Cybersecurity

DORA TLPT : les tests de pénétration guidés par la menace en 2026 (TIBER-EU)

DORA TLPT : tests d'intrusion fondés sur la menace (art. 26-27), méthode TIBER-EU/TIBER-FR, entités désignées, fréquence triennale. Guide 2026.

En une phrase. Le TLPT (Threat-Led Penetration Testing) est le test de résilience le plus exigeant prévu par DORA (règlement (UE) 2022/2554, articles 26-27) : un pentest fondé sur le renseignement sur la menace, mené selon la méthode TIBER-EU (déclinée TIBER-FR par la Banque de France), tous les trois ans, mais réservé aux seules entités financières désignées par leur superviseur — à ne pas confondre avec les tests classiques imposés à toutes les entités par les articles 24-25.

DORA distingue clairement deux niveaux de tests de résilience opérationnelle numérique. D’un côté, les articles 24-25 imposent à toutes les entités financières un programme de tests réguliers : analyses de vulnérabilités, scénarios basés sur des cas d’usage, revues de sécurité du code, tests de sécurité physique. De l’autre, les articles 26-27 réservent le TLPT aux entités désignées par leur autorité de supervision — ACPR ou AMF en France — selon leur taille, leur profil de risque et leur importance systémique. Le règlement DORA est directement applicable depuis le 17 janvier 2025 ; l’ACPR pilote la supervision des entités françaises assujetties au TLPT.

Cet article détaille ce qu’est concrètement un TLPT, la méthodologie TIBER-EU/TIBER-FR qui l’encadre, et en quoi il diffère d’un pentest classique ou d’un audit PASSI. Pour le cadre DORA complet, voir notre guide DORA France.

Points clés

  • Le TLPT est un test de résilience au sens des articles 26-27 de DORA, distinct des tests de base (art. 24-25) que toutes les entités doivent réaliser.
  • Périmètre restreint : uniquement les entités désignées par leur superviseur, en fonction de la taille et de l’importance systémique.
  • Fréquence : au moins tous les 3 ans, sur les systèmes de production supportant des fonctions critiques ou importantes.
  • Méthode imposée : TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), publiée par la BCE, déclinée en France en TIBER-FR par la Banque de France.
  • Trois phases : préparation, test (threat intelligence + red team), clôture (remédiation).
  • Intervenants externes soumis à des exigences de compétence strictes (RTS TLPT) : fournisseur de renseignement sur la menace et équipe red team.

1. TLPT vs tests classiques : ce que DORA exige de qui

DORA organise son pilier « tests de résilience » en deux strates :

Tests de base (art. 24-25) TLPT (art. 26-27)
Entités concernées Toutes les entités financières Uniquement les entités désignées par le superviseur
Nature Analyses de vulnérabilités, scénarios, revues de code, tests physiques Attaque simulée fondée sur le renseignement sur la menace
Environnement Peut inclure des environnements de test Systèmes de production réels
Fréquence Régulière (a minima annuelle pour certains tests) Au moins tous les 3 ans
Méthodologie Libre, proportionnée au profil de risque Imposée : TIBER-EU / TIBER-FR
Prestataires Libres Exigences de compétence strictes (RTS TLPT)

Le principe de proportionnalité (article 4) et le cadre simplifié de gestion du risque TIC (article 16) allègent les obligations des petites structures — mais le TLPT n’est de toute façon jamais une obligation générale : il ne s’applique qu’aux entités explicitement désignées par l’ACPR ou l’AMF, en général les acteurs les plus systémiques (grandes banques, infrastructures de marché, assureurs d’importance significative).

2. La méthodologie TIBER-EU / TIBER-FR

Le TLPT ne se conduit pas selon une méthode libre : DORA impose le cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), publié par la Banque centrale européenne, décliné au niveau national. En France, c’est la Banque de France qui pilote la déclinaison TIBER-FR, en cohérence avec son rôle de superviseur de la stabilité financière.

Le cadre TIBER se déroule en trois grandes phases :

  1. Préparation : cadrage du test avec l’entité, définition du périmètre (« flags » — les fonctions critiques ou importantes visées), constitution de l’équipe de pilotage, engagement des prestataires.
  2. Test : deux volets successifs et complémentaires.
    • Threat intelligence : un prestataire spécialisé construit un profil de menace réaliste et documenté, propre au secteur et à l’entité (acteurs, TTPs — tactiques, techniques et procédures — vraisemblables).
    • Red team : une équipe distincte exploite ce renseignement pour mener une attaque simulée sur les systèmes de production réels, sans que les équipes de défense (blue team) en soient informées à l’avance — condition indispensable pour mesurer la détection et la réponse réelles.
  3. Clôture : restitution, analyse des enseignements, plan de remédiation et suivi des actions correctives.

Les intervenants — fournisseur de threat intelligence et équipe red team — doivent répondre à des exigences de compétence et d’indépendance strictes, précisées par les normes techniques de réglementation (RTS) relatives au TLPT. Ce n’est pas un exercice que l’on confie à n’importe quel prestataire de sécurité offensive.

