Mon entreprise est-elle concernée par le régime TLPT de DORA ?

Le règlement (UE) 2022/2554 (DORA) impose le TLPT (Threat-Led Penetration Testing) aux entités financières désignées par l'autorité compétente — en France l'ACPR pour la banque/assurance, l'AMF pour les marchés. Le critère d'éligibilité tient compte de la taille, du profil de risque, de l'interconnexion au système financier et de la dépendance aux TIC. Les prestataires TIC critiques externes (article 28 DORA) peuvent être concernés par ricochet via les clauses contractuelles de leurs clients financiers, même s'ils ne sont pas directement assujettis.

Quelle différence concrète entre un pentest classique et un TLPT DORA ?

Le TLPT se distingue sur 4 points : (1) il est threat-led — l'équipe rouge travaille à partir d'un scénario de menace réaliste produit par une équipe de threat intelligence qualifiée; (2) le périmètre couvre des systèmes en production supportant des fonctions critiques ou importantes, pas seulement un environnement de test; (3) la durée d'une mission dépasse souvent 12 semaines (contre 2-4 pour un pentest classique); (4) les livrables suivent un format aligné sur TIBER-EU avec chain-of-custody et rapport séparé red team / blue team pour préserver le caractère représentatif de l'exercice.

Qu'est-ce que TIBER-EU et quel est son lien avec DORA ?

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) est le framework publié par la Banque centrale européenne en 2018 pour encadrer les exercices red team sur les entités financières. DORA adopte TIBER-EU comme base méthodologique du TLPT (article 26) avec des précisions techniques dans les RTS (Regulatory Technical Standards). Les autorités nationales (ACPR, AMF en France) supervisent chaque exercice TLPT via un TIBER Cyber Team (TCT) et valident le périmètre, le scénario de menace et le rapport final.

Quelle fréquence pour un TLPT et qui peut le conduire ?

La fréquence minimale est triennale (tous les 3 ans) pour les entités assujetties. Le prestataire de pentest doit être indépendant de la fonction d'audit interne de l'entité testée et démontrer : expertise offensive documentée (certifications type OSCP, OSEP, CRTO), expérience red team sur infrastructures financières, absence de conflit d'intérêts, et capacité à produire de la threat intelligence contextualisée. Les prestataires sont évalués par l'autorité nationale avant habilitation.

Laucked peut-il conduire un TLPT ?

Laucked intervient régulièrement sur des prestataires IT critiques de la chaîne financière (SaaS B2B régulé, prestataires cloud, éditeurs de logiciels bancaires) en tant que fournisseur de pentest applicatif aligné sur les exigences DORA. Pour le régime TLPT formel supervisé par l'ACPR, nous travaillons en consortium avec des équipes red team agréées TIBER-EU. Notre valeur ajoutée : la profondeur applicative (API, multi-tenant, flux métier) que les équipes red team généralistes traitent souvent en surface.

Quels livrables sont attendus par l'ACPR après un TLPT ?

Le dossier de clôture TLPT comprend : rapport de threat intelligence (scénarios de menace et attribution crédible), rapport red team technique avec preuves chain-of-custody, rapport blue team (détection, réaction, MTTD/MTTR), rapport consolidé avec recommandations priorisées, plan de remédiation signé par la direction générale, attestation de re-test de validation sur les findings critiques. L'autorité nationale reçoit une synthèse et peut demander des précisions techniques pendant 12 mois.

← Blog/20 avril 202614 min de lecture

Pentest DORA et TLPT : obligations 2025 pour prestataires IT et éditeurs SaaS critiques

Depuis le 17 janvier 2025, le règlement DORA impose un régime de Threat-Led Penetration Testing (TLPT) aux entités financières européennes. Pour les éditeurs SaaS B2B, les prestataires cloud et les infogéreurs de la chaîne financière, l'effet cascade se matérialise dans les clauses contractuelles clients. Ce guide cadre ce qui change concrètement, le lien avec TIBER-EU, la chain-of-custody attendue, et comment se préparer.

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

20 avril 2026·14 min de lecture·Fondateurs·LinkedIn

Qu'est-ce que DORA et pourquoi le TLPT change la donne

Le règlement (UE) 2022/2554, entré en application le 17 janvier 2025, impose aux entités financières européennes un cadre unifié de résilience opérationnelle numérique. DORA couvre cinq piliers : gestion des risques TIC, gestion des incidents, tests de résilience, gestion des risques tiers et partage d'informations. Le Threat-Led Penetration Testing (TLPT) est le pilier « tests » le plus exigeant : il impose aux grandes entités financières un exercice red team triennal, fondé sur un scénario de menace réaliste, conduit sur les systèmes de production supportant des fonctions critiques ou importantes. Pour les éditeurs SaaS B2B, les prestataires cloud, les éditeurs de logiciels bancaires et les infogéreurs de la chaîne financière, DORA a un effet de cascade : les clauses contractuelles clients imposent désormais des preuves de sécurité équivalentes à TLPT même quand l'entité n'est pas directement assujettie.

