ACPR Pentest : Obligations de cybersécurité pour les établissements sous supervision française
L'Autorité de contrôle prudentiel et de résolution (ACPR) est le superviseur prudentiel des banques, des assureurs et des institutions financières en France. Rattachée à la Banque de France, l'ACPR est l'autorité compétente française pour l'application de DORA dans le secteur financier. Elle conduit des examens prudentiels approfondis incluant des contrôles de la gouvernance IT, des systèmes d'information et de la cybersécurité. Les établissements sous supervision ACPR doivent démontrer une maîtrise effective de leurs risques TIC, dont les tests de pénétration constituent un élément essentiel. Ce guide explique comment l'ACPR évalue la cybersécurité, ce qu'elle attend en matière de tests techniques et quels établissements sont concernés.
Comment l'ACPR évalue la cybersécurité des établissements financiers
L'ACPR dispose de pouvoirs d'investigation étendus : elle peut diligenter des contrôles sur place (inspections sur site) et sur pièces, et exiger la communication de tout document relatif à la sécurité des systèmes d'information. Dans le cadre de ses missions de supervision prudentielle, l'ACPR s'appuie sur le cadre SREP (Supervisory Review and Evaluation Process) de l'EBA, qui intègre explicitement l'évaluation des risques TIC et de la cybersécurité. L'ACPR a rejoint le mécanisme de supervision unique (MSU) de la BCE pour les établissements significatifs — ces établissements sont supervisés directement par la BCE avec l'ACPR comme autorité nationale compétente. Depuis l'entrée en vigueur de DORA le 17 janvier 2025, l'ACPR supervise la conformité des établissements financiers français aux obligations DORA, notamment l'Art. 24 (tests de pénétration) et l'Art. 26 (TLPT). Lors des inspections IT, les contrôleurs de l'ACPR vérifient systématiquement l'existence de rapports de tests de pénétration récents pour les systèmes critiques — leur absence est qualifiée de « manquement significatif » dans le rapport d'inspection, susceptible de déclencher des mesures correctives.
- DORA Art. 24 (supervisé par l'ACPR) : tests de pénétration réguliers des systèmes TIC — les contrôleurs ACPR demandent les rapports des 12 derniers mois lors des inspections IT.
- DORA Art. 26 (TLPT sous coordination ACPR/BdF) : l'ACPR désigne les établissements significatifs soumis au TLPT et coordonne les exercices TIBER-FR pour les établissements sous sa supervision directe.
- Arrêté du 3 novembre 2014 relatif au contrôle interne (arrêté dit « contrôle interne bancaire ») : Art. 270 à 280 sur les systèmes d'information — obligation de tests de sécurité réguliers, encore applicable en complément de DORA.
- Orientations EBA sur la gestion des risques TIC et de sécurité (EBA/GL/2019/04) : standards de référence pour l'évaluation ACPR des risques IT — tests de pénétration cités explicitement comme mesure de validation.
- ACPR examens SREP (Supervisory Review and Evaluation Process) : le pilier « risques opérationnels et TIC » du SREP évalue la maturité cybersécurité de l'établissement — un portefeuille de pentests récents améliore directement la note SREP.
- Sanctions ACPR (DORA Art. 50 / Code monétaire et financier L. 612-39 et suivants) : amendes administratives jusqu'à 1 % du chiffre d'affaires journalier mondial pour les manquements DORA ; blâme, interdiction temporaire d'activité et retrait d'agrément dans les cas les plus graves.
- Stress tests cyber ACPR : l'ACPR peut diligenter des exercices de stress cyber supervisés, similaires aux stress tests de liquidité — les établissements qui ont des pentests récents et documentés démontrent une capacité de résilience cyber vérifiée.
Ce qu'un test de pénétration ACPR-ready doit couvrir pour les établissements financiers
- Systèmes core banking et traitements des paiements : authentification et autorisation des transactions SEPA/SWIFT, interfaces opérateurs, systèmes de compensation et de règlement, conformité SWIFT CSP CSCF v2024.
- Portails clients et applications mobile banking : OWASP Top 10 (2021) — authentification SCA conforme DSP2 (Art. 97-98), session management, OWASP Mobile Security Testing Guide (MSTG) pour les applications iOS/Android.
- Infrastructure Active Directory et gestion des identités privilégiées : sécurité des contrôleurs de domaine, PAM (Privileged Access Management), CVE-2021-42278 et CVE-2021-42287 (escalade AD), MFA pour tous les comptes à hauts privilèges.
