top of page
Rechercher

Tests de résilience DORA : la fin du "One Size Fits All" en cyber

  • ben67344
  • il y a 6 jours
  • 5 min de lecture

Depuis la pleine entrée en application du règlement DORA (Digital Operational Resilience Act) en janvier 2025, le marché de la cybersécurité est en ébullition. Les prestataires multiplient les offres, et une confusion coûteuse s'est installée dans l'esprit de nombreux dirigeants : "Dois-je impérativement lancer des simulations d'attaques complexes (Red Teaming) pour être conforme ?"


La réponse courte est : Probablement pas.

DORA impose des tests de résilience, c'est un fait. Mais le règlement européen est bâti sur un principe fondamental trop souvent ignoré par les vendeurs de solutions : le principe de proportionnalité.

Cet article décrypte la distinction critique entre l'Article 24 (le socle commun) et l'Article 26 (l'exigence d'élite), pour vous aider à investir votre budget là où se situe votre véritable obligation légale.

1. Comprendre la Mécanique DORA : Proportionnalité et Risque

Contrairement au RGPD qui s'applique de manière assez uniforme, DORA segmente les obligations de tests en fonction de la taille, de la complexité et de l'importance systémique de l'entité financière.


L'objectif du régulateur n'est pas de noyer une Fintech de 20 personnes sous des tests conçus pour la BNP ou AXA, mais de garantir un niveau de sécurité adapté à l'enjeu.

La question à 1 million d'euros : Êtes-vous une "Entité Importante" ?


C'est la première étape de votre diagnostic. Les exigences les plus lourdes (Art. 26) ne s'appliquent qu'aux entités désignées comme "importantes" par les autorités compétentes, selon des critères de taille et d'impact systémique. Pour les 90% restants du marché, la bataille se joue à l'Article 24.


2. Article 24 : L'Hygiène Numérique (L'obligation pour TOUS)


L'Article 24 du règlement DORA impose l'établissement d'un programme complet de tests de résilience opérationnelle numérique.

Cible : 100% des entités financières régulées (Banques, Assurances, Établissements de paiement, PSAN/CASP, etc.).

Ce que vous devez faire concrètement :

Il ne s'agit pas d'un "one-shot", mais d'une surveillance continue. Le programme doit inclure :

  1. Analyses de vulnérabilité (Vulnerability Scanning) : Automatisées et récurrentes (hebdomadaires ou mensuelles) pour détecter les failles connues (CVE) sur vos systèmes.

  2. Tests d'intrusion classiques (Pentests) : Audits ciblés sur vos applications critiques (web, mobile, API) et votre infrastructure interne.

  3. Analyses de sécurité open source : Vérification des bibliothèques logicielles que vous utilisez (SCA - Software Composition Analysis).

  4. Tests de sécurité du réseau : Configuration des pare-feux, segmentation, etc.

  5. Analyses d'écarts (Gap Analysis) : Vérification de la cohérence des procédures de secours.

Le piège à éviter : Penser qu'un scan automatique suffit. DORA exige que ces tests soient menés par des parties "indépendantes" (internes ou externes) et qu'ils donnent lieu à des plans de remédiation suivis.

L'objectif de l'Art. 24 : Assurer une "hygiène numérique" irréprochable. C'est votre contrôle technique obligatoire.

3. Article 26 : L'Élite et le TLPT (Pour les Grands Acteurs)


C'est ici que les budgets explosent et que la technicité grimpe en flèche. L'Article 26 impose des tests avancés fondés sur la menace : les TLPT (Threat-Led Penetration Testing).


Cible : Uniquement les entités financières désignées comme "importantes" et significatives.


Qu'est-ce qu'un TLPT ?


Ce n'est pas un pentest classique. C'est une simulation d'attaque réaliste, sur une longue durée (plusieurs mois), orchestrée selon des scénarios basés sur de la Threat Intelligence (renseignement sur les menaces réelles ciblant votre secteur).


Les 3 différences majeures avec un test classique :


  1. Environnement de Production : DORA est explicite. Les tests doivent porter sur les "systèmes de production en direct". Oui, en live. Cela demande une maturité et une maîtrise des risques exceptionnelles pour éviter de causer soi-même la panne.

