DORA Pentest : Obligations de test de pénétration selon les Art. 24 et 26

Depuis le 17 janvier 2025, le règlement Digital Operational Resilience Act (DORA, règlement (UE) 2022/2554) s'applique directement dans tous les États membres de l'Union européenne. L'article 24 oblige les entités financières à réaliser des tests de pénétration réguliers de leurs systèmes TIC ; l'article 26 impose aux établissements d'importance systémique des Threat-Led Penetration Tests (TLPT) supplémentaires. En France, l'ACPR et la Banque de France jouent un rôle central dans la supervision de ces obligations. Ce guide explique quelles entités sont dans le périmètre, ce que le règlement exige concrètement et quelle approche de test de pénétration satisfait aux exigences.

Démarrer le pentest DORA

Rédigé par Malte Wagenbach

Fondateur de Matproof Security. Spécialisé dans les tests d'intrusion pilotés par IA et la conformité UE (DORA, NIS2, ANSSI RGS, ISO 27001).

Dernière révision : 17 mai 2026

Pourquoi DORA fait du test de pénétration une obligation réglementaire

DORA n'est pas un guide de bonnes pratiques : c'est un règlement européen d'application directe. Contrairement aux anciennes orientations de l'EBA sur les risques TIC (EBA/GL/2019/04), DORA a force contraignante : l'ACPR et la Banque de France peuvent infliger des astreintes pouvant atteindre 1 % du chiffre d'affaires journalier mondial et engager personnellement la responsabilité des dirigeants. L'article 24, paragraphe 1 du règlement DORA exige que les entités financières soumettent leurs systèmes, applications et infrastructures TIC à un « programme de tests de résilience opérationnelle numérique » régulier. L'article 24, paragraphe 2, cite explicitement les « tests de pénétration, y compris les tests de pénétration basés sur la menace ». L'ACPR a précisé dans ses communications de janvier 2025 qu'un simple scan de vulnérabilités ne satisfait pas cette exigence — un test de pénétration complet avec un périmètre documenté, une méthodologie et une preuve d'exploitation est requis. Pour les établissements significatifs et d'importance systémique (art. 26 DORA), le cadre TLPT (Threat-Led Penetration Testing, référentiel TIBER-EU / TIBER-FR) s'applique en sus, et seuls des prestataires accrédités par la Banque de France peuvent conduire ces tests.

DORA Art. 24 §1 et §2 : obligation de tests de sécurité TIC réguliers incluant des tests de pénétration pour toutes les entités financières visées par l'Art. 2 DORA — établissements de crédit, entreprises d'investissement, assureurs, établissements de paiement, prestataires de services sur crypto-actifs (MiCA), agences de notation, dépositaires centraux de titres.
DORA Art. 26 §1 : obligation TLPT pour les établissements d'importance systémique — au moins tous les trois ans, un test de pénétration fondé sur la menace complet réalisé par un prestataire accrédité, coordonné avec l'autorité compétente (ACPR / Banque de France).
DORA Art. 24 §7 et §8 : les tests doivent être conduits par des parties indépendantes (internes ou externes) ; pour les services TIC critiques, par des testeurs externes ; documentation complète incluant le périmètre, la méthodologie et les vulnérabilités détectées.
RTS DORA (Règlement délégué (UE) 2024/1774) : les normes techniques de réglementation précisent les exigences en matière de tests de sécurité TIC — couverture minimale, fréquence, obligations de reporting.
TIBER-FR (cadre Banque de France / ACPR) : déclinaison française du référentiel TIBER-EU, définissant les critères d'accréditation des prestataires Red Team opérant sur le marché français.
Responsabilité personnelle des dirigeants (Art. 5 DORA) : le conseil d'administration et la direction générale sont directement responsables de la résilience opérationnelle numérique — l'absence de preuve de test de pénétration constitue un risque de gouvernance direct.
Coordination transfrontalière (Art. 26 §8 DORA) : pour les établissements opérant dans plusieurs États membres, la BCE coordonne les tests TLPT communs — le référentiel TIBER-EU définit le cadre applicable.

