DORA Threat-Led-Penetration-Tests Q1 2026: Was die ersten Runs für Mittelstands-Banken und FinTechs offenlegen
FinTech & Financial Services 07.05.2026

Les stress‑tests que les banques allemandes ne réussissent pas

8 min de lecture

Les premiers véritables tests de résistance cybernétiques sous supervision européenne sont en cours, et les résultats sont plus inconfortables que prévu. Les dirigeants et responsables informatiques des banques de taille intermédiaire découvrent noir sur blanc où leur chaîne d’intelligence sur les menaces cède réellement.

06.05.2026

Les points clés en bref

  • Obligation de TLPT tous les trois ans : La BaFin et la Bundesbank désignent les établissements concernés. Ceux nommés dans la première vague de 2026 disposent de six mois seulement avant la soumission du périmètre. Un délai plus court que toute préparation classique à un audit.
  • L’intelligence sur les menaces est le goulot d’étranglement : Les tests s’appuient sur une intelligence externe qui adapte des profils d’attaquants réels au contexte spécifique de chaque établissement. Dans les premiers essais, c’est ici que surviennent les principaux retards, et non lors du red teaming lui-même.
  • Les tests TIBER-DE sont pris en compte : Les établissements testés après le 17 janvier 2025 selon le cadre TIBER-EU mis à jour peuvent intégrer ce test dans leur cycle triennal. Cela offre une marge de manœuvre aux banques ayant déjà un historique TIBER, au détriment des FinTechs qui n’en ont pas.

En lien :RegTech 2026 : DORA, AI Act, MiCA  /  PSD3 en milieu intermédiaire : APIs bancaires et finance intégrée

Ce que révèlent vraiment les premiers lancements au T1

Qu’est-ce qu’un test d’intrusion dirigé par les menaces DORA (Threat-Led Penetration Test) ? Un TLPT est une simulation d’attaque pilotée par l’intelligence sur les systèmes en production d’une entité financière, rendue obligatoire par les articles 26 et 27 du règlement (UE) 2022/2554 (DORA). Des informations externes sur les menaces servent de base, une équipe rouge agit de manière clandestine contre les fonctions critiques ou importantes de l’organisation, tandis que l’équipe bleue interne n’est pas informée du test. La sélection et la supervision sont assurées par la BaFin et la Bundesbank, le cycle s’étalant sur un minimum de trois ans.

DORA exige aux articles 26 et 27 un test d’intrusion dirigé par les menaces au moins tous les trois ans. La mécanique opérationnelle est connue du marché allemand depuis 2019 sous le nom de TIBER-DE. La différence en 2026 réside dans le fait que la supervision intervient désormais activement. La BaFin et la Bundesbank désignent les destinataires, les contactent directement et surveillent le déroulement. Il ne s’agit plus de l’exercice volontaire de résilience tel qu’en 2022.

Dans les établissements concernés par la première vague de désignations, des observations similaires circulent. La composante technique proprement dite du red teaming se déroule correctement. Les prestataires connaissent les DORA-RTS, la méthodologie est maîtrisée, et les chemins d’escalade sont déjà documentés dans la plupart des banques depuis les expériences TIBER. Ce qui bloque, ce sont trois étapes en amont.

Premièrement, la définition du périmètre. DORA exige que soient couvertes les fonctions critiques ou importantes, c’est-à-dire les processus dont l’interruption affecterait directement l’activité commerciale, les obligations réglementaires ou les engagements clients. Cela semble clair, mais ne l’est pas. Dans une banque typique du marché intermédiaire, une fonction critique dépend de trois à sept applications, dont deux hébergées chez un fournisseur tiers de services TIC. Pour définir précisément le périmètre, il faut connaître non seulement son propre socle applicatif, mais aussi l’ensemble des prestations externalisées.

Deuxièmement, l’acquisition de l’intelligence sur les menaces (Threat Intelligence). DORA impose de faire appel à un fournisseur externe de TI capable d’identifier des profils d’attaquants concrets. Pas des listes génériques de CVE, mais des acteurs réels qui ciblent effectivement des banques de la même taille et du même modèle économique que l’établissement testé. Cette phase de TI est, dans les premiers lancements au T1, le facteur de retard le plus fréquent. Les prestataires qualifiés sont rares sur le marché DACH, et les délais d’intervention atteignent trois à quatre mois si l’on ne sollicite pas tôt.

