DORA
DORA, applicable depuis 2025, permet d’améliorer la résilience des entités du secteur financier. Assecio et ses experts accompagnent les organismes bancaires ainsi que les prestataires de services TIC dans leur mise en conformité et le maintien des attentes autour du référentiel, à l’aide de tests d’intrusion DORA et accompagnements adaptés.
Que vous ayez un besoin stratégique autour de DORA ou que vous souhaitiez tout simplement mettre en oeuvre votre programme de tests de résilience opérationnelle, découvrez nos services ci-dessous.
Tests d’intrusion applicatifs, infra, mobiles
article 25
Le règlement DORA demande la réalisation de tests appropriés sur les outils, systèmes et processus de TIC. Ces tests peuvent être de différente nature — tests d’intrusion DORA, scans de vulnérabilités, audits de code source ou tests de performance.
Chez Assecio, nous vous proposons la réalisation de tests d’intrusion DORA (ou de pénétration) afin de renforcer votre programme de résilience, améliorer votre niveau de sécurité et vous conformer au règlement.
Nos tests d’intrusion, à finalité non destructive et alignés avec les bonnes pratiques du métier comme l’OWASP ou le MITRE ATT&CK Framework, peuvent être réalisés :
- sur des environnements Cloud (AWS, GCP, Azure, etc.) indépendamment de la couche d’abstraction utilisée ;
- sur des environnements on-premise hébergés par vous-même ou un prestataire TIC.
Chez Assecio, nous nous occupons :
- de vous challenger sur le périmètre à tester en fonction de la criticité de vos actifs et de votre environnement ;
- d’identifier les parties prenantes à contacter, faisant partie du test ;
- de réaliser le protocole (ou mandat) d’audit ;
- de vous accompagner dans la collecte des informations nécessaires à la bonne réalisation du test (accès à distance ou sur site, comptes, outils) ;
- de vous conseiller sur la périodicité ou la mise à jour de votre programme de résilience.
Toute offre de test d’intrusion inclut par défaut un contre-audit, réalisable en général 3 mois après le test initial, pour confirmer la correction des vulnérabilités.
DORA, article 25 : Test des outils et systèmes de TIC
[…] l’exécution de tests appropriés, tels que des évaluations et des analyses de vulnérabilité,
des analyses de sources ouvertes, des évaluations de la sécurité des réseaux, des analyses des écarts, des examens de la
sécurité physique, des questionnaires et des solutions logicielles de balayage, des examens du code source lorsque cela est
possible, des tests fondés sur des scénarios, des tests de compatibilité, des tests de performance, des tests de bout en bout et
des tests de pénétration. […]
Tests d’intrusion red team type « TLPT »
article 26
DORA introduit la notion de TLPT (Threat Level Penetration Test) : un test d’intrusion de type red team, exploitant le framework TIBER-EU.
Similaire en termes de méthodologie au test d’intrusion classique, ces tests diffèrent sur plusieurs aspects :
- les équipes opérationnelles ne sont pas informées de la réalisation des tests ;
- les tests couvrent l’ensemble de l’activité de l’entreprise, ou des fonctions critiques incluant le SI interne et les prestataires associés ;
- la mission se déroule sur une période plus longue, de quelques semaines à quelques mois ;
- tous les moyens sont mis en œuvre pour atteindre les objectifs, sans finalité de destruction.
La méthodologie des tests d’intrusion s’applique également aux tests red team, et nous nous occupons de :
- vous challenger sur le périmètre à tester en fonction de la criticité de vos actifs et de votre environnement ;
- identifier les parties prenantes à contacter, faisant partie du test ;
- réaliser le protocole (ou mandat) d’audit ;
- vous accompagner dans la collecte des informations nécessaires à la bonne réalisation du test (accès à distance ou sur site, comptes, outils) ;
- vous conseiller sur la périodicité ou la mise à jour de votre programme de résilience.
DORA, article 26 : Tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace
1. Les entités financières […] effectuent au moins tous les trois ans des tests avancés au moyen d’un test de pénétration fondé sur la menace. En fonction du profil de risque de l’entité financière et compte tenu des circonstances opérationnelles, l’autorité compétente peut, le cas échéant, demander à l’entité financière de réduire ou d’augmenter cette fréquence.
2. Chaque test de pénétration fondé sur la menace couvre plusieurs, voire la totalité, des fonctions critiques ou importantes d’une entité financière et est effectué sur des systèmes en environnement de production en direct qui soutiennent ces fonctions.
Test du plan de réponse et de gestion de crise
article 5
Le règlement européen DORA impose aux entités financières de mettre en place un cadre de gestion des risques liés aux TIC, incluant des procédures formalisées de réponse aux incidents et de gestion de crise.
Ces procédures doivent être testées régulièrement afin de garantir leur efficacité opérationnelle, leur réactivité et leur capacité à limiter l’impact d’un incident sur les services critiques.
