DORA impose un cadre harmonisé pour la résilience opérationnelle numérique dans le secteur financier européen via le Règlement (UE) 2022/2554, en définissant des exigences spécifiques pour les tests de sécurité qui vont au-delà des TLPT, en impliquant des vérifications ordinaires et continues sur tous les systèmes et outils TIC.

Test de résilience opérationnelle numérique dans DORA

Le test de résilience opérationnelle numérique constitue le quatrième pilier de DORA et garantit que les entités financières sont capables de résister, de répondre et de rétablir leurs opérations en cas de menaces et d’interruptions TIC. Ces obligations s’appliquent à plus de 20 types d’entités financières dans l’UE, avec pour objectif de prévenir et d’atténuer les cybermenaces grâce à une validation constante des défenses.

Tests « de base » et TLPT : différences

• Tests de base (Articles 24 et 25) : Requis pour presque toutes les entités financières, ils incluent un large spectre de vérifications sur les outils et systèmes TIC et représentent l’exigence minimale pour évaluer la robustesse des défenses.
• TLPT (Threat-Led Penetration Testing – Article 26) : Il s’agit de tests avancés basés sur l’intelligence qui simulent les tactiques d’acteurs malveillants réels. Ils sont obligatoires uniquement pour les entités identifiées par les autorités comme étant systémiquement importantes ou ayant un profil de risque spécifique, et doivent être effectués sur des systèmes de production réels et opérationnels.

Tests requis par l’Article 25

L’Article 25 exige un programme de test structuré avec diverses méthodologies, notamment :

• Source code review : Révisions du code source avec des tests statiques et dynamiques.
• Security testing pour les systèmes exposés : Vérifications de sécurité pour les applications et systèmes accessibles via Internet.
• Vulnerability assessment : Cadre pour la gestion et l’élimination des vulnérabilités.
• Test des paquets logiciels : Contrôles de sécurité avant la mise en œuvre de nouveaux paquets logiciels.
• Analyse d’impact et de compatibilité : Tests pour garantir que les nouveaux systèmes n’introduisent pas de vulnérabilités dans les processus TIC existants.

Responsabilité et approche des tests

Les entités financières doivent adopter une approche basée sur le risque, en dimensionnant les ressources pour les tests en fonction de la criticité des actifs TIC et des procédures d’entreprise. Les vérifications doivent être effectuées par des équipes indépendantes du développement ou de l’exploitation des systèmes, avec des testeurs possédant l’aptitude, la réputation et les compétences techniques certifiées. Pour les TLPT, la participation de fournisseurs de cyber-renseignement (threat intelligence) extérieurs à la banque ou au groupe est requise.

Fréquence minimale des tests sur les systèmes critiques

• Vulnerability scanning : Sur les systèmes qui supportent des fonctions critiques ou importantes, les scans doivent être effectués au moins chaque semaine.
• Business Continuity Plans : Les plans TIC de continuité opérationnelle doivent être testés au moins annuellement ou après des changements substantiels.
• Révision générale : Au moins une fois par an, il est nécessaire de vérifier que les éventuelles modifications stratégiques sont reflétées dans le programme de test.
• TLPT : La fréquence est généralement triennale, sauf dispositions contraires de l’autorité compétente.

Lien entre tests, remédiation et gouvernance

Le programme de test doit s’intégrer à la gouvernance de l’entité financière. Les résultats doivent être documentés et analysés pour identifier les lacunes ; pour chaque vulnérabilité, un plan de remédiation détaillé est requis. L’organe de direction a la responsabilité finale de la supervision et de l’approbation des résultats et des plans d’atténuation des risques.

FAQ

• DORA impose-t-il toujours le test d’intrusion (penetration test) ?
• Oui, des tests de sécurité assimilables à des tests d’intrusion sont requis pour toutes les entités financières, dans le cadre de la gestion des vulnérabilités et de la sécurité des systèmes exposés. Le test avancé TLPT, cependant, n’est requis que pour les entités les plus pertinentes.
• DORA impose-t-il toujours le TLPT ?
• Non, l’obligation ne s’applique qu’aux entités financières matures au niveau TIC ayant un impact systémique ; les autorités peuvent exclure les entités pour lesquelles le test ne serait pas justifié par le profil de risque.
• À quelle fréquence les systèmes critiques doivent-ils être testés ?
• Scans de vulnérabilité au moins hebdomadaires, autres tests généraux de résilience et de continuité au moins annuellement.

Assurez votre conformité : demandez une évaluation initiale de votre programme de test DORA pour définir correctement le périmètre de vérification de vos systèmes critiques.