TLPT sous DORA : focus sur la méthodologie et les phases clés

Depuis la publication du règlement délégué (UE) 2025/1190, les RTS (Regulatory Technical Standards) précisent non seulement qui est concerné par les TLPT (Threat-Led Penetration Testing), mais aussi comment ceux-ci doivent être conduits (détaillés dans nos articles précédents). Après avoir détaillé les critères d’éligibilité et la gouvernance dans nos précédents articles, nous revenons ici sur la méthodologie attendue : un enchaînement de phases bien définies, assorties de livrables précis.

Phase de préparation : cadrage et gouvernance

L’exercice débute dès la notification officielle par les autorités TIFM (Test d’intrusion fondé sur la menace) ou par le TCT (TYBER cyber team) pour un test volontaire. Après la sélection des prestaires, cette étape établit le cadre opérationnel et réglementaire du test : présentation des documents d’initiation, des règles de conduite et du plan de projet détaillé. Le processus de cadrage permet de définir le périmètre, d’identifier les fonctions critiques ou importantes (FCI), de présenter les domaines métiers et les systèmes, et de discuter des indicateurs associés. Les prestataires TI (Threat Intelligence) et RT (Red Team) sont présentés, leurs approches et modalités de collaboration expliquées, tandis que l’équipe de contrôle (TCT/White Team) clarifie ses attentes, le calendrier et l’état d’avancement. Enfin, la documentation de gestion des risques est alignée pour sécuriser l’exercice. 

Phase de tests : Threat Intelligence et Red Team en action

La phase opérationnelle combine Threat Intelligence (TI) et Red Team (RT). L’équipe de TI élabore une longue liste de scénarios couvrant toutes les FCI et présente son rapport (TTIR), incluant l’empreinte numérique, le paysage des menaces et les scénarios retenus, validé par l’équipe de contrôle. La RT exécute les attaques sur une durée minimale de 12 semaines, suivant le plan de test RT (RTTP) validé par le TCT. Les activités de purple teaming peuvent être intégrées, et le suivi inclut la mise à jour des scénarios, indicateurs et points d’appui (leg-ups), ainsi que la capitalisation du modèle MITRE ATT&CK.

Phase de clôture : restitution et remédiation

La clôture consolide les résultats et permet le partage des enseignements. TIBER-FR et le périmètre du test sont présentés, puis les rapports finaux TI et RT sont restitués avec conclusions et recommandations. Les vulnérabilités identifiées et les capacités de détection manquantes sont explorées, et les mesures de remédiation discutées avec l’ensemble des parties prenantes (CT, TIP, RTT, TCT). Enfin, les documents sont archivés et le calendrier du prochain test TIBER-FR est défini.

Le TLPT constitue un exercice structuré et encadré par les RTS DORA, allant de la préparation à la clôture en passant par des phases opérationnelles détaillées. Chaque étape – cadrage, exécution TI/RT et restitution – est conçue pour garantir la conformité réglementaire tout en offrant une évaluation réaliste de la résilience des fonctions critiques établies par l’entité financière.