Ce qu'un test de pénétration conforme à DORA doit couvrir

Systèmes TIC des fonctions essentielles (Art. 24 §3 DORA) : systèmes bancaires cœur, API de paiement, plateformes de trading, référentiels de données clients — inventaire complet des actifs en prérequis.
Authentification et contrôle d'accès : implémentations MFA (exigences PSD2 SCA), flux OAuth2/OIDC, gestion des accès privilégiés (PAM), autorisations des comptes de service.
Sécurité des API selon l'OWASP API Top 10 (2023) : API1 Broken Object Level Authorization, API2 Broken Authentication, API3 Broken Property Level Authorization — particulièrement critique pour les API Open Banking (DSP2, Berlin Group NextGenPSD2).
Segmentation réseau et configuration des pare-feux : séparation des environnements TIC (production / recette / développement), déplacement latéral entre segments, isolation du réseau SWIFT (SWIFT CSP CSCF v2024).
Chiffrement des données au repos et en transit : TLS 1.3 (RFC 8446), intégration HSM pour le matériel cryptographique, suites de chiffrement obsolètes (CVE-2016-2107 POODLE, CVE-2023-0215 OpenSSL), CVE-2022-0778 (boucle infinie OpenSSL).
Dépendances TIC tierces (Art. 28 DORA) : composants SaaS, fournisseurs d'infrastructure cloud, processeurs de paiement — risques chaîne d'approvisionnement, CVE connus dans les bibliothèques tierces.
Continuité d'activité et reprise après sinistre : test de la capacité d'un attaquant à compromettre les processus de sauvegarde ; simulation ransomware contre les systèmes de backup ; vérification des délais de restauration.
Simulations d'ingénierie sociale et de phishing (pour les engagements TLPT plus complets) : sensibilisation des collaborateurs, contrôles techniques de détection du phishing, temps de réponse de l'équipe de réponse aux incidents.
Infrastructure cloud (risques tiers Art. 28 DORA) : erreurs de configuration IAM dans AWS/Azure/GCP, autorisations S3 Buckets, comptes de stockage exposés, fonctions serverless non sécurisées.
Journalisation et surveillance (Art. 10 DORA) : vérification que les activités d'attaque sont détectées par le SIEM/SOAR — principe « détecter ce que nous faisons » comme preuve DORA.

Exemple de finding

Critique

Flux OAuth2 non sécurisé sur la passerelle API Open Banking (violation FAPI)

La passerelle API Open Banking implémente le flux OAuth2 Authorization Code sans PKCE (Proof Key for Code Exchange, RFC 7636). Un attaquant en position de man-in-the-middle peut intercepter le code d'autorisation depuis l'URL de redirection du navigateur et l'échanger contre un jeton d'accès sans posséder le code_verifier. De plus, la passerelle ne valide pas le paramètre « state », ce qui permet une attaque de type Cross-Site Request Forgery lors de l'initialisation OAuth. La passerelle traite plus de 50 000 transactions DSP2 par jour ; un jeton compromis permet un accès complet en lecture aux données de compte et aux paiements initiés.

Correction : Implémenter PKCE (RFC 7636) comme exigence obligatoire pour tous les flux OAuth2 (y compris côté serveur, en défense en profondeur). Valider le paramètre « state » à chaque demande d'autorisation. Migrer vers le profil de sécurité Financial-grade API (FAPI 2.0, OpenID Foundation) comme meilleure pratique pour l'Open Banking. Rotation des jetons après chaque utilisation, durée de vie courte des jetons d'accès (5 minutes maximum), jetons de rafraîchissement uniquement avec rotation. Documenter le protocole de test de pénétration conformément à DORA Art. 24 §7.

Référence : CVE-2022-21449 (ECDSA Psychic Signatures, Java) · OWASP API2:2023 Broken Authentication · RFC 7636 PKCE · DORA Art. 24 §2 · DSP2 RTS sur l'ASF (UE) 2018/389 Art. 9

Pentest DORA : comparaison des options

—	Scan gratuit	Matproof Sentinel	Consultance classique
Moteur de scan automatisé	✓ (aperçu 3 min)	✓ Scan complet	✗ Manuel uniquement
Couverture OWASP Top 10	Partielle	✓ Complète	✓ Complète
Preuve d'exploitation	✗	✓ Par finding	✓ Par finding
Mapping réglementaire (DORA/NIS2/ISO 27001)	✗	✓ Automatisé	✓ Manuel
Rapport PDF prêt pour l'audit	✗	✓ Instantané	✓ Livraison 2–4 semaines
Scans continus / récurrents	✗	✓ Par déploiement	✗ Engagement annuel
Délai avant premier résultat	~3 min	~30 min scan complet	2–4 semaines
Prix	€0	À partir de €149	€8 000–€25 000
Revue de code source (SAST)	✗	✓ Plan Growth	✓ Périmètre défini
Tests API (REST/GraphQL)	✗	✓ Automatisé	✓ Manuel

Offres de pentest conformes DORA

Scan unique

€149 paiement unique

1 scan pentest complet
Résultats priorisés par IA avec CVSS 3.1
Proof-of-exploit pour chaque finding
Rapport PDF (prêt pour l'audit)
Mapping réglementaire (DORA, NIS2, ISO 27001)

Acheter le scan unique →

Recommandé

Starter

€299 / mois

Scans illimités (jusqu'à 3 domaines)
Surveillance continue
Intégration CI/CD (GitHub, GitLab)
Tous les mappings réglementaires
Support prioritaire

Démarrer Starter →

Growth

€799 / mois

Scans + domaines illimités
Tests authentifiés / White-Box
Tests d'API et d'infrastructure cloud
Account manager sécurité dédié
SLA réponse 24h

Contacter pour Growth →

Questions fréquentes sur le test de pénétration DORA

Quelles entités sont soumises à l'obligation de test de pénétration DORA Art. 24 ?

L'Art. 2 DORA définit le champ d'application : établissements de crédit, établissements de paiement, établissements de monnaie électronique, entreprises d'investissement, entreprises d'assurance, agences de notation, référentiels centraux, plateformes de négociation, prestataires de services sur crypto-actifs (MiCA), services de données de reporting et prestataires tiers critiques de services TIC. Les PME (Art. 3 DORA) sont soumises à des exigences simplifiées, mais le principe de tests techniques réguliers s'applique également à elles.