Qui est concerné : assujetti direct vs prestataire TIC critique

Deux régimes coexistent. L'assujettissement direct concerne les banques, assurances, sociétés de gestion, entreprises d'investissement, établissements de paiement et de monnaie électronique, PSAN, plateformes de négociation et chambres de compensation, dès lors qu'elles atteignent les seuils de matérialité définis par l'autorité nationale. Le régime indirect (article 28 DORA) vise les prestataires TIC tiers « critiques » désignés par l'AES (Autorité européenne de supervision) — typiquement les grands hyperscalers et les plateformes SaaS systémiques. En pratique, la plupart des éditeurs SaaS B2B français ne sont ni l'un ni l'autre, mais leurs contrats clients leur imposent des obligations contractuelles alignées (droit d'audit, pentest annuel, notification d'incident, clause de sortie). Les missions Laucked traitent fréquemment ce troisième cercle.

TIBER-EU : la méthodologie de référence

TIBER-EU publié par la BCE en mai 2018 structure un exercice red team en 4 phases : (1) phase préparatoire — scoping, règles d'engagement, sélection des prestataires threat intelligence et red team, approbation autorité; (2) phase threat intelligence — production d'un Targeted Threat Intelligence Report (TTIR) avec 3 scénarios de menace crédibles basés sur le paysage réel et l'attribution à des acteurs connus; (3) phase red team — exécution de l'attaque sur les systèmes en production, avec traçabilité stricte et escalade immédiate des incidents critiques; (4) phase closure — rapports séparés, ateliers purple team, plan de remédiation signé direction générale. DORA reprend cette structure dans les RTS publiés en 2024, avec obligations supplémentaires sur la chain-of-custody et la conservation des preuves 7 ans.

Différence concrète avec un pentest applicatif classique

Un pentest applicatif Laucked standard (8-15 jours) est scopé techniquement : on teste une application, une API, un environnement cloud avec accès grey-box ou white-box et livrables sous 48-72h. Un TLPT (12-20 semaines) est scopé stratégiquement : on simule un acteur de menace ciblant une fonction critique (paiement, règlement-livraison, gestion de portefeuille client). Le test démarre full black-box depuis l'extérieur, ne prévient pas les équipes bleues (sauf cellule restreinte), et mesure la capacité de détection-réaction autant que la pénétration. Pour un éditeur SaaS B2B pris dans une clause DORA cascade, la bonne pratique est d'empiler : (1) pentest applicatif annuel sur le périmètre complet; (2) red team ciblée tous les 2 ans sur la fonction la plus critique; (3) exercice purple team semestriel avec le SOC.

Chain-of-custody : pourquoi elle devient obligatoire

DORA impose la conservation des preuves de test pendant 7 ans avec intégrité démontrable. En pratique, cela signifie : hachage SHA-256 de chaque artefact (payloads, captures d'écran, exports logs, dumps partiels), chiffrement AES-256-GCM au repos, signature cryptographique de l'attestation de test, et horodatage qualifié eIDAS sur le rapport final. L'objectif : qu'un régulateur ou un juge puisse 5 ans plus tard reconstituer exactement ce qui s'est passé et attester qu'aucun artefact n'a été altéré. C'est une rupture avec la pratique historique du pentest où les preuves étaient conservées de façon informelle. Laucked applique ce standard chain-of-custody sur toutes ses missions DORA et conforme-DORA depuis 2024, même hors TLPT formel.

Comment se préparer si vous êtes prestataire SaaS ou éditeur

Trois leviers prioritaires. (1) Cartographier votre exposition DORA indirecte : listez vos clients régulés, identifiez les clauses contractuelles de test de sécurité, calez votre programme pentest annuel sur ce calendrier. (2) Documenter la chain-of-custody dès maintenant : intégrez le hachage SHA-256 et l'archivage chiffré à votre process livrable, même sur un pentest classique — c'est un signal de maturité qui rassure les acheteurs régulés. (3) Industrialiser la détection : un TLPT mesure la détection au moins autant que l'attaque. Un SOC qui loupe les 3 phases de reconnaissance, d'accès initial et de mouvement latéral est un problème plus grave qu'une vulnérabilité applicative. Les missions Laucked intègrent désormais par défaut un volet purple team synthétique pour tester le temps de détection.

Cadrer votre conformité DORA avec Laucked

Pentest applicatif aligné DORA, chain-of-custody SHA-256 + AES-256-GCM, atelier purple team semestriel. Diagnostic de surface gratuit, rapport défendable en annexe de vos contrats régulés.

Cadrer un pentest DORA sur devis

Sources et références