Tests TLPT DORA : tests de pénétration fondés sur la menace

02L'essentiel

Ce qu'il faut retenir

Le pilier « tests de résilience » prévoit, pour certaines entités, des tests de pénétration fondés sur la menace (TLPT). En France, l'autorité compétente (Banque de France, ACPR, AMF, et la BCE pour les établissements de crédit importants) identifie ces entités par une lettre dédiée. La liste n'est pas rendue publique.

03En détail

Ce que le règlement implique ici

Tous les tests de résilience prévus par DORA ne se valent pas. Le règlement (UE) 2022/2554 distingue un socle de tests réguliers, applicable largement, et les tests de pénétration fondés sur la menace (TLPT), réservés à certaines entités présentant une importance pour la stabilité financière.

La liste des entités soumises au TLPT n'est pas publique. En France, l'autorité compétente (Banque de France, ACPR et AMF, ainsi que la BCE pour les établissements de crédit importants) identifie ces entités et les contacte bilatéralement par une lettre dédiée. Tant qu'une entité n'est pas identifiée, elle n'a pas à conduire de TLPT à ce titre.

Pour les entités concernées, un TLPT est un exercice exigeant qui se prépare : périmètre des fonctions critiques, scénarios fondés sur la menace réelle, et coordination avec l'autorité. Le cadre s'inscrit dans la continuité des approches européennes de tests fondés sur la menace.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit de conformité DORA pose le point de départ documenté de votre démarche.