Le règlement DORA impose des tests de résilience au secteur financier. Exigences TLPT, calendrier, et comment automatiser les tests de résilience.
Jordan Fredj
20 février 2026
13 min
Loading...
Jordan Fredj
Fondateur, Hacksessible
Le reglement DORA (Digital Operational Resilience Act) est entre en application le 17 janvier 2025 dans l'ensemble de l'Union européenne. Pour le secteur financier - banques, assurances, societes de gestion, prestataires de services de paiement, et leurs fournisseurs critiques de services TIC - DORA représente un changement de paradigme. Ce reglement impose des tests de resilience operationnelle numerique reguliers, incluant des tests d'intrusion avances (TLPT). Ce guide explique les exigences concretes, les echeances, et comment le pentest automatisé par IA peut aider les institutions financieres a se conformer.
Le secteur financier est l'un des plus exposes aux cyberattaques en raison de la valeur des actifs qu'il gere et de son role systemique dans l'economie. Les incidents de cybersécurité dans ce secteur peuvent avoir des consequences en cascade sur l'ensemble du système financier. Les regulateurs européens ont identifié que les cadres existants (NIS, directives sectorielles) ne couvraient pas adequatement les risques numeriques spécifiques au secteur financier.
DORA comble cette lacune en creant un cadre harmonise et detaille pour la resilience operationnelle numerique. Contrairement a la directive NIS2, qui laisse une marge de transposition aux Etats membres, DORA est un reglement directement applicable dans tous les Etats membres de l'UE, sans transposition nationale nécessaire. Cela garantit une application uniforme dans toute l'Union.
DORA s'applique a un large eventail d'entites financieres : les etablissements de credit (banques), les entreprises d'investissement, les etablissements de paiement, les etablissements de monnaie electronique, les entreprises d'assurance et de reassurance, les societes de gestion d'actifs, les fonds de pension, les prestataires de services de crypto-actifs, les agences de notation de credit, et les depositaires centraux de titres.
Un point crucial : DORA s'applique egalement aux fournisseurs tiers critiques de services TIC qui servent le secteur financier. Si vous etes un fournisseur cloud, un editeur de logiciel, ou un prestataire d'infrastructure servant des clients financiers, vous etes potentiellement dans le périmètre de DORA. Ces fournisseurs seront soumis a une supervision directe par les autorites européennes de surveillance (EBA, EIOPA, ESMA).
DORA impose un cadre complet de gestion des risques lies aux TIC. Les entites financieres doivent identifiér, proteger, détectér, repondre et recuperer face aux risques numeriques. Cela inclut la mise en place de politiques de sécurité des TIC, la cartographie de l'infrastructure, la gestion des changements, et la surveillance continue. L'organe de direction est directement responsable de la stratégie de resilience numerique.
Les entites doivent classifier les incidents selon des critères precis et notifier les incidents majeurs aux autorites competentes dans des delais stricts. Un rapport initial doit etre soumis dans les 4 heures suivant la classification de l'incident comme majeur, un rapport intermediaire dans les 72 heures, et un rapport final dans le mois. Ces delais sont encore plus exigeants que ceux de NIS2.
C'est le pilier le plus directement lie au pentest. DORA distingue deux niveaux de tests. Le premier niveau concerne toutes les entites financieres : elles doivent réalisér au minimum annuellement des tests de base incluant des évaluations de vulnérabilités, des analyses de code source, des tests de performance, et des tests de penetration. Le second niveau, les tests TLPT (Threat-Led Penetration Testing), est requis pour les entites financieres les plus significatives, au minimum tous les trois ans.
Les entites financieres doivent gerer les risques lies a leurs fournisseurs de services TIC tout au long du cycle de vie contractuel. Cela inclut l'évaluation prealable des fournisseurs, la contractualisation d'exigences de sécurité, la surveillance continue, et la preparation de stratégies de sortie. Les fournisseurs critiques seront directement supervises par les autorites européennes.
DORA encourage le partage d'informations sur les menaces et vulnérabilités entre entites financieres, dans un cadre securise et conforme. Les entites peuvent conclure des accords de partage d'informations sur les cybermenaces, a condition de proteger les informations sensibles et de respecter la confidentialite.
Les tests TLPT sont la forme la plus avancee de tests de resilience prevue par DORA. Inspires du framework TIBER-EU de la BCE, ces tests simulent des attaques realistes basees sur des renseignements sur les menaces reelles ciblant l'entite financiere. Les TLPT doivent etre réalisés sur des systèmes de production en activité, couvrir les fonctions critiques de l'entite, etre bases sur des scenarios de menaces realistes et actualises, et etre réalisés par des testeurs independants qualifies.
La fréquence minimale est de tous les trois ans. L'autorite competente peut exiger des tests plus frequents pour les entites les plus systemiques. Les résultats des TLPT doivent etre communiques aux autorites, qui peuvent exiger des mesures correctives.
Le pentest automatisé par IA peut jouer un role complementaire dans le cadre des TLPT. Bien que les TLPT requierent une composante humaine (equipe red team), le pentest automatisé peut servir a preparer les TLPT en identifiant les failles les plus critiques en amont, a valider les corrections apres un TLPT, et a maintenir un niveau de tests continu entre deux TLPT. Cette complementarite est essentielle car trois ans entre deux TLPT est une periode longue pendant laquelle l'infrastructure evolue considerablement.
Au-dela des TLPT, DORA impose a toutes les entites financieres des tests de resilience de base au minimum annuellement. Ces tests incluent des évaluations de vulnérabilités, des tests de penetration, et des tests de sécurité des réseaux. Le pentest automatisé par IA est particulierement adapte pour ces tests de base : il offre la rigueur methodologique requise par le regulateur, il produit des preuves reproductibles conformes aux exigences de documentation, il peut etre execute a une fréquence superieure au minimum réglementaire, et son cout permet des tests reguliers sans impact majeur sur le budget.
Les sanctions pour non-conformité a DORA varient selon l'Etat membre et l'autorite competente. Elles peuvent inclure des amendes administratives, des injonctions de mise en conformité, des suspensions temporaires d'activite, et la publication des decisions de sanction. Pour les fournisseurs tiers critiques, les autorites européennes de surveillance peuvent imposer des astreintes journalieres allant jusqu'a 1% du chiffre d'affaires mondial quotidien moyen jusqu'a la mise en conformité.
Au-dela des sanctions directes, la non-conformité a DORA peut avoir des consequences commerciales significatives : perte de confiance des clients et partenaires, degradation de la notation par les agences, et exclusion potentielle de certains marches. Pour les fournisseurs TIC, etre identifié comme non-conforme peut entrainer la perte de clients financiers qui ne peuvent pas prendre le risque réglementaire.
La preparation a DORA doit etre structuree et progressive. Commencez par une analyse d'ecart entre votre posture actuelle et les exigences du reglement. Identifiez vos fonctions critiques et les systèmes TIC qui les supportent. Evaluez vos accords avec les fournisseurs tiers. Mettez en place un programme de tests reguliers incluant des pentests et des évaluations de vulnérabilités. Formez votre organe de direction aux responsabilites de resilience numerique.
Probablement oui. DORA s'applique a la plupart des entites financieres regulees, y compris les etablissements de paiement et les prestataires de services de crypto-actifs, independamment de leur taille. Verifiez si votre activité nécessité un agrement aupres de l'ACPR ou de l'AMF. Si c'est le cas, vous etes dans le périmètre de DORA.
Non. Les TLPT sont requis uniquement pour les entites financieres les plus significatives, identifiées par les autorites competentes sur la base de critères comme la taille, la complexite, le profil de risque et l'importance systemique. Cependant, toutes les entites doivent réalisér des tests de resilience de base au minimum annuellement.
Non. Les TLPT, inspires du framework TIBER-EU, requierent une composante humaine (equipe red team) et doivent etre bases sur des renseignements sur les menaces spécifiques. Le pentest automatisé est un complement precieux : il prepare les TLPT, valide les corrections post-TLPT, et assure un niveau de tests continu entre deux TLPT. Les deux approches sont complementaires.
Si vos fournisseurs cloud sont identifiés comme fournisseurs tiers critiques de services TIC par les autorites européennes de surveillance, ils seront directement soumis a la supervision DORA. Dans tous les cas, vous devez évaluér et gerer les risques lies a vos fournisseurs TIC dans le cadre de vos obligations DORA, independamment de leur statut réglementaire.
Jordan Fredj, Fondateur Hacksessible -
Découvrez comment Hacksessible aide les institutions financieres a repondre aux exigences de tests de resilience de DORA.