TLPT : Threat-Led Penetration Test selon DORA Art. 26 en France
Le Threat-Led Penetration Testing (TLPT) est une forme avancée de test de cybersécurité qui simule les techniques, tactiques et procédures (TTPs) d'attaquants réels ciblant un établissement financier spécifique. L'article 26 du règlement DORA (EU) 2022/2554 rend le TLPT obligatoire pour les établissements financiers désignés par l'ACPR ou la Banque de France comme « significatifs ». En France, le cadre TIBER-FR (Threat Intelligence-Based Ethical Red Teaming France) est le référentiel national pour la réalisation de ces exercices. Ce guide détaille ce qu'est le TLPT, qui est concerné, comment l'ACPR désigne les établissements soumis à cette obligation et comment se préparer efficacement.
Pourquoi le TLPT est fondamentalement différent d'un test de pénétration classique
Un test de pénétration traditionnel suit un périmètre prédéfini, utilise des méthodologies standardisées (OWASP Testing Guide, PTES) et l'équipe défensive est généralement informée de la date et du périmètre. Le TLPT, tel que défini par DORA Art. 26 et le cadre TIBER-EU, renverse cette logique : l'exercice est fondé sur une Targeted Threat Intelligence (TTI) personnalisée qui identifie les acteurs de menace réels susceptibles de cibler l'établissement — groupes APT, cybercriminels financiers (Lazarus Group, FIN7, Carbanak), acteurs étatiques. Sur la base de cette TTI, un Red Team accrédité conduit une attaque prolongée et non annoncée à l'équipe défensive (Blue Team), simulant une intrusion réelle avec un impact potentiel sur les fonctions critiques de l'établissement. L'objectif n'est pas seulement de trouver des vulnérabilités techniques, mais de tester la résilience opérationnelle globale : la détection, la réponse aux incidents, les procédures d'escalade, la capacité à maintenir les services critiques sous attaque. L'ACPR a publié des orientations précisant que les établissements désignés doivent réaliser un TLPT validé au moins tous les trois ans, avec un rapport soumis à l'autorité compétente.
- DORA Art. 26 §1 : TLPT obligatoire pour les établissements désignés comme significatifs par l'autorité compétente (ACPR / Banque de France) — au moins tous les trois ans, validé par l'autorité compétente.
- DORA Art. 26 §2 : critères de désignation des entités soumises au TLPT — importance systémique, volume de transactions, interdépendances avec l'infrastructure financière, présence dans plusieurs États membres, exposition aux cybermenaces.
- DORA Art. 26 §3 : obligations de reporting — le rapport de TLPT doit être soumis à l'autorité compétente ; les constats et le plan de remédiation doivent être validés par l'autorité avant clôture de l'exercice.
- DORA Art. 26 §4 : le TLPT doit couvrir les « fonctions critiques ou importantes » de l'établissement — systèmes de paiement, gestion des actifs, services aux clients, infrastructure de trading, systèmes de clearing et de règlement.
- RTS DORA (Règlement délégué (UE) 2024/1774 Art. 3-6) : normes techniques précisant les critères de qualification des prestataires TLPT (RTP et TIP), la structure du rapport de test et les conditions de reconnaissance mutuelle entre États membres.
- TIBER-FR comme référentiel : la Banque de France a désigné TIBER-FR comme le cadre national pour les TLPT en France — les exercices conduits selon TIBER-FR sont reconnus par l'ACPR pour satisfaire à DORA Art. 26.
- Reconnaissance mutuelle (DORA Art. 26 §5) : une attestation TLPT délivrée par une autorité compétente d'un autre État membre est reconnue en France — les groupes bancaires transfrontaliers n'ont pas à dupliquer les exercices.
Périmètre type d'un TLPT conforme DORA Art. 26 en France
- Fonctions critiques désignées (DORA Art. 26 §4) : systèmes identifiés comme essentiels au fonctionnement continu de l'établissement — platinformes de paiement, systèmes core banking, interfaces de trading, portails clients, infrastructure de settlement.
- Phase Targeted Threat Intelligence (TTI) : analyse des acteurs de menace ciblant spécifiquement l'établissement ou le secteur (APT28, Carbanak/FIN7 pour les banques, Lazarus Group pour les crypto-actifs), identification des TTPs prioritaires (MITRE ATT&CK for Financial Services).