- APIs Open Banking (DSP2 XS2A) : Account Information Service (AIS), Payment Initiation Service (PIS), Card-Based Payment Instrument Issuer (CBPII) — OWASP API Top 10 (2023), validation de la conformité au profil FAPI (Financial-grade API).
- Sécurité réseau et segmentation : isolation du réseau de paiement (PCI-DSS scopé) du reste du SI, cloisonnement des environnements de production/recette/développement, test des règles de pare-feux.
- Chiffrement et gestion des clés (RGS B.1 applicable aux établissements publics, DORA Art. 9 pour tous) : HSM pour les clés de signature des transactions, TLS 1.3 sur tous les services exposés, CVE-2022-3786 et CVE-2022-3602 (OpenSSL 3.x).
- Résilience ransomware et sauvegardes : isolation des systèmes de backup (règle 3-2-1), test de la résistance des sauvegardes aux attaques de chiffrement, délai de restauration testé — exigences DORA Art. 11 (continuité d'activité).
- Journalisation et détection (DORA Art. 10, ACPR inspection IT) : vérification que toutes les actions privilégiées sont journalisées, intégrité des logs, délai moyen de détection des intrusions, exercice tabletop de réponse aux incidents.
- Tiers et sous-traitants critiques (DORA Art. 28/30) : audit des APIs des prestataires cloud, vérification des clauses contractuelles de sécurité, scan des composants tiers pour CVE connus — conformité ACPR sur la sous-traitance des activités essentielles.
Exemple de finding
Contournement SCA (DSP2 Strong Customer Authentication) sur l'application mobile banking
L'application mobile banking iOS/Android implémente la SCA (Authentification Forte du Client) via biométrie locale (Face ID / empreinte digitale). Cependant, lors des tests MSTG (OWASP Mobile Security Testing Guide), il a été constaté que le résultat de l'authentification biométrique est stocké dans les SharedPreferences Android (non chiffrées) et dans le NSUserDefaults iOS sous forme d'un flag booléen simple. Un attaquant avec un accès root/jailbreak au terminal peut modifier ce flag pour bypasser la SCA, accéder au compte et initier des virements sans re-authentification. Cela contrevient directement à l'EBA SCA RTS Art. 4 (Exigences de liaisons dynamiques) et à DSP2 Art. 97, exposant l'établissement à des sanctions réglementaires et à une responsabilité en cas de fraude.
Correction : Stocker le statut d'authentification dans le Secure Enclave iOS (Keychain avec kSecAttrAccessibleWhenUnlockedThisDeviceOnly) ou dans Android Keystore avec une clé liée à la biométrie (BiometricPrompt avec CryptoObject). Ne jamais utiliser de flag booléen en clair pour représenter le statut d'authentification. Implémenter une signature cryptographique côté serveur pour chaque transaction (dynamic linking DSP2) — le serveur vérifie indépendamment l'authenticité de l'initiation de la transaction, indépendamment de l'état local. Revoir le modèle de menace mobile conformément à l'OWASP MSTG Chapitre 6 (Authentication and Session Management).
Référence : CWE-522 Insufficiently Protected Credentials · OWASP MSTG-AUTH-8 (Biometric Authentication) · EBA SCA RTS (EU) 2018/389 Art. 4 · DSP2 Art. 97 §2 · DORA Art. 24 §2 · ACPR orientation sur la gestion des risques TIC
Pentest ACPR : comparaison des options
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Offres de pentest pour les établissements sous supervision ACPR
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur le pentest sous supervision ACPR
Quels établissements sont supervisés par l'ACPR ?
L'ACPR supervise : les établissements de crédit (banques, caisses d'épargne, banques mutualistes, banques coopératives), les établissements de paiement, les établissements de monnaie électronique, les entreprises d'assurance vie et non-vie, les mutuelles, les institutions de prévoyance, et les organismes de retraite complémentaire. Les établissements significatifs (Crédit Agricole, BNP Paribas, SocGen, BPCE, Crédit Mutuel, La Banque Postale) sont supervisés directement par la BCE avec l'ACPR comme autorité nationale.
Comment l'ACPR vérifie-t-elle la cybersécurité lors des inspections ?
