Pentest fintech 2026 : DORA, DSP2 et exigences ACPR
Les fintechs, néobanques, établissements de paiement et PSAN ont un cadre de test d'intrusion spécifique : DORA (obligatoire depuis janvier 2025), DSP2/SCA, attentes ACPR au dossier d'agrément, et parfois TLPT TIBER-EU pour les entités les plus critiques. Ce guide détaille le scope, les exigences réglementaires et les budgets typiques.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
DORA : ce qui a changé depuis janvier 2025
Le Digital Operational Resilience Act (règlement UE 2022/2554) s'applique à toutes les entités financières européennes depuis le 17 janvier 2025. Il harmonise et renforce les exigences IT, notamment sur les tests de résilience.
- Article 24 — test régulier de résilience opérationnelle digitale (au moins annuel). Inclut pentests, vulnerability assessments, source code review, scenario-based tests.
- Article 25 — exigences de qualité des pentests : pentesters indépendants, compétents, avec méthodologie documentée. Conservation des rapports obligatoire pour audit ACPR/BCE.
- Articles 26-27 — pour les entités financières désignées (« significatives » au sens DORA), obligation de TLPT (Threat-Led Penetration Testing) tous les 3 ans minimum, selon le framework TIBER-EU.
- Article 28 — chaîne de sous-traitance IT critique : les prestataires doivent permettre les audits et tests sur leurs systèmes, avec droit d'accès explicite dans les contrats.
En France, l'ACPR et l'AMF sont les autorités compétentes. Les sanctions pour non-conformité peuvent aller jusqu'à 2% du CA annuel mondial pour les établissements de crédit.
Scope typique d'un pentest fintech
Le périmètre d'un pentest fintech varie selon le produit, mais couvre typiquement :
- Application client (web et/ou mobile) — inscription, KYC, authentification forte SCA, dashboard, initiation de virement, demande de carte, gestion des bénéficiaires. Tests : OWASP MASTG pour mobile, OWASP WSTG pour web.
- API DSP2 XS2A — endpoints pour AISP (consultation) et PISP (initiation paiement). Tests spécifiques : signature JWS, gestion du consent (durée, révocation, rafraîchissement), resource ID IDOR/BOLA.
- Back-office — console opérationnelle, gestion KYC, traitement des litiges, fonctions antifraude. Tests d'escalade de privilèges entre rôles (support, opérateur, admin, superviseur conformité).
- Intégrations tierces — core banking (Mambu, Thought Machine), processing carte (Marqeta, Tribe), KYC provider (Onfido, Sumsub, Jumio), AML (ComplyAdvantage, Napier). Chaque connecteur est un vecteur d'attaque (webhook spoofing, auth bypass).
- Infrastructure cloud — revue AWS/GCP/Azure IAM, buckets S3, secret management (KMS, HashiCorp Vault), Kubernetes si applicable. Conformité PCI-DSS si carte de paiement.
Top 5 vulnérabilités trouvées en pentest fintech
- Race conditions sur mouvement d'argent — double-crédit par exécution parallèle de virements ou top-up card. Trouvée dans 30% des missions fintech. Correctif : verrouillage pessimiste ou idempotency keys.
- IDOR/BOLA sur consultation ou modification de comptes tiers — manipulation de l'account_id dans l'URL ou le JWT pour accéder aux comptes d'autres clients. Critique pour DSP2 (accès non autorisé aux données de compte).
- KYC bypass — workflow de re-vérification manipulable (re-upload sur un compte partiellement vérifié), upload de documents retouchés non détectés, exploitation de conditions race entre la validation KYC et l'activation du compte.
- SCA bypass — exemptions (contactless, faible montant, bénéficiaire de confiance) mal appliquées, réutilisation de paramètres 3DS, contournement via downgrade de l'authentification.
- Webhook sans signature stricte — pas de HMAC, replay possible, timing attacks sur le secret. Exploitable pour simuler un remboursement fournisseur et fraude à la carte.