- Vecteurs d'intrusion initiale : spear phishing ciblé sur les dirigeants et équipes IT, exploitation de vulnérabilités récentes dans les équipements exposés (CVE-2023-4966 Citrix Bleed, CVE-2023-46604 Apache ActiveMQ), attaques de la chaîne d'approvisionnement logicielle.
- Escalade de privilèges dans l'Active Directory : techniques avancées de Kerberoasting, Pass-the-Hash, DCSync, exploitation d'ACLs mal configurées, abus de délégations Kerberos non contraintes.
- Accès aux systèmes de paiement et SWIFT : tentative d'accès au réseau SWIFT de l'établissement, exploitation des interfaces opérateurs (GUI SWIFT), contournement des contrôles SWIFT CSP CSCF v2024.
- Exfiltration et impact business : simulation d'exfiltration de données de transactions, de positions de trading ou de données clients — test des DLP, surveillance réseau, délai d'alerte.
- Test de détection et réponse Blue Team : chronologie de la détection de l'intrusion initiale par le SOC, escalade vers le CIRT (Computer Incident Response Team), activation des procédures de gestion de crise, notification simulée à l'ACPR.
- Résilience opérationnelle : simulation de l'impact sur la continuité des services financiers critiques — peut l'attaquant provoquer une indisponibilité des services de paiement ? Corrompre des données de trading ?
- Phase Purple Team (clôture) : session collaborative Red Team / Blue Team pour analyser chaque étape de l'attaque, identifier les lacunes de détection, ajuster les règles SIEM et les playbooks de réponse aux incidents.
Exemple de finding
Accès non autorisé aux interfaces SWIFT via compromission d'un compte opérateur
Lors de la phase TLPT, le Red Team a compromis le poste de travail d'un opérateur SWIFT via une attaque de spear phishing ciblée (email imitant une communication de SWIFT sur CVE-2023-20198 Cisco IOS XE). Le compte Windows compromis avait accès direct à l'interface GUI SWIFT Alliance Access sans MFA supplémentaire. Le Red Team a pu visualiser les paramètres de routage SWIFT, les comptes correspondants actifs et exécuter une transaction de test vers un compte contrôlé. La Blue Team n'a pas détecté la connexion anormale au système SWIFT dans les 48 heures suivant la compromission. SWIFT CSP CSCF v2024 Contrôle 4.2 (Restriction des privilèges) était explicitement non respecté.
Correction : Imposer une authentification multi-facteur robuste (FIDO2/WebAuthn ou smart card) pour tout accès aux interfaces SWIFT, indépendamment de l'authentification Windows SSO. Isoler les postes de travail SWIFT dans une zone réseau dédiée avec filtrage strict des flux entrants/sortants. Activer la journalisation détaillée de toutes les actions sur les interfaces SWIFT et configurer des alertes SIEM sur les connexions hors des plages horaires habituelles. Former les opérateurs SWIFT à la détection du spear phishing avec des exercices réguliers. Mettre en conformité avec SWIFT CSP CSCF v2024 Contrôles 1.1, 1.2, 2.1, 4.2 et 6.2 dans les 90 jours.
Référence : CVE-2023-20198 (Cisco IOS XE) · MITRE ATT&CK T1566.001 (Spear Phishing) · SWIFT CSP CSCF v2024 Contrôle 4.2 · DORA Art. 26 §4 fonctions critiques · TIBER-EU §4.2 rapport de test
TLPT vs Pentest standard : comparaison
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Préparez votre établissement pour le TLPT
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur le TLPT et DORA Art. 26 en France
Comment l'ACPR désigne-t-elle un établissement comme soumis au TLPT ?
L'ACPR applique les critères de l'Art. 26 §2 DORA : importance systémique de l'établissement, volume et valeur des transactions, interdépendances avec l'infrastructure financière française et européenne, présence dans plusieurs États membres, et évaluation de l'exposition aux cybermenaces. L'ACPR notifie formellement les établissements désignés et coordonne avec la Banque de France pour les établissements relevant de la supervision de la BCE. Un établissement désigné a 12 mois pour réaliser son premier TLPT.
Combien coûte un exercice TLPT complet conforme DORA Art. 26 ?
