La réglementation DORA exige, pour les établissements bancaires mais aussi pour les grands assureurs et réassureurs, la réalisation de tests d’intrusion fondés sur la menace, appelés TLPT, et nécessitant de faire appel à des prestataires, comme PwC, qui ont dû revoir leur organisation pour mener ces exercices de plusieurs mois.
Au cœur des bureaux du cabinet de conseil PwC, nichés dans un parc arboré de Neuilly-sur-Seine, le service cybersécurité n’était traditionnellement pas le plus prompt à communiquer sur les coulisses de son activité. Mais la réglementation DORA a bousculé les habitudes lors de son entrée en vigueur, le 17 janvier 2025. Les spécialistes jusque-là chargés de mener des tests d’intrusion, qui se concentrent sur l’identification technique des vulnérabilités sur un périmètre restreint et en concertation avec l’entreprise auditée, sont désormais déployés sur des exercices de longue haleine – rebaptisés TLPT pour « test d’intrusion basés sur la menace » – menés en toute confidentialité, puisque la grande majorité des salariés de l’entreprise auditée doit poursuivre son activité sans se douter du déroulement du test.
Légende image : la version définitive du règlement DORA a été votée le 16 janvier 2023, avec vingt-quatre mois de délai pour la mise en application. Le rapporteur du texte, le député européen Billy Kelleher, a défendu un compromis « solide, progressif et pérenne » sachant que tous les pays membres n'étaient pas au même niveau d'avancement, notamment sur les TLPT.
Et avant tout test, la réglementation européenne exige une sorte d’entretien d’embauche mené par les autorités de tutelle (soit, pour la France, l’ACPR, l’Autorité des marchés financiers et la Banque de France) et les responsables de l’entreprise concernée, afin de valider les salariés missionnés par le cabinet de...