  2. Méthodologie TIBER-EU : Ces tests suivent souvent le cadre TIBER-EU (Threat Intelligence-based Ethical Red Teaming) de la Banque Centrale Européenne.

  3. Validation par l'Autorité : Les résultats et le plan de test doivent être communiqués et validés par les autorités de surveillance.


L'objectif de l'Art. 26 : Vérifier si l'entité peut résister à une attaque étatique ou criminelle sophistiquée (APT). C'est l'équivalent de l'entraînement des forces spéciales.


4. L'Approche Segmentée Safercy : Ne tirez pas au canon sur une mouche


Chez Safercy, nous voyons trop de clients PME ou ETI financière se voir proposer des prestations de type "Red Team" à six chiffres, totalement disproportionnées par rapport à leurs obligations réelles.


Pour répondre à cette incohérence du marché, nous avons aligné notre catalogue de services sur la réalité réglementaire :


Option A : L'Offre "Compliance Core" (Cible : Art. 24)

Pour les Fintechs, les sociétés de gestion, les établissements de paiement de taille intermédiaire.

  • Contenu : Programme annuel de tests d'intrusion, scans de vulnérabilités récurrents managés, audit de configuration cloud et accompagnement à la remédiation avec des RSSI à temps partagés.

  • Avantage : Vous cochez toutes les cases de l'Article 24, vous sécurisez vos actifs, sans exploser votre budget avec des tests inutiles.


Option B : L'Offre "Resilience Elite" (Cible : Art. 26)

Pour les Banques, Assureurs majeurs et infrastructures de marché.

  • Contenu : Campagne de TLPT complète.

    • Phase de Threat Intelligence (ciblage spécifique).

    • Red Teaming sur environnement de production.

    • Certification TIBER-EU de nos experts.

    • Blue Teaming (accompagnement de vos équipes défensives).

  • Avantage : Une conformité totale aux exigences les plus strictes de l'Europe et une élévation drastique de votre posture de défense.


5. FAQ : Les questions que vous n'osez pas poser


Q : Je suis une Fintech, mais un gros client bancaire me demande un TLPT. Que faire ? R : C'est un cas fréquent de "ruissellement" de la conformité. Si vous êtes un prestataire critique pour cette banque, elle peut vous l'imposer contractuellement (via l'Art. 28 sur les tiers). Dans ce cas, l'offre "Resilience Elite" est nécessaire, mais le périmètre peut être réduit à ce qui concerne ce client spécifique.

Q : Quelle est la fréquence obligatoire des tests ? R : Pour l'Article 24, les tests doivent être effectués "au moins une fois par an" (pour les pentests). Pour l'Article 26 (TLPT), la fréquence est généralement de "tous les 3 ans".

Q : Puis-je faire ces tests en interne ? R : DORA autorise les testeurs internes, MAIS à des conditions strictes d'indépendance (pas de lien hiérarchique avec les équipes qui gèrent les systèmes) et de compétence. Pour le TLPT, le recours à un tiers externe est souvent privilégié pour garantir l'impartialité vis-à-vis du régulateur.


Conclusion : Investissez dans votre Risque, pas dans la Peur


DORA est une opportunité de rationaliser vos dépenses de sécurité. N'achetez pas de la conformité au kilo. Achetez de la pertinence.

  • Si vous devez répondre à l'Article 24, visez l'excellence opérationnelle et l'automatisation avec Compliance Core.

  • Si vous jouez dans la cour des grands (Article 26), préparez-vous au combat réel avec Resilience Elite.

Vous avez un doute sur votre classification ou sur le niveau de test requis ? Les experts Safercy peuvent réaliser une analyse de proportionnalité gratuite pour cadrer votre besoin réglementaire.

Sources :

  • Règlement (UE) 2022/2554 (DORA), Chapitre IV.

  • RTS (Normes Techniques de Réglementation) sur les tests de résilience.

  • Cadre TIBER-EU (Banque Centrale Européenne).

 
 
bottom of page