Lors des inspections IT, les contrôleurs ACPR vérifient : l'existence d'une gouvernance cybersécurité formalisée (RSSI, comité cyber), les politiques et procédures de sécurité SI, les rapports de tests de pénétration des systèmes critiques (moins de 12 mois), les résultats des exercices de continuité d'activité, les rapports d'incidents de sécurité et leur traitement, la conformité aux exigences DORA Art. 24 et Art. 26. L'absence de rapports de pentest récents est systématiquement notée comme un manquement.
Quelle est la fréquence recommandée pour les pentests sous supervision ACPR ?
L'ACPR s'aligne sur les orientations EBA (EBA/GL/2019/04) qui prévoient des tests au moins annuels pour les systèmes critiques. Avec DORA, la fréquence est renforcée : tests annuels pour tous les systèmes TIC dans le périmètre de DORA Art. 24, TLPT tous les 3 ans pour les établissements désignés. En pratique, les établissements qui ont connu un incident de sécurité significatif ou qui ont réalisé des modifications substantielles de leur SI doivent réaliser des tests complémentaires.
Quelles sanctions l'ACPR peut-elle infliger pour des lacunes en cybersécurité ?
En vertu de DORA Art. 50 et du Code monétaire et financier (L. 612-39 et suivants), l'ACPR peut : infliger des avertissements, des blâmes, des injonctions de mise en conformité ; interdire temporairement ou définitivement l'exercice de tout ou partie des activités ; retirer l'agrément ; infliger des sanctions pécuniaires jusqu'à 1 % du chiffre d'affaires journalier mondial (DORA) ou jusqu'à 100 millions d'euros (CMF) pour les manquements les plus graves. Les dirigeants peuvent être personnellement sanctionnés.
Comment préparer une inspection ACPR en matière de cybersécurité ?
Une préparation optimale comprend : la mise à jour de la cartographie des systèmes d'information et des actifs critiques, la réalisation d'un test de pénétration récent (moins de 6 mois) avec un rapport structuré incluant le statut de remédiation, la documentation de la gouvernance cybersécurité (politique SMSI, comité cyber, rôles RSSI/CISO), la mise à jour des plans de continuité d'activité et de reprise IT, et la constitution d'un dossier de conformité DORA (Art. 5 à 16, Art. 24). Matproof Sentinel génère un rapport de pentest directement utilisable dans le cadre d'une préparation à l'inspection ACPR.
L'ACPR participe-t-elle aux exercices TIBER-FR ?
Oui — l'ACPR est, avec la Banque de France, co-gestionnaire du programme TIBER-FR. Pour les exercices TIBER-FR des établissements sous supervision directe de l'ACPR, c'est l'ACPR qui coordonne la désignation des établissements soumis au TLPT DORA Art. 26, valide le périmètre de l'exercice, supervise le bon déroulement de la phase de test et délivre l'attestation de conformité DORA Art. 26 après clôture de l'exercice.
Quelle est la différence entre l'ACPR et la BCE pour la supervision des banques françaises ?
La BCE supervise directement les établissements de crédit « significatifs » des pays de la zone euro — en France, les 5 grands groupes bancaires (BNP Paribas, Crédit Agricole, SocGen, BPCE, Crédit Mutuel) et La Banque Postale. L'ACPR agit comme autorité nationale compétente et assiste la BCE pour ces établissements. Pour les établissements « moins significatifs », l'ACPR est l'autorité de supervision directe. En matière de DORA, l'ACPR est l'autorité compétente pour tous les établissements financiers français quelle que soit leur taille, sauf pour certaines compétences EBA/ESMA/EIOPA.
Les FinTechs et néobanques françaises sont-elles concernées par les obligations ACPR en matière de pentest ?
Oui — toute entité titulaire d'un agrément ACPR (établissement de crédit, établissement de paiement, établissement de monnaie électronique, entreprise d'assurance) est soumise aux obligations DORA Art. 24 et aux attentes de l'ACPR en matière de tests de sécurité. Cela inclut les néobanques (N26, Nickel, Lydia, Revolut France), les FinTechs agréées comme établissements de paiement (Stripe, Adyen France), et les InsurTechs titulaires d'un agrément assurance. Des obligations proportionnées s'appliquent aux plus petites entités (DORA Art. 3).
Approfondir — articles de blog associés
Préparez votre pentest pour l'inspection ACPR
Anticipez les contrôles prudentiels ACPR avec un rapport de test de pénétration structuré, incluant le mapping explicite sur DORA Art. 24, les orientations EBA sur les risques TIC et les critères d'inspection ACPR. Généré en quelques heures, audit-ready.
Démarrer le pentest ACPR