3. TLPT, pentest classique et audit PASSI : ne pas confondre

La confusion la plus fréquente en cabinet de conseil consiste à assimiler le TLPT à « un gros pentest ». Trois différences structurantes :

  • Le scénario : un pentest classique teste des vulnérabilités techniques sur un périmètre défini à l’avance. Le TLPT simule un adversaire réaliste, avec ses motivations et son mode opératoire propres, sans périmètre technique figé — l’objectif est d’atteindre des « flags » métier, pas de lister des CVE.
  • L’environnement : un pentest peut se dérouler sur un environnement de recette. Le TLPT se déroule obligatoirement sur les systèmes de production, condition posée par le règlement pour que le test ait une valeur probante sur la résilience réelle.
  • La gouvernance : le TLPT est encadré par un superviseur (ACPR/AMF via TIBER-FR), qui valide le scope, suit le déroulement et reçoit les conclusions. Un pentest classique reste une démarche interne à l’entité et à son prestataire.

Le recours à des prestataires qualifiés au titre du référentiel PASSI de l’ANSSI est une pratique de place répandue pour les volets techniques du TLPT, même si la qualification PASSI n’est pas en tant que telle une exigence réglementaire DORA. Voir notre article sur l’audit de sécurité PASSI pour le détail de ce référentiel français, complémentaire des exigences RTS TLPT propres à DORA.

Autre point de confusion fréquent : le TLPT n’est pas un audit de conformité. Un audit vérifie l’existence et l’application de procédures documentées ; le TLPT mesure une capacité réelle de détection et de réaction face à une attaque non annoncée. Une entité peut être parfaitement conforme sur le papier — politiques à jour, registre des risques tenu, formations réalisées — et échouer un TLPT si ses équipes de sécurité opérationnelle (SOC, CERT interne) ne détectent pas l’intrusion simulée dans des délais raisonnables. C’est précisément cet écart entre conformité documentaire et résilience opérationnelle réelle que le législateur européen a voulu combler en imposant un test grandeur nature aux acteurs les plus systémiques.

4. Se préparer à un TLPT : ce qui doit être prêt en amont

Une entité désignée pour un TLPT ne part pas de zéro le jour où le superviseur notifie l’exercice. Trois prérequis conditionnent la réussite du test :

  • Une cartographie du système d’information à jour, permettant d’identifier précisément les fonctions critiques ou importantes qui serviront de périmètre au test — voir notre guide de cartographie SI.
  • Un registre d’informations sur les prestataires TIC fiable (article 28(3)), car le TLPT peut révéler des dépendances tierces non maîtrisées ; voir notre article sur le registre d’informations DORA et sur la gestion des prestataires TIC tiers.
  • Une méthode d’analyse de risques structurée, de type EBIOS Risk Manager, pour anticiper les scénarios de menace les plus probables et prioriser la remédiation post-test.
  • Un plan de continuité d’activité opérationnel capable d’absorber les enseignements du test sans attendre le rapport final — voir notre guide PCA.

Legiscope aide les entités financières désignées à préparer le dossier documentaire préalable au TLPT — cartographie des fonctions critiques, registre des prestataires TIC et plan de remédiation post-test.

FAQ

Toutes les banques françaises doivent-elles réaliser un TLPT ?

Non. Seules les entités désignées par l’ACPR ou l’AMF, selon des critères de taille, de profil de risque et d’importance systémique, sont soumises au TLPT. Les autres entités restent soumises aux tests de base des articles 24-25 de DORA.

Quelle est la fréquence obligatoire du TLPT ?

Au moins tous les trois ans pour les entités désignées, sur les systèmes de production supportant des fonctions critiques ou importantes.

Le TLPT remplace-t-il les tests d’intrusion réalisés dans le cadre d’un audit PASSI ?

Non, ce sont des démarches complémentaires. Le TLPT est un exercice réglementaire DORA encadré par TIBER-FR et supervisé par l’ACPR ou l’AMF. Un audit PASSI relève d’un référentiel ANSSI distinct, souvent mobilisé pour les volets techniques ou pour des tests hors périmètre TLPT.

Qui choisit les prestataires réalisant le TLPT ?

L’entité testée engage elle-même le fournisseur de renseignement sur la menace et l’équipe red team, mais ces prestataires doivent répondre aux exigences de compétence fixées par les normes techniques de réglementation (RTS) relatives au TLPT, sous le contrôle du superviseur pilotant l’exercice au titre de TIBER-FR.

Conclusion

Le TLPT n’est ni un pentest renforcé ni un exercice facultatif : c’est un test réglementaire ciblé, réservé à un nombre restreint d’entités systémiques, encadré par une méthodologie unique (TIBER-EU/TIBER-FR) et supervisé directement par l’ACPR ou l’AMF. Pour les entités désignées, l’enjeu n’est pas de réussir le test isolément mais d’arriver à l’exercice avec une cartographie, un registre des prestataires et un dispositif de gestion des risques déjà solides — le TLPT ne fait que révéler, souvent brutalement, les lacunes préexistantes.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →