPT

Suite au TLPT :

Activité	Description
Soumission du rapport	Rapport de synthèse à l'autorité compétente
Planification de la remédiation	Plan pour traiter les vulnérabilités identifiées
Attestation	L'autorité compétente confirme l'achèvement du TLPT
Suivi	Revue de surveillance des progrès de remédiation

Tests des prestataires TIC tiers

Lorsque des fonctions critiques ou importantes sont supportées par des prestataires TIC tiers :

Participation des prestataires

Les prestataires doivent participer aux tests, y compris le TLPT
Les arrangements contractuels doivent exiger la coopération aux tests
Des tests groupés peuvent être utilisés lorsque les tests individuels sont impraticables
Les résultats des tests doivent être disponibles pour l'entité financière

Exigences contractuelles

Assurez-vous que les contrats avec les prestataires TIC incluent :

Les obligations de coopération aux tests
L'accès pour les activités de tests
La participation au TLPT le cas échéant
Les engagements de remédiation

Documentation et reporting des tests

Exigences de documentation

Tous les tests doivent être documentés :

Plans et périmètre des tests
Méthodologies utilisées
Conclusions et niveaux de gravité
Recommandations
Plans de remédiation
Suivi du statut

Reporting à la direction

Les résultats des tests doivent être rapportés à :

La fonction de gestion des risques TIC
La direction
L'organe de direction (pour les conclusions significatives)
Le comité d'audit

Reporting réglementaire

Pour le TLPT :

Rapports de synthèse soumis à l'autorité compétente
Plans de remédiation partagés sur demande
Attestation d'achèvement obtenue

Questions fréquentes

Comment savoir si mon entreprise doit subir un TLPT sous DORA ?

Votre autorité compétente vous notifiera si vous êtes désigné pour le TLPT. Les critères de désignation incluent l'importance systémique, le profil de risque et l'impact potentiel sur la stabilité financière. Si vous pensez être susceptible d'être désigné, engagez-vous proactivement avec votre superviseur.

Peut-on utiliser les mêmes testeurs pour des tests consécutifs ?

DORA n'interdit pas d'utiliser la même société de tests, mais vous devriez faire tourner les testeurs pour assurer des perspectives nouvelles. Pour le TLPT, des testeurs externes doivent être utilisés tous les trois tests.

Quelles qualifications les testeurs doivent-ils avoir ?

Les testeurs doivent avoir des qualifications professionnelles et une expérience appropriées. Pour le TLPT, les testeurs doivent répondre aux critères établis dans les RTS, incluant compétence technique, indépendance et assurance responsabilité professionnelle.

Comment coordonner le TLPT avec les prestataires TIC ?

Les arrangements contractuels doivent exiger la participation des prestataires au TLPT. Coordonnez le calendrier et le périmètre avec les prestataires à l'avance via l'équipe de contrôle. Assurez-vous que des accords de non-divulgation protègent les conclusions sensibles.

Que se passe-t-il si les tests révèlent des vulnérabilités critiques ?

Les vulnérabilités critiques découvertes pendant les tests doivent être remédiées selon des priorités basées sur les risques. Documentez les conclusions, développez un plan de remédiation, suivez les progrès et vérifiez l'efficacité de la remédiation par des retests.

Comment Bastion peut vous aider

Bastion accompagne les entités financières pour répondre aux exigences de tests DORA :

Conception du programme de tests : Développement de programmes de tests annuels complets
Évaluations de vulnérabilité : Coordination et supervision des scans de vulnérabilité
Tests de pénétration : Gestion des engagements de tests de pénétration
Préparation au TLPT : Évaluation de préparation et préparation aux tests guidés par les menaces
Support à la remédiation : Conseils pour traiter les vulnérabilités identifiées
Gouvernance des tests : Établissement de politiques et procédures de tests

Prêt à renforcer vos capacités de tests de résilience ? Parlez à notre équipe

Sources

Articles 24-27 de DORA - Exigences de tests de résilience opérationnelle numérique
RTS des AES sur le TLPT - Normes techniques pour les tests de pénétration guidés par les menaces
Cadre TIBER-EU - Cadre BCE qui a influencé les exigences TLPT de DORA

← PrécédentSignalement des incidents DORA : délais et exigences Suivant →Gestion des risques tiers DORA : exigences pour les prestataires TIC

Retour aux guides DORA

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company