Blockchains ExpertsBlockchains Experts
Retour au blog

Blog

DORA TLPT : à quoi ressemble vraiment un threat-led penetration test

L'article 26 de DORA impose des threat-led penetration tests aux entités financières significatives, y compris les gros CASP. Voici ce que recouvre vraiment un TLPT, en quoi il diffère d'un pentest standard, et à quoi s'attendre dans une mission alignée TIBER-EU.

FL

Florian Amette

@f4k

Si votre entité financière dans l'UE est classée « significative » au sens de DORA (ça inclut les plus gros exchanges crypto, les émetteurs de stablecoins et les dépositaires qualifiés), vous êtes dans le périmètre du threat-led penetration testing (TLPT) tous les trois ans. Ce n'est pas un pentest Web3 standard avec un autre nom. La méthodologie, le périmètre, le budget et l'implication du superviseur sont différents. Cet article détaille à quoi ressemble vraiment un TLPT.

Ce que dit l'article 26 de DORA

Le texte de l'article 26 établit le TLPT comme une obligation périodique pour les entités significatives. Les standards techniques d'application (RTS) l'alignent sur TIBER-EU, le cadre européen existant pour le test red-team intelligence-led des infrastructures de marché financier, développé à l'origine par la BCE.

Les exigences clés :

  1. Threat intelligence-led : les tests doivent simuler les tactiques, techniques et procédures (TTP) d'un acteur de menace réaliste, capable de cibler votre entreprise.
  2. Systèmes en production live : le TLPT tourne contre la production, pas un staging. Le périmètre inclut les fonctions critiques et les systèmes ICT supportant.
  3. Testeurs indépendants : les testeurs doivent répondre à des exigences de certification, d'indépendance et de méthodologie (article 27).
  4. Implication du superviseur : le test plan est partagé avec le superviseur ; parfois une « white team » interne coordonne avec le superviseur et les testeurs.
  5. Cadence triennale : le cycle se répète, avec une threat intelligence rafraîchie à chaque tour.

En quoi le TLPT diffère d'un pentest standard

Un pentest Web3 standard est cadré, time-boxé, à la recherche de findings exploitables sur une surface du périmètre (une dApp, une API, un node, un système de custody). Le livrable est un rapport de findings.

Le TLPT est un exercice différent :

  • Le périmètre, ce sont les fonctions critiques de l'entreprise, pas une liste de systèmes. Les testeurs cartographient les systèmes qui supportent ces fonctions et décident où concentrer l'effort.
  • Le point de départ, c'est la threat intelligence, pas un inventaire de systèmes. Un fournisseur de TI produit un brief sur les acteurs susceptibles de cibler l'entreprise, leurs TTP typiques, et les vecteurs d'entrée probables. La red team joue ensuite un de ces acteurs.
  • La détection fait partie du test. La blue team (votre security operations) n'est pas informée à l'avance : le TLPT mesure à la fois la résilience des systèmes et la capacité de détection-réponse du SOC.
  • Le livrable est un debrief, pas seulement des findings. Une session purple team reconstruit la chaîne d'attaque, ce qui a été détecté, ce qui ne l'a pas été, et à quoi a ressemblé la réponse end-to-end.

En pratique, un TLPT pour un gros CASP peut durer 6 à 12 mois en bout en bout (threat intelligence + planification + exécution + debrief). La phase d'exécution seule fait typiquement 12 à 16 semaines.

Ce qui est testé

Le périmètre TLPT se décide au niveau de l'entreprise, mais pour un CASP typique il inclut :

  • Plateformes customer-facing (web, mobile, API).
  • Infrastructure de trading (matching d'ordres, market data, gateways FIX).
  • Infrastructure de custody et de signature (KMS, HSM, infra de signers, frontières hot/cold/warm wallets).
  • Infrastructure cloud et identity supportant (IAM, gestion de secrets, CI/CD, tooling interne).
  • Surfaces humaines opérationnelles (phishing des équipes ops et engineering, supply chain fournisseurs).

Le but n'est pas de scanner les vulnérabilités de chacun : les évaluations de vulnérabilités sous l'article 25 de DORA couvrent déjà ça. Le TLPT teste si un adversaire déterminé peut chaîner l'accès à travers toutes ces surfaces pour atteindre un objectif de haute valeur.

À quoi ressemble une mission

Une mission TLPT alignée TIBER-EU a cinq phases :

  1. Préparation (4 à 8 semaines) : engagement avec le superviseur, mise en place de la white team, définition du périmètre, cadre contractuel.
  2. Threat intelligence (4 à 6 semaines) : un fournisseur de TI produit le brief de ciblage (quels acteurs, quels TTP, quels crown jewels) qui drive le test plan.
  3. Exécution red team (12 à 16 semaines) : la red team opère contre la production, la white team coordonne, le superviseur est informé des événements majeurs.
  4. Clôture (2 à 4 semaines) : les findings sont rédigés, la chaîne d'attaque reconstruite.
  5. Purple team et remédiation (continu) : la red team et la blue team passent la mission en revue ensemble, les écarts sont suivis, la remédiation est planifiée.

Réalités budgétaires

Le TLPT est l'exercice de test le plus cher du calendrier de toute société financière. Réalités budgétaires :

  • Un petit TLPT TIBER-style pour une banque régionale tombe typiquement entre 200 k€ et 500 k€ tout compris.
  • Un TLPT pour un gros CASP peut dépasser 1 M€ quand la threat intelligence, la red team et la coordination white-team sont toutes tarifées.
  • Les coûts scalent avec le périmètre (nombre de fonctions critiques) et la durée.
  • Le coût n'est pas optionnel pour les entités du périmètre : c'est une exigence réglementaire DORA.

Ce qu'il faut commencer maintenant si vous serez dans le périmètre

Si votre entreprise se dirige vers une classification « significative » sous DORA (gros bilan, grosse base utilisateurs, grosse exposition custody, ou désignation par votre superviseur), commencez à vous préparer maintenant. Concrètement :

  • Mettez en place une white team. Un petit groupe interne qui sait que le TLPT a lieu et qui coordonne avec les testeurs et le superviseur. Sans elle, le TLPT ne peut pas tourner.
  • Documentez vos fonctions critiques. Le périmètre TLPT se construit à partir de là ; si ça n'existe pas, le test plan devient un jeu de devinettes.
  • Faites tourner des évaluations de vulnérabilités pré-TLPT. Vous les devez de toute façon annuellement sous l'article 25 de DORA. Bien les faire améliore drastiquement le résultat du TLPT : la plupart des findings TLPT démarrent comme des findings d'évaluation de vulnérabilités non remédiés.
  • Construisez la capacité de détection. Le TLPT mesure la détection. Un TLPT contre un SOC qui ne détecte rien génère les mêmes findings à chaque cycle.

Pour la plupart des CASP, le chemin de « on est sous MiCA » à « on a passé notre premier TLPT » fait 18 à 24 mois. Si vous cadrez ce chemin, une mission pentest sur la surface de production est le point de départ naturel, à la fois parce que l'article 25 de DORA l'impose, et parce que c'est le premier endroit où les findings TLPT remonteront dans trois ans.

Glossaire

Concepts évoqués.

Services

Comment nous travaillons sur ce sujet.

Par secteur

Pour qui cela compte.

Pour continuer

Plus d'articles.

Un projet qui mérite un deuxième regard ? Parlons-en.

Réserver un appel maintenant
Blockchains ExpertsBlockchains Experts
·

Ressources

Société

Légal