← Tous les articles

consultant

TLPT (red team piloté par la menace) : répondre à DORA art. 26‑27

DORA oblige certaines entités financières à conduire des tests d’intrusion pilotés par la menace sur systèmes de production. Voici comment une mise en œuvre TLPT structurée coche, point par point, les articles 26‑27.

Par Cyber Luxgap 11/05/2026

TLPT (red team piloté par la menace) : la réponse à DORA articles 26‑27

Excerpt : DORA impose aux entités financières « significatives » de mener des tests d’intrusion pilotés par la menace sur systèmes de production. Voici comment une mise en œuvre TLPT structurée coche, point par point, les articles 26‑27.

Ce que demande la loi

Le règlement (UE) 2022/2554 (« DORA ») est applicable depuis le 17 janvier 2025. Ses articles 26‑27 instaurent un régime de tests avancés : certaines entités, identifiées par l’autorité compétente, doivent réaliser un Threat‑Led Penetration Test (TLPT) fondé sur des scénarios d’attaque réalistes et exécuté sur des systèmes de production, couvrant « plusieurs ou toutes » leurs fonctions critiques ou importantes. Le test doit être conduit par des prestataires externes répondant à des critères d’indépendance, de compétence et d’éthique, avec des exigences de planification, de gouvernance, de sécurité et de confidentialité. À l’issue, l’autorité émet une attestation permettant la reconnaissance mutuelle entre autorités compétentes de l’UE, et l’entité doit traiter les constats et, si nécessaire, réaliser un retest. Voir textes : EUR‑Lex – DORA, art. 26‑27. La CSSF rappelle l’entrée en application et précise qu’elle est l’autorité TLPT au Luxembourg pour les entités sous sa supervision, et que le cadre TIBER‑LU (adaptation nationale de TIBER‑EU) est la référence opérationnelle pour ces tests : CSSF – Entrée en application de DORA, CSSF – TIC et cyber‑risque (TLPT/TIBER‑LU). Pour la méthode TIBER‑EU (cadre européen des tests éthiques pilotés par le renseignement), voir la Banque centrale européenne : ECB – Qu’est‑ce que TIBER‑EU ?. Pour un rappel opérationnel du cadre DORA au Luxembourg, consultez notre page dédiée : DORA Luxembourg et le volet réglementaire DORA.

La solution technique (état de l’art)

TLPT n’est pas un « pentest » classique. Il s’agit d’un exercice de red team mené sur la base de renseignement de menace ciblé (TTPs, acteurs, campagnes pertinentes pour votre secteur et votre empreinte technologique). En pratique :

  • Renseignement de menace ciblé (TI) : collecte multi‑sources (CTI, fuites d’identifiants, dark web, rapports sectoriels) pour formuler des scénarios d’attaque plausibles. Référence contexte : ENISA – Threat Landscape.
  • Scénarisation et règles d’engagement : sélection de « chemins d’attaque » vers des fonctions critiques (paiements, garde de titres, core banking, systèmes d’ordonnancement…), délimitations de sécurité, fenêtres de tir, procédures d’arrêt et de désescalade.
  • Test sur production : exécution contrôlée (OPSEC du red team, déconfliction, enregistrements) sur les environnements de production, comme l’exige l’art. 26. Les exercices peuvent inclure initial access (phishing ciblé ou exploitation), mouvement latéral, escalade de privilèges, domain dominance limité, et atteinte d’objectifs « business » vérifiables.
  • Observation défensive : mesure de la détection et de la réaction du blue team (SOC, EDR/XDR, SIEM) sans préavis initial, puis phase purple team (partage technique et re‑jeu guidé) pour ancrer les enseignements. TIBER‑EU encadre cette articulation : ECB – TIBER‑EU. Pour renforcer vos capacités de détection pendant et après l’exercice, voyez notre SOC managé.
  • Rapportage, remédiation, re‑test : rapport structuré (chaînes d’attaque, preuves, métriques de détection), plan d’actions priorisé, validation post‑correction et attestation par l’autorité au besoin (reconnaissance mutuelle UE). Base juridique : DORA, art. 26‑27.

Référentiels utiles :

  • ISO/IEC 27001 / 27002 (2022) : gestion des vulnérabilités, tests de sécurité, amélioration continue du SMSI (cohérence avec TLPT pour l’efficacité des contrôles).
  • NIST CSF 2.0 : fonctions « Detect » (DE.AE – détection d’événements anormaux) et « Respond » (RS.AN – analyse des incidents), renforcées par les enseignements TLPT.
  • CIS Controls v8 : Contrôle 18 « Penetration Testing » et Contrôle 13 « Network Monitoring and Defense », utilisés pour cadrer les mesures correctives issues du TLPT.