Nous vous proposons la réalisation de ces tests conformément à vos procédures internes existantes, ou pouvons également vous accompagner dans la conception d’un processus de test complet, incluant la définition des scénarios, la planification, la coordination des acteurs et l’analyse des résultats.
Nos exercices, conçus pour être réalistes, progressifs et non perturbateurs pour l’activité, peuvent être réalisés :
- sur des processus internes de réponse aux incidents (cyberattaque, panne critique, perte de données, etc.) ;
- sur des plans de gestion de crise mobilisant des équipes techniques, métiers, juridiques et communication ;
- sur des situations de crise complexes, impliquant des prestataires tiers ou des dépendances critiques.
Chez Assecio, nous nous occupons :
- de challenger vos procédures existantes et d’identifier les scénarios pertinents à tester ;
- d’impliquer les parties prenantes clés (équipes techniques, COMEX, juridique, communication, prestataires) ;
- de rédiger le mandat de test et le scénario de crise, aligné avec les exigences de l’article 5 de DORA ;
- de piloter la réalisation de l’exercice, en mesurant les temps de réaction, la coordination, la qualité de la communication et la prise de décision ;
- de réaliser un débriefing détaillé avec cartographie des points forts, axes d’amélioration et recommandations concrètes.
Chaque exercice inclut la remise d’un rapport d’évaluation complet, documentant les résultats, les écarts observés, ainsi que les actions correctives prioritaires à mettre en œuvre pour renforcer votre posture de résilience opérationnelle.
DORA, article 5 : Gouvernance et organisation
[…] L’organe de direction:
[…] e) approuve, supervise et examine périodiquement la mise en œuvre de la politique de continuité des activités de TIC de l’entité financière et des plans de réponse et de rétablissement des TIC visés, respectivement, à l’article 11, paragraphes 1 et 3, qui peuvent être adoptés en tant que politique spécifique faisant partie intégrante de la politique globale de continuité des activités et du plan de réponse et de rétablissement de l’entité financière.
Audit des fournisseurs & partenaires TIC
article 30
Le règlement européen DORA impose, à travers son article 24, la mise en place d’un cadre de gestion rigoureux des risques liés aux prestataires et partenaires de services TIC. Celui-ci comprend notamment l’obligation pour les entités financières d’évaluer, surveiller et auditer régulièrement leurs fournisseurs, avant et pendant la durée de la relation contractuelle, afin de garantir que ceux-ci respectent des exigences élevées de sécurité, de résilience, de continuité et de conformité réglementaire.
Nous vous proposons la réalisation de ces audits conformément à votre méthodologie interne si celle-ci est déjà définie, ou pouvons également vous accompagner dans la construction complète du processus d’évaluation et d’audit, incluant la cartographie des risques, la définition des critères d’analyse et les modalités de contrôle.
Nos audits, réalisés dans une approche non intrusive et collaborative, peuvent être menés :
- sur des prestataires d’infrastructures et d’hébergement (Cloud, datacenters, services réseau) ;
- sur des fournisseurs de solutions critiques (paiement, authentification, supervision, sauvegarde, etc.) ;
- sur des partenaires techniques ou fonctionnels intégrés à vos chaînes de service critiques.
Chez Assecio, nous nous occupons :
- de challenger et prioriser la liste de vos fournisseurs critiques en fonction de votre cartographie des dépendances TIC ;
- d’identifier les points de contrôle clés (sécurité, continuité, gouvernance, conformité réglementaire, obligations contractuelles) ;
- de rédiger le mandat d’audit et la grille d’évaluation alignés avec les exigences de l’article 24 de DORA ;
- de collecter et analyser les informations nécessaires : politiques de sécurité, rapports de conformité, certifications, procédures d’incident, résultats de tests, etc. ;
- de réaliser l’audit complet, incluant :
- l’évaluation de la gouvernance et de la gestion des risques du fournisseur,
- l’analyse des mesures de sécurité technique et organisationnelle,
- la revue de la gestion des incidents et des plans de continuité,
- l’examen des pratiques de mise à jour, de surveillance et de reporting,
- l’analyse de la conformité aux exigences contractuelles et réglementaires.
Chaque mission inclut la remise d’un rapport d’audit complet avec une évaluation du niveau de risque par fournisseur, des recommandations priorisées, ainsi qu’un plan d’actions correctives destiné à renforcer votre chaîne d’approvisionnement TIC et à assurer votre conformité continue au règlement DORA.
DORA, article 30 : Principales dispositions contractuelles
[…] 3. Les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes comportent au moins […] e) le droit d’assurer un suivi permanent des performances du prestataire tiers de services TIC, qui comprend les éléments
suivants :
i) les droits illimités d’accès, d’inspection et d’audit par l’entité financière ou par une tierce partie désignée, et par l’autorité compétente, et le droit de prendre des copies des documents pertinents sur place s’ils sont essentiels aux activités du prestataire tiers de services TIC, dont l’exercice effectif n’est pas entravé ou limité par d’autres accords contractuels ou politiques d’exécution;
ii) le droit de convenir d’autres niveaux d’assurance si les droits d’autres clients sont affectés;
iii) l’obligation pour le prestataire tiers de services TIC de coopérer pleinement lors des inspections sur place et des audits effectués par les autorités compétentes, le superviseur principal, l’entité financière ou une tierce partie désignée; et
iv) l’obligation de fournir des précisions sur la portée, les procédures à suivre et la fréquence de ces inspections et audits.