Un exercice TLPT conforme DORA Art. 26 avec des prestataires accrédités TIBER-FR coûte généralement entre 150 000 € et 500 000 € pour un établissement de taille significative, selon la complexité du périmètre, le nombre de fonctions critiques à tester et la durée de l'exercice (3 à 12 mois). Ce coût comprend : le Threat Intelligence Provider (TIP), le Red Team Provider (RTP), les frais de coordination avec l'ACPR/Banque de France et la phase de clôture (rapport, purple team).
Un établissement non désigné peut-il réaliser un TLPT volontaire ?
Oui — rien n'interdit à un établissement non désigné de réaliser un exercice Red Team avancé sur le modèle TIBER-EU à titre volontaire. Cela constitue une excellente préparation en cas de désignation future et démontre une maturité cybersécurité avancée aux régulateurs. Cependant, seuls les exercices réalisés par des établissements désignés et validés par l'ACPR/Banque de France constituent une attestation valide pour DORA Art. 26.
Comment Matproof Sentinel peut-il aider dans le cadre d'un TLPT ?
Matproof Sentinel est idéal pour la phase de préparation au TLPT : identification des vulnérabilités techniques les plus exposées (surface d'attaque), baseline des faiblesses de sécurité à corriger avant l'exercice Red Team, tests réguliers entre les cycles TLPT (tous les 3 ans) pour maintenir le niveau de sécurité. Un établissement qui arrive à un exercice TLPT avec une bonne baseline de vulnérabilités maîtrisées tire bien plus de valeur de l'exercice Red Team, qui peut alors se concentrer sur les vecteurs d'attaque avancés.
Les résultats d'un TLPT sont-ils confidentiels ?
Oui — les résultats d'un exercice TLPT/TIBER-EU sont strictement confidentiels. Le rapport complet est partagé uniquement avec l'établissement testé, l'autorité compétente (ACPR/Banque de France) et, en cas d'exercice multi-pays, les autres autorités compétentes concernées via un protocole de partage sécurisé. DORA Art. 26 §7 prévoit des règles spécifiques de confidentialité pour les résultats des TLPT. Les détails techniques ne sont jamais divulgués publiquement.
Quelle est la durée de validité d'une attestation TLPT pour DORA Art. 26 ?
DORA Art. 26 §1 prévoit une fréquence minimale de trois ans pour les exercices TLPT. Une attestation délivrée par l'ACPR ou la Banque de France après un exercice TIBER-FR validé est valide pour trois ans. Au terme de cette période, un nouvel exercice complet doit être réalisé. Entre les cycles TLPT, l'établissement doit maintenir son programme de tests de sécurité DORA Art. 24 (pentests standards annuels) pour démontrer une surveillance continue.
Que se passe-t-il si un établissement désigné refuse ou ne réalise pas son TLPT dans les délais ?
L'ACPR peut infliger des sanctions administratives conformément à DORA Art. 50 — amendes pouvant atteindre 1 % du chiffre d'affaires journalier mondial pour les manquements répétés. Plus concrètement, l'absence de TLPT dans les délais est un signal fort d'insuffisance de gouvernance cybersécurité qui peut déclencher un contrôle prudentiel renforcé de l'ACPR, avec des exigences supplémentaires de capital ou de liquidité.
Comment se déroule la phase purple team à la fin d'un exercice TLPT ?
La phase purple team (TIBER-EU Phase 3) est une session collaborative réunissant le Red Team et la Blue Team pour analyser ensemble chaque étape de l'exercice. Le Red Team explique les techniques utilisées, les vecteurs d'intrusion et les vulnérabilités exploitées ; la Blue Team analyse ce qui a été détecté ou manqué et pourquoi. Cette session aboutit à un plan d'amélioration concret des capacités de détection et de réponse, avec des ajustements des règles SIEM, des playbooks de réponse aux incidents et des priorités de remédiation techniques.
Approfondir — articles de blog associés
Préparez votre établissement pour le TLPT DORA Art. 26
Avant que le Red Team accrédité n'intervienne, identifiez et corrigez les vulnérabilités les plus exposées avec Matproof Sentinel. Une baseline solide maximise la valeur de votre exercice TLPT en permettant au Red Team de se concentrer sur les vecteurs d'attaque avancés.
Démarrer la préparation TLPT