DORA et Tests TLPT — Guide pour les Fintechs en 2024

Qu'est-ce que DORA ?

DORA (Digital Operational Resilience Act) est un règlement européen (UE 2022/2554) entré en application le 17 janvier 2025. Il impose des exigences de résilience opérationnelle numérique aux entités financières de l'UE.

Entités concernées

Banques, assurances, gestionnaires d'actifs, plateformes de trading, prestataires de services de paiement (PSP), sociétés de crypto-actifs (MiCA), et leurs fournisseurs ICT critiques.

Les TLPT — Threat-Led Penetration Testing

DORA impose des tests TLPT aux "entités financières significatives" tous les 3 ans. Les TLPT sont des exercices de Red Team avancés basés sur le renseignement de menaces réelles (threat intelligence) ciblant spécifiquement votre secteur.

Cadre TIBER-EU

Le TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) est le cadre européen pour les TLPT. Il comprend 3 phases : Threat Intelligence (renseignement sur les menaces réelles), Red Team Testing (simulation d'attaque APT), Closure & Remediation (remédiation et rapport).

Autres obligations DORA

Gestion des risques ICT (Art. 6-16), gestion des incidents (Art. 17-23), tests de résilience opérationnelle (Art. 24-27), gestion des risques tiers ICT (Art. 28-44), partage d'informations sur les cybermenaces (Art. 45).

Sanctions

Jusqu'à 1% du CA mondial quotidien pendant 6 mois maximum pour les entités non conformes. Les prestataires ICT critiques : jusqu'à 5M€ ou 1% du CA mondial.