TLPT sous DORA : comprendre concrètement l’exercice Red Team

L’ambition de DORA dépasse largement le cadre du test d’intrusion. Il ne s’agit plus seulement de vérifier la solidité technique d’un périmètre, mais de valider la capacité globale d’une organisation à résister à une attaque ciblée : sa détection, sa réaction, sa coordination interne, et son processus de remédiation.

Un TLPT est donc un exercice grandeur nature qui mobilise l’ensemble de la chaîne de défense : direction de la sécurité, SOC (Security Operation Center), équipes techniques, métiers critiques, gouvernance et conformité.
Les attaques sont menées en conditions réelles, dans les environnements de production, avec un objectif clair : reproduire la complexité, la discrétion et la durée d’une attaque avancée sans compromettre la continuité des services.

Les RTS (Normes Techniques réglementaires) adoptés par la Commission européenne définissent un cadre détaillé : les rôles, les phases, les règles d’engagement, la documentation et les critères de réussite. L’idée n’est pas de transformer les entités régulées en laboratoires de test, mais de leur permettre d’ancrer la cybersécurité dans une culture de la résilience opérationnelle.

Dans un TLPT, la Red Team joue un rôle singulier : celui de l’adversaire contrôlé.
Composée d’experts aguerris, elle simule les tactiques et techniques d’attaquants avancés, tout en respectant un cadre strict validé par le régulateur et l’entité testée.

Son objectif n’est pas d’aller « le plus loin possible », mais de tester la capacité de détection et de réaction des équipes défensives — la Blue Team. Le succès d’un exercice ne se mesure pas à la compromission finale, mais à la richesse des enseignements obtenus : combien de signaux ont été détectés ? Comment la réponse a-t-elle été organisée ? Quels sont les points de friction entre technique et gouvernance ?

Les RTS imposent des exigences fortes :

• Indépendance : la Red Team doit être totalement distincte de l’entité testée, sans lien opérationnel ou hiérarchique.
• Compétence : les membres doivent disposer d’une expérience significative en tests d’intrusion complexes, simulation d’adversaire (adversary emulation) et gestion d’incidents.
• Couverture assurantielle : le prestataire doit garantir la responsabilité des opérations réalisées.
• Conformité éthique : respect des règles d’engagement et traçabilité des actions.

La certification PASSI (en France), ou ses équivalents européens, constitue souvent une base, mais ne suffit pas à elle seule : les autorités attendent des équipes capables de mener des attaques ciblées et réalistes, adaptées au profil de risque de l’institution.

Les meilleures Red Teams conçoivent leurs propres outils et charges personnalisées afin d’échapper aux EDR (Endpoint Detection and Response) et aux solutions de détection courantes. Cette capacité d’innovation est essentielle pour simuler fidèlement les comportements d’un attaquant avancé et éviter les biais liés aux signatures connues.

Le TLPT est avant tout un exercice de gouvernance, où trois acteurs clés y interviennent :

1. La Red Team (RT) – conduit les attaques selon les scénarios approuvés,
2. La Control Team / White Team (WT) – supervise, valide et autorise les actions,
3. La Blue Team (BT) – les équipes de défense internes, maintenues dans l’ignorance du test.

Ce triptyque garantit à la fois la sécurité opérationnelle et l’intégrité du test.
La White Team joue un rôle crucial : elle veille au respect des règles d’engagement, assure la coordination en cas d’incident imprévu et peut, en cas de blocage, activer le mécanisme de “leg-up”. Ce dernier permet à la Red Team d’obtenir un soutien minimal (accès restreint, indice technique, contournement d’un verrou) pour poursuivre la simulation sans perturber la production.

Le cycle d’un TLPT se décompose en quatre grandes phases :

1. Préparation et cadrage
   Définition du périmètre, des fonctions critiques, des objectifs métiers et des règles d’engagement. Cette phase inclut la validation du plan par le régulateur compétent.
2. Threat Intelligence (TI)
   Collecte et analyse de renseignement sur les menaces réelles susceptibles de viser l’entité. L’objectif est de bâtir un scénario crédible, spécifique et proportionné.
3. Exécution Red Team
   Conduite des attaques selon les tactiques adverses définies (phishing ciblé, exploitation d’accès tiers, escalade, mouvements latéraux, exfiltration simulée…).
4. Restitution et remédiation
   Présentation des résultats, identification des points d’amélioration, élaboration du plan d’action et discussion avec le régulateur.