Quelle est la différence entre le pentest DORA Art. 24 et le TLPT de l'Art. 26 ?

L'Art. 24 prescrit des tests de pénétration généraux pour toutes les entités financières concernées — la fréquence, le périmètre et la profondeur sont fondés sur les risques, mais un rapport de test de pénétration documenté doit exister. L'Art. 26 TLPT est une exigence supplémentaire réservée aux établissements « significatifs » (banques systémiques, assureurs importants) : au moins tous les trois ans, un test Red Team complet dans lequel un prestataire accrédité dérive sa méthodologie d'une véritable analyse de la menace et attaque sans préavis. Un TLPT coûte généralement entre 80 000 € et 250 000 € ; un pentest DORA standard est réalisable avec une plateforme de pentest IA comme Matproof Sentinel ou un prestataire spécialisé (8 000 € à 25 000 €).

À quelle fréquence un pentest DORA doit-il être réalisé ?

DORA lui-même n'impose pas de fréquence fixe — l'Art. 24 §1 parle de « régulièrement ». L'interprétation de l'ACPR et les orientations de l'EBA prévoient généralement des tests au moins annuels pour les systèmes critiques et après des modifications substantielles. L'Art. 26 TLPT impose explicitement au moins tous les trois ans pour les établissements concernés. Recommandation : pentest annuel complet + scanning continu (via Matproof Sentinel) après chaque version majeure.

Que doit contenir le rapport de pentest DORA ?

L'Art. 24 §7 DORA exige : documentation du périmètre (quels systèmes ont été testés), méthodologie utilisée, vulnérabilités identifiées avec niveau de gravité, recommandations de remédiation et statut (corrigé / en cours / accepté). L'ACPR recommande également : qualification du testeur (OSCP/CREST ou équivalent), référentiel de test utilisé (PTES, OWASP Testing Guide), preuve d'exploitation pour les constats critiques et élevés. Matproof Sentinel génère automatiquement tous ces éléments dans le rapport PDF.

Matproof Sentinel peut-il remplacer le test TLPT DORA Art. 26 ?

Non — le TLPT DORA Art. 26 requiert pour les établissements d'importance systémique un prestataire Red Team accrédité par la Banque de France / BCE. Matproof Sentinel est une plateforme de pentest assistée par IA parfaitement adaptée au pentest DORA Art. 24 standard, à la préparation au TLPT (analyse des écarts, baseline des vulnérabilités) et aux tests de sécurité continus entre les cycles TLPT. Pour le TLPT, nous vous orientons volontiers vers des partenaires accrédités.

Que risque une entité financière qui ne peut pas justifier d'un pentest DORA ?

L'ACPR et la BCE peuvent infliger des amendes pouvant atteindre 1 % du chiffre d'affaires journalier mondial en cas de manquement aux exigences DORA (Art. 50 DORA). En cas de manquements répétés ou graves, la suspension de l'activité est également possible. Par ailleurs, la direction engage sa responsabilité personnelle (Art. 5 DORA). Dans la pratique, l'absence de preuves de test de pénétration lors des contrôles prudentiels est qualifiée de manquement significatif, entraînant des obligations de mise en conformité et de justification.

Les prestataires TIC tiers (cloud, SaaS) doivent-ils également réaliser des pentests DORA ?

Directement : oui, s'ils sont désignés « prestataires tiers critiques de services TIC » selon l'Art. 31 DORA (désignation par EBA/ESMA/EIOPA). Ils sont alors soumis directement à la supervision DORA. Indirectement : tous les autres prestataires TIC tiers doivent satisfaire des exigences minimales de sécurité via des clauses contractuelles (Art. 30 DORA) pouvant inclure des tests de pénétration. L'entité financière doit s'assurer selon l'Art. 28 DORA que ses prestataires tiers critiques réalisent des tests de sécurité adéquats.

Comment DORA et NIS2 s'articulent-ils pour les entités financières françaises ?

DORA est une loi sectorielle spéciale pour les entités financières et prévaut sur NIS2 en tant que lex specialis, dans la mesure où les entités financières sont concernées. NIS2 (transposée en droit français par la loi n° 2024-449 du 21 mai 2024) s'applique en général aux entités essentielles et importantes dans les secteurs critiques, mais l'Art. 4 de la directive NIS2 précise que le droit sectoriel européen (comme DORA) prime. Les entreprises relevant à la fois de DORA et de NIS2 n'ont à se conformer qu'à DORA — le régulateur considère que la conformité DORA couvre intégralement NIS2.

Sujets connexes

Approfondir — articles de blog associés

Démarrez votre pentest conforme DORA maintenant

Obtenez une première évaluation de votre posture de sécurité TIC en 3 minutes — sans inscription, sans engagement. Le pentest complet Matproof Sentinel produit un rapport audit-ready satisfaisant aux exigences de l'Art. 24 §7 DORA. Pour le TLPT Art. 26, nous vous mettons en relation avec des partenaires accrédités.

Démarrer le pentest DORA