Programme de tests de résilience opérationnelle
article 24
Vous n’avez pas encore préparé votre programme de tests de résilience, vous souhaitez le mettre à jour ou encore le challenger ?
Chez Assecio, nous vous accompagnons dans la mise à disposition d’un programme de résilience complet, couvrant une périodicité de 3 ans, et incluant :
- l’identification des actifs, solutions et processus à tester, avec leur niveau de priorité et d’importance ;
- le type de test à effectuer en fonction de la nature de votre activité, du périmètre concerné et de la période, avec la périodicité de réalisation ;
- les autres contrôles, audits et tests relatifs aux réglementations annexes auxquelles vous devez vous conformer (PCI DSS, ISO 27001, référentiels internes).
Le programme de tests de résilience peut être livré sous format Excel, mais peut également être intégré au sein de vos outils de GRC si vous en disposez.
Ce document de travail clé est rédigé de manière à être actionnable, mis à jour mensuellement et conforme aux attentes du règlement DORA.
DORA, article 24 : Exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique
1. Afin d’évaluer l’état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en œuvre des mesures correctives, les entités financières […] établissent, maintiennent et réexaminent […] un programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante du cadre de gestion du risque lié aux TIC visé à l’article 6.
2. Le programme de tests de résilience opérationnelle numérique comprend une série d’évaluations, de tests, de
méthodologies, de pratiques et d’outils à appliquer conformément aux articles 25 et 26.
Nos services
Découvrez notre gamme de services pour vous accompagner dans votre stratégie cybersécurité, qu’elle soit drivée par vos besoins métiers ou vos mises en conformité.
J'ai un besoin stratégique
Vous souhaitez être accompagné dans votre roadmap cybersécurité, vous avez un projet ou une solution à auditer, ou encore un besoin métier clef au sein de votre organisation.
ISO 27001
Vous êtes certifiés ISO 27001 ou en cours de mise en conformité – Vous souhaitez réaliser des tests d’intrusion, des audits internes ou encore avoir du support sur votre SMSI.
PCI DSS
Vous gérez des données de cartes bancaires, êtes un commerçant ou un prestataire de service de paiement, et souhaitez challenger le niveau de sécurité de votre périmètre CDE.
DORA
Vous êtes un organisme bancaire ou un prestataire TIC, et avez un programme de tests de résilience opérationnelle à dérouler, des tests d’intrusion au test du PCA.
ISO 42001
Vous vous intéressez à l’intelligence artificielle, vous avez une démarche d’implémentation de SMIA ou souhaitez tester les agents, les fournisseurs et les solutions IA implémentées.
RGPD
Que vous soyez DPO ou simplement concerné par le RGPD, vous avez un besoin relatif à la gestion des risques, une analyse d’impact ou encore de tester une solution gérant des DCP.
NIS 2
Vous êtes concernés par la directive NIS 2 ou pensez l’être, et souhaitez évaluer les dispositifs mis en œuvre pour démarrer ou vérifier votre conformité en tant que EE/EI.
Qui sommes-nous ?
Parce que cet ensemble peut être une mise en conformité initiale ou son maintien, la découverte d’un nouveau périmètre, un enjeu interne fort ou encore la nécessité de tester la robustesse d’une solution avant mise en production : l’adaptabilité de nos méthodes à vos enjeux nous permettront, ensemble, de voir le plus loin possible.
Pourquoi nous choisir ?
Notre engagement : une pluricompétence et des valeurs claires pour vous accompagner avec excellence dans vos projets les plus complexes.
Technicité
Des certifications et de nombreuses années d’expérience passées à auditer, conseiller et se faire auditer.
Indépendance
Des constats et recommandations transparentes, objectives et alignées avec nos expertises.
Objectivité
Une approche factuelle basée sur des méthodologies éprouvées et reconnues.
Sur mesure
Une approche et un conseil adapté à votre contexte et vos enjeux spécifiques.
Technicité
Des certifications et de nombreuses années d’expérience passées à auditer, conseiller et se faire auditer.
Indépendance
Des constats et recommandations transparentes, objectives et alignées avec nos expertises.
Objectivité
Une approche factuelle basée sur des méthodologies éprouvées et reconnues.
Sur mesure
Une approche et un conseil adapté à votre contexte et vos enjeux spécifiques.
Vous avez un projet ?
Pour tout renseignement ou besoin, n’hésitez pas à nous contacter et nous reviendrons vers vous sous 24h.