Côté « Level 2 » (actes délégués/implémentation), la Commission publie les normes techniques qui précisent des points d’exécution, y compris pour les tests avancés : Commission européenne – Mesures DORA de niveau 2.

Comment Luxgap déploie cela

Notre approche TLPT s’aligne sur DORA et TIBER‑LU, avec un pilotage gouvernance « zéro surprise » :

  • Gouvernance ISO 27001 : nos Lead Implementer/Lead Auditor certifiés cadrent le périmètre (fonctions critiques), l’analyse de matérialité, la cartographie des dépendances TIC, et la conformité documentaire attendue à l’issue du test (dossier de test, traçabilité des risques, plan de remédiation).
  • Notre dark web monitoring : nous alimentons la phase de threat intelligence avec des indicateurs concrets (identifiants exposés, fuites de code, kits d’attaque émergents) pour élaborer des scénarios pertinents et traçables face aux TTPs observés dans le secteur (référence contexte ENISA – Finance sector et Threat Landscape). Pour enrichir cette collecte, découvrez notre service de surveillance du dark web.
  • Notre SOC managed (si choisi par le client) : pendant l’exercice, nous instrumentons la télémétrie (SIEM/XDR), collectons les signaux, comparons « temps de détection » et « qualité » face aux TTPs du scénario, puis tenons une purple session pour transformer les constats en règles de détection et playbooks.

Concrètement, nous procédons en cinq étapes : (1) cadrage et notification initiale à l’autorité quand requis par TIBER‑LU/CSSF ; (2) production TI et scénarisation ; (3) règles d’engagement et sécurités (points d’arrêt, sauvegardes, plan de continuité) ; (4) exécution sur production avec journalisation complète et réunions de déconfliction ; (5) rapport, plan d’actions, re‑test et préparation du dossier d’attestation. Les exigences de DORA sur le recours à des testeurs externes qualifiés et indépendants (art. 27) sont intégrées dans nos contrats et notre séparation des rôles.

Cas concret au Luxembourg ou en UE

Une société de services d’investissement luxembourgeoise, soumise à la CSSF et identifiée comme périmètre TLPT, a confié à Luxgap un exercice ciblant sa fonction « exécution/compensation ». Les scénarios (inspirés d’attaques récentes du secteur, corroborées par nos veilles et l’ENISA Threat Landscape) visaient la compromission d’un poste d’opérateur, le mouvement latéral vers l’orchestrateur de flux et l’altération d’ordres. L’exercice en production, sous TIBER‑LU, a mis en évidence : visibilité EDR insuffisante sur un segment historique, règles de corrélation SIEM perfectibles et besoin de durcir IAM sur les comptes techniques. Les mesures ont été implémentées et vérifiées en re‑test, puis le dossier a été soumis à la CSSF pour attestation conformément à DORA art. 26‑27 et au cadre TIBER‑EU/TIBER‑LU.

Premiers pas concrets

  1. Vérifiez votre éligibilité TLPT : confirmez avec votre autorité (CSSF pour les entités financières au Luxembourg) si vous relevez de l’art. 26 DORA et du dispositif TLPT/TIBER‑LU. Réf. : CSSF – TLPT.
  2. Cartographiez vos fonctions critiques : alignez votre registre des fonctions « critiques ou importantes » et leurs chaînes de dépendances TIC (on‑prem, cloud, tiers) ; ce sera le cœur du périmètre TLPT.
  3. Préparez vos règles d’engagement : définissez tôt les sauvegardes, les fenêtres de tir, la cellule de crise technique et les mécanismes d’arrêt ; sécurisez les autorisations nécessaires pour intervenir sur production.
  4. Consolidez détection et journalisation : avant le test, assurez‑vous que SIEM/XDR collectent les bons journaux aux bons endroits afin de tirer un bénéfice maximal des enseignements. Un SOC managé peut accélérer cette préparation et l’exploitation des résultats.
  5. Choisissez des partenaires conformes : exigez l’indépendance, l’expérience TIBER‑EU/TIBER‑LU et la capacité à fournir un dossier complet (plan de test, preuves, plan d’actions et re‑test) répondant à DORA art. 26‑27. Pour le contexte réglementaire, consultez notre page DORA. Pour échanger sur votre cas, contactez‑nous.

Sources officielles

cybersecurite solution dora tlpt tiber-eu red-team soc
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →