← Toutes les lois

Conformité · Résilience opérationnelle · DORA

RTS TLPT (UE 2025/1190) : les tests de pénétration de DORA, enfin clairs.

Le règlement délégué (UE) 2025/1190 est la norme technique (RTS) qui complète l'article 26 de DORA sur les tests de pénétration fondés sur la menace (TLPT). Applicable depuis le 8 juillet 2025, mis en oeuvre au Luxembourg via le cadre TIBER-LU (BCL + CSSF). On dissipe le brouillard.

Configurer mon devis → Nous contacter
Explorateur Luxgap
Naviguez les 9 articles de la loi, avec conseil pratique Luxgap
Explorer les articles →

Qui est concerné ?

Les entités financières identifiées comme significatives par leur taille et leur importance systémique : établissements de crédit systémiques, certains établissements de paiement et de monnaie électronique, dépositaires centraux de titres (CSD), contreparties centrales (CCP), plates-formes de négociation, certaines entreprises d'assurance et de réassurance.

Un TLPT doit être réalisé au moins tous les 3 ans sur les fonctions critiques ou importantes, sur les systèmes de production réels (pas en environnement de test).

Obligations clés

  • Identification : déterminer si l'entité entre dans le périmètre TLPT (critères du RTS 2025/1190 appliqués par la CSSF, autorité TLPT au sens de l'art. 46 DORA).
  • Threat intelligence : faire produire par un fournisseur externe des scénarios d'attaque crédibles propres à l'entité.
  • Red teaming : faire exécuter par une red team certifiée des attaques réalistes (TTP d'adversaires avancés) sur les systèmes en production, sur 10 à 12 semaines, sans que les équipes de défense (blue team) ne soient prévenues.
  • Testeurs : externes par défaut ; internes uniquement sous conditions strictes d'indépendance et autorisation de l'autorité.
  • Clôture et remédiation : rapport détaillé, plan de remédiation hiérarchisé, attestation délivrée par la CSSF.
  • TIBER-LU : organiser le test selon le TIBER-LU Implementation Document (révisé le 20 juin 2025).

Échéances

Le RTS 2025/1190 a été publié au Journal officiel le 18 juin 2025 et est directement applicable depuis le 8 juillet 2025. Les exigences TLPT de DORA (art. 26) s'appliquent depuis le 17 janvier 2025. Le cadre TIBER-LU a été révisé le 20 juin 2025 pour s'aligner sur DORA et sur le TIBER-EU révisé par la BCE le 11 février 2025.

Sanctions en cas de non-conformité

Le TLPT relève du dispositif de surveillance DORA piloté par la CSSF. Un manquement aux obligations de test, ou l'absence de remédiation des vulnérabilités identifiées, expose aux sanctions DORA et CSSF : injonctions, sanctions administratives, et jusqu'à 1 % du chiffre d'affaires journalier mondial moyen pour les prestataires tiers TIC critiques. Au-delà, un test révélant des failles non corrigées fragilise toute la posture de résilience opérationnelle de l'entité.

Comment Luxgap vous aide

Notre mandat CISO dédié au secteur financier et nos équipes pentest / red team couvrent l'ensemble du cycle TLPT :

  • Diagnostic d'éligibilité : êtes-vous dans le périmètre TLPT au regard des critères du RTS 2025/1190 ?
  • Préparation TIBER-LU : white team, cadrage du périmètre, gestion des risques de l'exercice, dialogue avec la CSSF.
  • Threat intelligence et red teaming par des testeurs certifiés, selon la méthodologie TIBER-EU.
  • Remédiation : plan d'action hiérarchisé, re-test, intégration au dispositif de gestion des risques TIC (circulaire 20/750 modifiée par 25/881).

Préparez votre TLPT avant que la CSSF ne vous le demande.

Configurez un devis pour un diagnostic d'éligibilité TLPT, une préparation TIBER-LU ou un exercice red team complet. Réponse sous 24 h ouvrées.

Configurer mon devis →