Troisièmement, la gouvernance interne. Un TLPT implique trois rôles : l’équipe de pilotage interne, qui connaît l’exercice dans son ensemble, l’équipe bleue opérationnelle, qui ne doit rien savoir, et le responsable du TLPT au sein de la Bundesbank. Celui qui, en fonction COO, ne met pas en place tôt la matrice de communication perd deux semaines à la cinquième semaine, car l’équipe bleue aura eu accès via des canaux Slack à des indices qu’elle n’aurait pas dû voir.

Où la maturité DORA des entreprises intermédiaires s’arrête vraiment

Dans les présentations au comité de direction, la maturité DORA ressemble souvent à une liste de contrôle avec des cases cochées en vert. Gestion des risques TIC, système de déclaration des incidents, registre des fournisseurs tiers, tests de résilience. Les premiers essais TLPT montrent rapidement où l’image se brouille.

Le premier point concerne l’inventaire des externalisations. Le Register of Information, que DORA exige comme vue d’ensemble centrale des fournisseurs tiers, a été soumis par la plupart des établissements depuis le premier trimestre 2026. Mais il est rarement tenu à jour rigoureusement. Lors du TLPT, toute incohérence saute immédiatement aux yeux — par exemple, lorsqu’un service critique est hébergé dans une région différente de celle indiquée dans le registre. Le test ne cherche pas la vraisemblance, il exige la vérité.

Le deuxième point concerne la logique de détection. De nombreuses banques du secteur intermédiaire ont mis en place un SIEM ou souscrit un contrat MDR au cours des deux dernières années. Mais cela ne remplace pas des cas d’usage opérationnels. Le TLPT révèle si l’équipe bleue détecte réellement une connexion inhabituelle en provenance d’un pays backbone, ou si celle-ci passe inaperçue sous le seuil d’alerte comme une anomalie banale. Dans trois des quatre essais Q1 mentionnés lors des échanges sectoriels, c’est précisément là que la faille la plus importante a été identifiée.

Nous avons passé neuf mois à débattre, en amont, de l’amélioration de notre propre équipe bleue. En cinq jours de TLPT, nous avons appris ce que nous voyions réellement — et ce que nous ne voyions pas. Les deux premiers jours ont été décevants, les trois suivants ont constitué le contrôle le plus honnête que nous ayons jamais subi.
CISO d’une banque du secteur intermédiaire en DACH, cité de manière anonyme lors d’un débat sectoriel en avril 2026.

Le troisième point concerne la direction générale. DORA rend personnellement le comité de direction responsable de la résilience TIC. Les rapports de clôture du TLPT ne mentionnent pas seulement les points d’accès obtenus par l’équipe rouge. Ils indiquent aussi quelles décisions d’escalade ont été prises par l’équipe de contrôle, et dans quel délai la direction a été informée. Celui qui, en tant que COO, aborde un TLPT avec la mentalité d’un test d’intrusion datant de 2019, sera surpris par la rapidité du retour d’information.

Six mois, six phases : à quoi ressemble un TLPT en pratique

La séquence est définie dans la DORA-RTS et dans le cadre TIBER-EU mis à jour. Ce qui crée des frictions en pratique, ce ne sont pas les transitions entre phases, mais bien les semaines calendaires entre elles.

Feuille de route TLPT : 6 mois de la notification jusqu’au workshop de clôture
Mois 1 : Notification
La BaFin et la Bundesbank désignent l’établissement. Première réunion de lancement avec le responsable de l’équipe TLPT Cyber. L’équipe interne de contrôle est formellement mise en place. La confidentialité vis-à-vis de l’équipe bleue commence dès le premier jour.
Mois 2 : Périmètre
Définition des fonctions critiques ou importantes, cartographie des applications, des fournisseurs tiers et des flux de données. Soumission à l’autorité de surveillance. Dans la plupart des premiers cycles, c’est ici que se situe le goulot d’étranglement, et non sur le plan technique.
Mois 3 : Briefing en intelligence des menaces
Un prestataire externe d’intelligence des menaces étudie les profils d’attaquants réels, construit des scénarios et les valide avec l’équipe de contrôle. Le résultat est le rapport d’intelligence des menaces ciblées, qui servira de base au red teaming.
Mois 4 à 5 : Red Team
Phase de test active, d’au moins douze semaines. Le prestataire agit comme un attaquant réel, l’équipe bleue n’est pas informée. Les détections sont documentées en temps réel, les escalades sont gérées par l’équipe de contrôle.
Mois 6 : Clôture
Atelier de restitution réunissant le red team, le blue team et l’équipe de contrôle. Rapport transmis à l’autorité de surveillance. Plan de correction avec délais contraignants. Présentation au conseil d’administration accompagnée d’un catalogue de mesures.
après
Le compteur de trois ans démarre. Entre les tests, les exercices de résilience, les programmes de correctifs et les audits des fournisseurs tiers restent obligatoires. Le prochain cycle TLPT ne marque pas la fin des audits.