Un exercice complet peut durer de 12 à 20 semaines, selon la taille de l’organisation et le nombre de fonctions critiques à tester.
Les RTS imposent une documentation détaillée : journal des actions, rapports de Threat Intelligence et de Red Teaming, synthèse exécutive et plan de remédiation.

Les RTS définissent clairement quelles entités sont concernées : celles dont la taille, la complexité ou la criticité font peser un risque systémique sur le secteur financier européen. Les autorités compétentes notifient aux entités leur obligation de réaliser un TLPT, en général tous les trois ans.

Les prestataires, quant à eux, doivent démontrer :

• Une indépendance organisationnelle,
• Une traçabilité complète des actions,
• Une méthodologie conforme au cadre européen,
• Des capacités techniques suffisantes pour opérer dans des environnements de production sensibles.

Les RTS encouragent la reconnaissance mutuelle : un TLPT mené dans un État membre selon le cadre DORA peut être reconnu par d’autres autorités européennes, évitant la duplication des efforts. Cette approche harmonise la supervision et facilite la montée en maturité du secteur.

L’une des richesses du TLPT réside dans la confrontation entre la Red Team et la Blue Team.
Mais la véritable valeur apparaît durant la phase de restitution, lorsque les deux équipes confrontent leurs points de vue : ce qu’a fait la Red Team, ce qu’a perçu la Blue Team, comment la détection a été déclenchée ou manquée, et quelles réponses ont été engagées.

Ce dialogue – souvent appelé Purple Teaming – est essentiel. Il transforme un test ponctuel en une dynamique d’apprentissage collectif.
Les RTS l’encouragent explicitement : les rapports finaux doivent inclure non seulement les vulnérabilités identifiées, mais aussi les enseignements organisationnels, les améliorations possibles des processus de surveillance et les priorités de remédiation.

L’objectif final n’est pas la conformité formelle, mais l’élévation continue du niveau de détection et de réponse.

Bien conduits, les TLPT deviennent de puissants instruments de pilotage pour les directions des risques et les comités exécutifs.
Ils offrent une vision concrète de la manière dont une organisation réagit à une menace : la rapidité de détection, la qualité de la communication interne, la fluidité de la coordination entre IT, sécurité et métiers.

Les résultats alimentent ensuite la gouvernance : plans de continuité, priorisation budgétaire, renforcement des capacités internes.
Ils permettent aussi de valider les investissements réalisés dans les technologies de détection et d’orchestration, souvent plus parlants pour un comité de direction qu’un audit de conformité abstrait.

Les TLPT DORA s’inscrivent dans la continuité du cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), déjà appliqué dans plusieurs pays européens depuis 2018.
TIBER-EU a jeté les bases d’une approche harmonisée : gouvernance centralisée, méthodologie standardisée, reconnaissance mutuelle et échange de retours d’expérience.

Chaque automne, la communauté européenne du TLPT se réunit dans le cadre des TIBER-EU Exchanges.
L’édition 2024, organisée en Allemagne, a réuni régulateurs, banques, assureurs et prestataires autour de retours d’expérience concrets.
Le prochain rendez-vous aura lieu en novembre 2025 à Vienne (Autriche) : un moment privilégié pour renforcer la cohérence européenne, partager les meilleures pratiques et consolider le dialogue entre régulateurs et offreurs.

Pour les institutions soumises à DORA, les TLPT peuvent apparaître comme une contrainte lourde : coût, mobilisation, complexité opérationnelle.
Mais bien préparés, ils se révèlent être un investissement stratégique :

• Ils permettent d’identifier les véritables scénarios de crise susceptibles d’affecter l’activité,
• Ils testent la coordination entre IT, sécurité et direction générale,
• Ils renforcent la confiance des clients, partenaires et régulateurs.

Au-delà du cadre réglementaire, le TLPT offre un levier d’amélioration continue, un moyen de valider dans le concret la robustesse de la posture cyber.

Avec DORA, l’Union européenne franchit une étape décisive : la cybersécurité devient un élément de résilience opérationnelle, au même titre que la continuité d’activité ou la gestion financière.
La Red Team, en tant qu’acteur central du TLPT, symbolise cette évolution : l’attaque simulée devient un outil de gouvernance, au service de la confiance et de la transparence.

Ces exercices, exigeants mais hautement instructifs, poussent les organisations à se confronter à la réalité du risque cyber.
Ils ne se limitent pas à « tester » : ils enseignent, unissent et renforcent.
C’est précisément là que réside la valeur ajoutée du TLPT sous DORA : dans la capacité à transformer une obligation réglementaire en une démarche collective de maîtrise du risque et de confiance durable.