Les TLPT — Threat-Led Penetration Tests, ou tests de pénétration basés sur la menace — constituent l'exigence de test la plus avancée et la plus exigeante du règlement DORA (EU) 2022/2554. Ils s'inspirent du cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) développé par la Banque centrale européenne et sont réservés aux entités financières d'importance significative.

Qu'est-ce qu'un TLPT ?

Un TLPT est un test de pénétration simulant une attaque réelle, guidée par des renseignements sur les menaces actuelles ciblant le secteur financier. Contrairement aux tests de pénétration classiques qui suivent un périmètre prédéfini et des scénarios standardisés, le TLPT utilise des techniques, tactiques et procédures (TTP) réellement employées par des groupes d'attaquants avancés (APT, cybercriminels spécialisés finance).

Les Trois Équipes du TLPT

Un TLPT implique trois équipes distinctes. L'équipe Red (Red Team) — des testeurs externes qualifiés — joue le rôle des attaquants. L'équipe Blue (Blue Team) — les équipes de sécurité internes de l'entité — défend sans savoir qu'un test est en cours. L'équipe Purple (Purple Team) — composée de représentants de l'entité et des testeurs — orchestre le test, documente les résultats et organise le partage de connaissance final entre Red et Blue.

Périmètre d'un TLPT

Le périmètre d'un TLPT est défini après une phase de threat intelligence sur les menaces réelles pesant sur l'entité. Il couvre obligatoirement les systèmes supportant les fonctions critiques ou importantes identifiées par l'entité. Il peut inclure des prestataires TIC critiques si l'entité et le superviseur l'estiment nécessaire — une première dans les tests de pénétration réglementaires.

Qui Est Soumis aux TLPT ?

L'article 26 du règlement DORA précise que les autorités compétentes désignent les entités soumises aux TLPT sur la base d'une évaluation de leur importance systémique. Les critères incluent : la taille, l'interconnexion avec d'autres entités financières, la criticité des services fournis, et le profil de risque ICT. Les autorités tiennent également compte des résultats des contrôles précédents. En pratique, les tests TLPT ciblent les grandes banques, assureurs et infrastructures de marché.

Fréquence des TLPT

Le règlement DORA impose que les TLPT soient réalisés au moins tous les 3 ans. Cette fréquence est un minimum : l'autorité compétente peut exiger une fréquence plus élevée si le profil de risque de l'entité l'exige ou après un incident significatif. Un TLPT réalisé dans le cadre d'un groupe transfrontalier peut être mutualisé entre plusieurs entités du groupe pour en réduire le coût.

Le Cadre TIBER-EU

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming for the European Union) est le cadre méthodologique de référence pour les TLPT sous DORA. Développé par la BCE, il définit les étapes du test (préparation, threat intelligence, red team testing, clôture), les rôles des parties prenantes, les standards de qualité pour les prestataires, et la structure du rapport final. Les autorités nationales ont publié des déclinaisons nationales (TIBER-FR pour la France, TIBER-DE, TIBER-NL...).

Prestataires Qualifiés pour les TLPT

Les TLPT doivent être réalisés par des prestataires externes satisfaisant aux critères de qualité définis dans les normes techniques DORA. Ces critères portent sur la compétence technique (certifications, expériences), l'indépendance vis-à-vis de l'entité testée, et la capacité à réaliser des missions de threat intelligence authentique. Les prestataires de threat intelligence (TI providers) et les testeurs red team sont évalués séparément. L'autorité compétente peut tenir un registre des prestataires qualifiés.

Conclusion

Les TLPT représentent le niveau le plus élevé des tests de résilience imposés par le règlement DORA. Leur valeur ajoutée réside dans leur réalisme : en simulant des attaques réelles guidées par des renseignements authentiques sur les menaces, ils révèlent des failles qu'aucun test conventionnel ne permettrait de détecter. Pour les entités qui y sont soumises, c'est un investissement significatif mais précieux.

Questions fréquentes

Combien coûte un TLPT sous DORA ?

Le coût d'un TLPT varie selon la taille de l'entité et le périmètre du test. Pour une grande banque ou assureur, les budgets oscillent généralement entre 500 000 et 2 millions d'euros, incluant la phase de threat intelligence, le test red team (qui dure plusieurs semaines à plusieurs mois), et les activités de clôture.

Le TLPT peut-il être mutualisé entre plusieurs entités d'un groupe ?

Oui. Le règlement DORA prévoit explicitement la possibilité de mutualiser les TLPT au niveau d'un groupe financier, sous réserve de l'accord des autorités compétentes concernées. Cette mutualisation réduit le coût global tout en maintenant la qualité du test pour chaque entité du périmètre.