Budget pentest fintech : fourchettes marché 2026
| Stade / produit | Budget HT |
|---|---|
| Pré-agrément (app + API simple) | 6 000 – 14 000 € |
| Post-agrément, Seed/Seed+ (back-office inclus) | 10 000 – 22 000 € |
| Série A (multi-produit, BNPL, marketplace) | 15 000 – 40 000 € |
| Série B+ (infra cloud complexe, PCI-DSS) | 30 000 – 80 000 € |
| TLPT DORA (néobanque, entité significative) | 100 000 – 300 000 € |
Fourchettes observées sur le marché français pour pentest manuel par pentester confirmé / senior. Exclut red team dédiée, purple team, et certains frais PCI-DSS ASV scans (trimestriels). Chez Laucked, chaque mission fintech est dimensionnée sur devis après atelier de cadrage DORA / DSP2 / ACPR — demander un devis.
FAQ — Pentest fintech
Ma fintech est-elle soumise à DORA ?
Oui, depuis le 17 janvier 2025, DORA (Digital Operational Resilience Act) s'applique à toutes les entités financières européennes : banques, néobanques, établissements de paiement, PSAN (prestataires crypto), fintechs régulées ACPR/AMF, ainsi que leurs prestataires IT critiques. DORA impose des tests de résilience réguliers, dont des pentests (Art. 24-25) et, pour les entités les plus critiques, des TLPT (Threat-Led Penetration Testing) tous les 3 ans selon le framework TIBER-EU.
Quelle différence entre pentest classique et TLPT DORA ?
Un pentest classique teste des vulnérabilités techniques sur un périmètre défini (app web, API, infrastructure). Un TLPT simule une attaque ciblée par un acteur réel (APT, groupe ransomware) sur la production avec renseignement préalable (threat intelligence), équipe red team indépendante, et coordination discrète avec le superviseur ACPR/BCE. Coût : 80k-300k€ vs 3-15k€ pour un pentest classique. Le TLPT est obligatoire uniquement pour les entités financières désignées (grandes banques, contreparties centrales).
Que couvre un pentest fintech DSP2-compliant ?
Scope minimum : authentification forte SCA (3D Secure, biométrie, tokens FIDO2), API DSP2 (XS2A pour l'initiation de paiement et l'agrégation de comptes), webhooks de callback, signature des messages (JWS selon EBA RTS), gestion des consents (90j), chiffrement TLS 1.2+ sur tous les flux. Un pentest DSP2-compliant valide la résistance de ces mécanismes face à des attaques ciblées (PSD2 replay, SCA bypass, consent hijacking, token leakage).
Mon ACPR exige-t-elle un pentest lors de l'agrément ?
L'ACPR n'exige pas formellement un pentest mais son RGOS (règlement général opérationnel de sécurité) et les instructions n°2021-I-03 (sécurité des SI des établissements de paiement) imposent des tests de sécurité proportionnés au risque. Dans la pratique, 90% des dossiers d'agrément ACPR incluent un rapport de pentest récent (<12 mois) pour prouver la maîtrise du risque IT. Même chose pour l'AMF pour les PSAN.
Combien coûte un pentest fintech ?
Pour une fintech au stade pré-agrément ou seed (app mobile + back-office + API DSP2 simple) : 6 000 à 14 000 € HT. Pour une scale-up fintech en phase B (plusieurs produits, marketplace BNPL, intégrations multi-banques, webhooks push) : 15 000 à 40 000 € HT. Le TLPT DORA sur une néobanque : 100 000 à 300 000 €. Budget cyber typique fintech : 3-5% du budget IT, soit 0.3-1% du CA.
Quelles vulnérabilités trouve-t-on typiquement en pentest fintech ?
Top 5 findings réels : (1) race conditions sur virements ou top-up (double-crédit), (2) IDOR sur consultation de comptes tiers (BOLA API DSP2), (3) KYC bypass par upload documents trafiqués ou workflow de re-vérification, (4) SCA bypass via paramètres réutilisables ou exemptions mal appliquées, (5) webhook spoofing sans signature HMAC stricte (fraude remboursement).
Pentest fintech DORA-ready
Rapport conforme aux attentes ACPR et DORA, livré sous 5 à 15 jours selon périmètre. Méthodologie documentée, re-test inclus.
Demander un devis pentest fintech