Réponse GRC

Que sont les tests de pénétration fondés sur les menaces (TLPT) au titre de DORA ?

Réponse directe

Les tests de pénétration fondés sur les menaces (TLPT, threat-led penetration testing) constituent la forme avancée de tests de résilience que DORA impose aux entités financières identifiées comme significatives. Contrairement aux scans de vulnérabilités ou aux tests de pénétration classiques, le TLPT simule les tactiques, techniques et procédures de véritables acteurs de menace contre les systèmes de production en activité, en couvrant les fonctions critiques ou importantes qui soutiennent l’activité. Il est réalisé par des testeurs externes qualifiés, cadré et validé avec l’autorité compétente — AMF ou ACPR en France — et conduit au moins tous les trois ans. Le TLPT s’appuie sur le cadre TIBER-EU pour les tests fondés sur les menaces. Le TLPT se situe à l’extrémité exigeante du pilier tests de DORA. La plupart des entités concernées mènent un programme général de tests de résilience ; les entités significatives y ajoutent le TLPT, car le règlement considère leur perturbation comme un risque systémique plus élevé. Un test de pénétration standard vérifie si des faiblesses connues peuvent être exploitées. Le TLPT est guidé par le renseignement : il part d’une image des menaces qui ciblent réellement votre type d’entité, puis teste si vos systèmes en production et vos équipes résisteraient à ces comportements adverses spécifiques.

Et maintenant

Solution DORA par Acuna