TLPT DORA : un changement d'échelle pour la cyber-résilience du secteur financier

Alexandre Fontaine
Associé WLF

Avec DORA, la résilience opérationnelle numérique devient un enjeu structurant pour les acteurs financiers européens. Parmi les dispositifs les plus exigeants du règlement, le Threat-Led Penetration Testing (TLPT) occupe une place centrale. Plus qu'un simple test technique, il s'agit d'un exercice encadré, piloté et supervisé, destiné à éprouver la capacité réelle d'une organisation à faire face à des attaques sophistiquées sur ses fonctions critiques ou importantes.
TLPT DORA : de quoi parle-t-on exactement ?
Le TLPT DORA s'inscrit dans le cadre des articles 24 à 27 du règlement sur la résilience opérationnelle numérique. Il repose sur une logique claire : simuler des tactiques de cyberattaquants réels, à partir d'une analyse préalable de la menace, puis conduire des tests en mode Red Team sur tout ou partie des fonctions critiques ou importantes de l'entité, y compris lorsqu'elles sont externalisées et exploitées en environnement de production.
L'objectif n'est pas seulement de détecter des vulnérabilités, mais de révéler les forces et faiblesses de l'organisation, d'élever son niveau de maturité en cybersécurité et de contribuer à la résilience globale du secteur financier européen.
Autre point fondamental : le TLPT n'est pas un exercice laissé à la seule initiative des établissements. Pour les entités financières désignées par les autorités compétentes, il devient obligatoire au moins tous les trois ans, avec une supervision de bout en bout par les autorités, qui disposent d'une visibilité complète sur le déroulement des tests.
Un cadre réglementaire désormais en application
Le calendrier présenté dans le document montre la montée en puissance progressive du dispositif : publication d'une version draft du standard technique TLPT DORA en janvier 2023, publication de la version final draft en juillet 2024, puis mise en application du règlement DORA le 17 janvier 2025. À partir de cette échéance, les autorités peuvent adresser aux entités concernées des courriers de désignation puis de notification en vue de la réalisation des tests.
Pour les acteurs éligibles, la question n'est donc plus de savoir si le sujet doit être traité, mais comment s'y préparer efficacement : gouvernance, périmètre, documentation, coordination des parties prenantes internes et externes, articulation avec les prestataires et capacité à piloter les remédiations.
TLPT DORA et TIBER-EU : une continuité, mais un niveau d'exigence supérieur
Le TLPT DORA s'inscrit dans la continuité des approches de type TIBER-EU, référentiel de bonnes pratiques publié par la BCE en 2018 pour conduire des tests de pénétration fondés sur la menace. Mais le passage à DORA change nettement l'échelle du dispositif. Là où TIBER-EU relevait d'une démarche largement volontaire, TLPT DORA introduit un cadre réglementaire applicable aux entités financières de l'Union européenne désignées par les autorités compétentes.
Cette évolution se traduit aussi dans le format même des exercices. Le document souligne qu'un test TIBER-EU s'inscrivait en général dans une durée indicative de 6 à 9 mois, tandis qu'un TLPT DORA s'étend sur 12 à 16 mois, avec notamment une phase de Red Teaming d'au moins 12 semaines. Là où le Purple Teaming pouvait être facultatif dans TIBER-EU, il devient obligatoire dans TLPT DORA. En d'autres termes, on passe d'un cadre de référence à un dispositif formellement encadré, plus long, plus structuré et plus exigeant.
Besoin d'accompagnement ?
Les consultants de WLF maîtrisent les exigences DORA et TLPT. Nous vous aidons à structurer et piloter vos exercices de cyber-résilience. Contactez-nous pour un premier échange.
Offre TLPT DORA WLF
Découvrez notre offre d'accompagnement TLPT DORA