Où les FinTechs sont plus durement touchées que les banques de taille intermédiaire

Les FinTechs étaient longtemps considérées comme des acteurs « natifs du numérique », et donc opérationnellement plus rapides. Dans le contexte TLPT, cette image s’inverse à plusieurs égards. Trois d’entre eux sont visibles à partir des premières observations du T1.

Le premier point concerne la topologie cloud. Une FinTech typique s’appuie sur un ou deux hyperscaleurs, avec sa propre plateforme de conteneurs, plusieurs sous-services SaaS et un niveau d’intégration de fournisseurs tiers qui, comparé aux banques de taille intermédiaire, excède de deux ordres de grandeur le modèle classique. Le registre des sous-traitances devient ainsi un travail à temps plein, et non un sujet trimestriel.

Le second point est l’historique TIBER. Une FinTech qui n’a pas connu d’exercices antérieurs sous TIBER-DE démarre le premier cycle sans expérience. Les banques de taille intermédiaire ayant réalisé trois ou quatre tests depuis 2020 savent comment fonctionne une équipe de contrôle, tandis que les FinTechs l’apprennent en temps réel. Cela consomme deux à trois semaines non prévues dans le planning.

Le troisième point concerne la responsabilité du conseil d’administration. Dans les FinTechs, les fondateurs siègent souvent au conseil, ayant délégué DORA au titre d’un sujet de conformité. Or, dans le rapport TLPT, le conseil apparaît nommément. Celui qui a transféré opérationnellement le sujet à l’équipe sécurité se voit remettre, lors de l’atelier de clôture, un dossier pour lequel il n’est pas préparé.

3 ans
Cycle TLPT
Intervalle maximal entre deux tests d’intrusion dirigés par les menaces, conformément à l’article 26 de DORA.
6 mois
Notification jusqu’au périmètre
Période entre la notification par la BaFin et la soumission formelle du périmètre à l’autorité de surveillance.
12 semaines
Phase Red Team
Durée minimale de la phase d’attaque active, généralement précédée d’une préparation dédiée en intelligence des menaces.

Ce que doit contenir un modèle de COO lors de la première semaine

Ces derniers mois, j’ai travaillé avec plusieurs organisations sur la question de savoir à quoi doit ressembler une première maquette TLPT pour la direction générale, sans entrer dans les détails méthodologiques. Trois champs suffisent pour la première version ; le reste doit figurer en annexes.

Premièrement, une cartographie honnête de sa propre détection. Pas la brochure marketing du fournisseur SIEM, mais un tableau listant dix scénarios d’attaque réalistes et indiquant si l’équipe bleue les détecte aujourd’hui ou non. Ce tableau sera, en semaine 1, plus court qu’il ne devrait l’être. C’est justement cela qui constitue le diagnostic.

Deuxièmement, une liste des prestataires externes dont la défaillance interromprait directement une fonction critique. Avec, pour chacun, l’état du contrat, la date du dernier audit, et la classification du risque ICT dans le registre. Celui qui met plus de deux jours à établir cette liste a déjà trouvé le goulot d’étranglement avant même que le test ne le révèle.

Troisièmement, une matrice de communication. Qui compose l’équipe de pilotage, qui fait partie de l’équipe bleue, et qui informe le comité de direction selon chaque niveau d’escalade. Cette matrice détermine souvent davantage le bon déroulement du processus, dans la perception du Q1, que n’importe quelle question technique.

Une remarque en passant : dans de nombreuses organisations, la discussion autour du TLPT reste encore cantonnée au domaine cyber. Ce n’est plus le cas. Il s’agit désormais d’un exercice de clarté managériale, d’hygiène des fournisseurs externes et de responsabilité du comité de direction. C’est une question de COO, pas uniquement de CISO. Celui qui conçoit le programme ainsi gagne deux choses : une préparation plus rigoureuse, et un rapport qui, une fois clôturé, ne finit pas oublié dans un tiroir.

