Le règlement Digital Operational Resilience Act (DORA) marque une avancée décisive pour la résilience opérationnelle des institutions financières, en mettant l’accent sur la cybersécurité active plutôt que sur la simple gestion IT classique. La publication récente des normes techniques (RTS) relatives aux Threat-Led Penetration Tests (TLPT) le 16 juin 2025, avec une entrée en vigueur le 6 juillet 2025, précise les exigences européennes pour tester la capacité des entités à détecter et réagir à des attaques sophistiquées dans des conditions réalistes.
Cette série d’articles propose un regard opérationnel et concret sur la mise en œuvre de ce dispositif. Elle aborde les principes fondamentaux de DORA, les exigences et modalités des TLPT, ainsi que la place stratégique des Red Teams dans ces exercices.
L’objectif : transformer une obligation réglementaire en un véritable levier de maîtrise du risque cyber et de confiance durable dans la résilience opérationnelle
Jean-Michel Besnard
Associé, Advisory, en charge de l'offre cybersécurité.
TLPT sous DORA : focus sur la méthodologie et les phases clés
Depuis la publication du règlement délégué (UE) 2025/1190, les RTS (Regulatory Technical Standards) précisent non seulement qui est concerné par les TLPT (Threat-Led Penetration Testing), mais aussi comment ceux-ci doivent être conduits (détaillés dans nos articles précédents). Après avoir détaillé les critères d’éligibilité et la gouvernance dans nos précédents articles, nous revenons ici sur la méthodologie attendue : un enchaînement de phases bien définies, assorties de livrables précis.
Par Ismail Boudebanne, Directeur, Advisory, Cybersécurité,
et Joseph Pradines, Consultant Senior, Advisory, Cybersécurité.
“ TLPT: la continuité de TIBER sous le sceau de DORA”
Aristote distinguait la théorie de la pratique. C’est exactement le chemin que suit aujourd’hui la cybersécurité européenne.
Dans notre précédent article « Du cadre TIBER‑EU aux synergies avec la réglementation DORA », nous expliquions comment TIBER-EU et sa déclinaison française TIBER-FR lancée par la Banque de France, avaient posé les bases méthodologiques pour conduire des tests d’intrusion fondés sur la menace (Threat-Led Penetration Testing ou TLPT).
Par Ismail Boudebanne, Directeur, Advisory, Cybersécurité,
et Joseph Pradines, Consultant Senior, Advisory, Cybersécurité.
TLPT sous DORA : comprendre concrètement l’exercice Red Team
Une approche opérationnelle de la résilience et de la confiance
Avec l’entrée en vigueur du règlement DORA et la publication du règlement délégué (UE) 2025/1190 sur les Threat-Led Penetration Tests (TLPT), la cybersécurité financière entre dans une nouvelle phase : celle de la mise à l’épreuve réaliste, gouvernée et documentée de la résilience opérationnelle.
Par Jean-Michel Besnard, Associé, Advisory, en charge de l'offre Cybersécurité
-
Jean-Michel Besnard Jean-Michel Besnard est expert en cybersécurité et intervient depuis près de 20 ans dans ce domaine, tant sur des thématiques techniques qu’organisationnelles.Consulter le profil -
-
Joseph Pradines ...