Et franchement, j’étais au départ prudent face à l’ampleur du travail. Six mois de disponibilité mobilisés chez le COO et le CISO, ce n’est pas un projet secondaire. Mais après les échanges sectoriels d’avril et la lecture des premiers rapports de clôture, mon avis a changé. L’effort est réel, tout comme l’effet d’apprentissage. Les organisations ayant pris au sérieux leur premier passage ressortent avec une vision bien plus nette de leur dépendance aux prestataires externes, de leur capacité de détection et de leur culture d’escalade que ce que trois années d’audits internes auraient pu offrir.

Foire aux questions

Quelles institutions seront tenues de réaliser un TLPT lors de la première vague en 2026 ?

La DORA-RTS prévoit une sélection quantitative et qualitative. Les grandes banques, les prestataires de services de paiement importants, certains assureurs et les fintechs systémiquement pertinentes seront identifiées selon des seuils et une appréciation de l’autorité de surveillance. La BaFin et la Bundesbank adressent une notification directement aux établissements concernés. Toute entité qui ne reçoit pas de notification n’appartient pas à la première vague, mais reste soumise aux tests de résilience réguliers prévus à l’article 24.

Un test TIBER-DE déjà réalisé est-il pris en compte dans le cycle DORA ?

Les tests effectués après le 17 janvier 2025 dans le cadre du cadre TIBER-EU mis à jour, aligné sur la DORA-RTS, peuvent être intégrés au cycle triennal. Les tests TIBER antérieurs de 2022 ou 2023 ne sont pas automatiquement pris en compte. La Bundesbank a publié au printemps 2026 un document de correspondance (mapping) qui doit être examiné au cas par cas.

Quel prestataire externe de renseignement sur les menaces peut être mandaté ?

La DORA-RTS précise que le fournisseur de renseignement sur les menaces (TI) doit être indépendant du prestataire chargé de l’équipe rouge (Red Team) et justifier d’une expérience avérée avec des acteurs du secteur financier. Sur le marché DACH, plusieurs acteurs établis disposent d’une expérience TIBER. Le délai de mise en place (lead-time) avant le mandat est actuellement de trois à quatre mois. Toute institution qui ne démarre qu’en phase de notification risque un retard en phase de périmètre (scope).

Quel est le volume de travail typique pour un établissement de taille intermédiaire ?

Les données sectorielles fiables issues des premiers tests Q1 s’échelonnent entre 600 000 et 1,2 million d’euros pour les prestations externes, auxquels s’ajoutent environ 1,5 à 2 équivalents temps plein en interne sur une période de six mois. Cette fourchette dépend du périmètre, du nombre d’applications critiques et du nombre de prestataires externes inclus. Toute planification en deçà de ces chiffres est insuffisante.

Que se passe-t-il après un TLPT aux résultats préoccupants ?

La réglementation DORA ne prévoit pas de sanction automatique, et le rapport n’est pas public. En revanche, un plan de correction (remediation) avec des échéances contraignantes doit être établi et documenté vis-à-vis de l’autorité de surveillance. La BaFin peut imposer des mesures en cas de faiblesses structurelles, et des conséquences prudentielles s’appliquent en cas de récidive. Le management reste personnellement responsable.

À propos de l’auteure

Angelika Beierlein est COO de la société Evernine Media GmbH. Elle écrit sur la gouvernance en détail, sur les points décisifs où les programmes réussissent ou échouent, et sur la culture dans les établissements réglementés, où la conformité n’est pas une simple formalité, mais fait partie du quotidien.

Sources et références complémentaires :

  • BaFin, article technique Simulating attacks to enhance security, BaFin-Journal 11/2024, mise à jour au printemps 2026.
  • Bundesbank allemande, cadre TIBER-DE et correspondance TIBER-EU-DORA, état mars 2026.
  • BCE, TIBER-EU Framework updated to align with DORA, communiqué de presse du 11.02.2025.
  • Règlement UE 2022/2554 (DORA), communiqué de presse de la BCE sur l’adaptation TIBER-EU-DORA, articles 26 et 27 ainsi que les RTS associées relatives au Threat-Led Penetration Testing.
  • Roundtables sectoriels et rapports de clôture d’établissements de taille intermédiaire du marché DACH, mars à avril 2026 (cités de manière synthétique, sans mention nominative).

Source image principale : Pexels / Tima Miroshnichenko (px:5380603)

Aussi disponible en

Un magazine de evernine media GmbH