Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Tests totaux:
485,773,462
737,046
130,956

Conformité UE DORA

L'EU Digital Operational Resilience Act (DORA) exige des entités financières qu'elles testent la résilience de leurs systèmes TIC. Découvrez comment ImmuniWeb soutient les évaluations de vulnérabilités et les tests d'intrusion requis par DORA.

Temps de lecture:8 min. Mise à jour:8 juillet 2025
Conformité au Règlement européen sur la résilience opérationnelle numérique (DORA)
Veuillez remplir les champs surlignés en rouge ci-dessous.

Parlez à un expert sur
la conformité au règlement européen sur la résilience opérationnelle numérique (DORA)

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.

Conformité au Règlement européen sur la résilience opérationnelle numérique (DORA)

Qu'est-ce que le DORA de l'UE?

DORA établit un cadre unique à l’échelle de l’UE pour la résilience opérationnelle numérique des entités financières. Elle repose sur cinq piliers: la gestion des risques ICT, le signalement des incidents liés aux ICT, les tests de résilience opérationnelle numérique, la gestion des risques liés aux tiers ICT et le partage d’informations.

Le volet «tests» est au cœur de la sécurité des applications: les entités doivent mettre en œuvre un programme de tests de résilience comprenant des évaluations de vulnérabilité et des tests d’intrusion, et les entités les plus importantes doivent réaliser des tests d’intrusion avancés axés sur les menaces (TLPT).

Voyez comment ImmuniWeb soutient les tests de résilience DORA - évaluations de vulnérabilité et tests d'intrusion de vos applications financières.Demander une démo· ou exécutez un test Community Edition gratuit.

Who Must Comply with DORA?

La directive DORA s’applique à l’ensemble du secteur financier de l’UE:

  • Entités financières - banques, assureurs, sociétés d’investissement, établissements de paiement et de monnaie électronique, prestataires de services liés aux crypto-actifs, lieux de négociation, etc.
  • Fournisseurs tiers de TIC critiques desservant le secteur financier et relevant d'un régime de supervision.
  • Entités de toutes tailles – avec application du principe de proportionnalité aux petites entités.

Les applications web, mobiles et API exploitées par ces entités relèvent pleinement du champ d’application des tests de résilience de la DORA.

Exigences clés de DORA en matière de sécurité des applications

Le pilier de DORA relatif aux tests de résilience opérationnelle numérique impulse les travaux de sécurité des applications:

  • Programme de tests de résilience (Articles 24-25): tests réguliers des systèmes TIC, incluant des évaluations de vulnérabilité, des scans et des tests d’intrusion, avec remédiation des résultats.
  • Threat-Led Penetration Testing (Articles 26-27): Penetration testing avancé et guidé par le renseignement (basé sur TIBER-EU) pour les entités importantes, au moins tous les trois ans.
  • Gestion des risques ICT et risques tiers: : identifier et protéger les actifs ICT, y compris ceux exploités par des prestataires.

DORA Resilience-Testing Requirements in Depth

Tests de résilience opérationnelle numérique (articles 24-25)

Le règlement DORA exige un programme de tests fondé sur le risque couvrant les systèmes et applications TI, incluant les évaluations de vulnérabilité, les scans et les penetration testing. Pour les applications financières exposées à Internet, cela signifie des web et mobile penetration testing et scanning réguliers, avec remédiation et re-test.

Tests d’intrusion axés sur les menaces (articles 26-27)

Les entités financières d’importance doivent réaliser, au moins tous les trois ans, des tests d’intrusion avancés axés sur les menaces — des attaques réalistes, guidées par le renseignement, menées contre des systèmes de production actifs, conformément au cadre TIBER-EU. Les tests d’intrusion manuels, menés par des experts, sont essentiels pour répondre à cette exigence.

Risques courants des applications Web et mobiles à remédier

Les vulnérabilités que le programme de test de DORA vise à détecter dans les applications financières correspondent étroitement au OWASP Top 10:

  • Contrôle d'accès brisé —les utilisateurs accédant à des données ou des actions interdites.
  • Défaillances cryptographiques — chiffrement faible ou absent exposant des données sensibles.
  • Injection — Injection SQL, de commande ou autre via des entrées non validées.
  • Insecure Design — des contrôles de sécurité manquants par conception, et non pas seulement par bug.
  • Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
  • Composants vulnérables et obsolètes — bibliothèques et frameworks non patchés.
  • Échecs d'identification et d'authentification —gestion faible des connexions, des sessions ou des identifiants.
  • Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
  • Échecs de la journalisation et de la surveillance de la sécurité — attaques non détectées.
  • Server-Side Request Forgery (SSRF) — the server tricked into making malicious requests.

Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.

Comment aborder les tests de résilience DORA avec ImmuniWeb

  1. 1. Map ICT assets. Inventory internet-facing financial apps and APIs with ImmuniWeb Discovery.
  2. 2. Exécutez des évaluations de vulnérabilité (Art 24-25) avec les scans Neuron.
  3. 3. Test de pénétration des applications web et mobiles avec On-Demand et MobileSuite.
  4. 4. Soutenir les TLPT (art. 26-27) grâce à des tests manuels menés par des experts et fondés sur le renseignement.
  5. 5. Remediate and retest with actionable, zero-false-positive reports.
  6. 6. Testez en continu avec Continuous dans le CI/CD pour maintenir la résilience à jour.

Comment ImmuniWeb vous aide à atteindre la conformité DORA

ImmuniWeb soutient le pilier des tests de résilience de la DORA grâce aux évaluations de vulnérabilité et aux tests d’intrusion requis par le règlement.

Exigence Ce que cela nécessite Produits ImmuniWeb
Tests de résilience (Art 24-25) Évaluations de vulnérabilité, scans et tests d’intrusion. On-Demand, Neuron, Continuous
TLPT (Art 26-27) Advanced threat-led penetration testing. On-Demand, MobileSuite
ICT asset & third-party risk Cartographier et surveiller la surface d’attaque externe. Discovery (ASM / Dark Web)

ImmuniWeb On-Demand et MobileSuite offrent des tests d'intrusion manuels web et mobiles (y compris le support pour des engagements de type TLPT) ; Neuron et Neuron Mobile fournissent des scans automatisés ; Continuous intègre les tests dans le CI/CD ; et Discovery cartographie votre surface d'attaque pour les risques liés aux TIC et aux tiers.

DORA face aux cadres internationaux

Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:

Framework Perspective sécurité des applications Comment ImmuniWeb s'aligne
EU DORA Tests de résilience: évaluations de vulnérabilité, tests d'intrusion, TLPT Web/mobile pentest, scanning, ASM, TLPT support
EU NIS 2 Mesures de gestion des risques de l'article 21 Les mêmes tests couvrent les deux
ISO/IEC 27001 Annexe A: contrôles techniques Tests comme preuve de contrôle
PCI DSS 4.0.1 Exigences 6 et 11 Web app pentest + scanning

Tests d'intrusion vs scans de sécurité

Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.

Liste de contrôle de conformité (Sécurité des applications)

  • Inventaire des applications financières exposées sur Internet et des API
  • Vulnerability assessments and scans performed regularly (Art 24-25)
  • Tests d'intrusion des applications web et mobiles
  • Tests d’intrusion axés sur les menaces pour les entités importantes (articles 26-27)
  • Constatations corrigées et retestées ; preuves conservées
  • Tests intégrés au CI/CD pour une résilience continue
  • Risques liés aux tiers ICT et à la surface d’attaque surveillés

Pourquoi la conformité DORA est essentielle

DORA is directly supervised by financial regulators, and competent authorities can impose administrative measures and penalties for non-compliance. Resilience testing is an explicit, recurring obligation - not a best-effort exercise.

Les applications web, mobiles et API constituant une surface d’attaque principale pour les institutions financières, des tests prouvables sont l’un des moyens les plus directs de respecter le pilier des tests de la DORA et de réduire le risque opérationnel.

Foire aux questions

  • Q
    Qu'est-ce que le règlement DORA de l'UE?
    A
    Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA), qui harmonise la gestion des risques ICT pour le secteur financier de l'UE et qui s'applique depuis le 17 janvier 2025.
  • Q
    Qui doit se conformer au règlement DORA?
    A
    Les entités financières (banques, assureurs, sociétés d’investissement, établissements de paiement, prestataires de services liés aux crypto-actifs, etc.) et les prestataires tiers critiques du secteur des TIC.
  • Q
    Quelles sont les exigences de test de la DORA?
    A
    Un programme de tests de résilience opérationnelle numérique incluant des évaluations de vulnérabilité et des tests d’intrusion, ainsi que des Threat-Led Penetration Testing pour les entités significatives.
  • Q
    Qu’est-ce que le TLPT au regard de la DORA?
    A
    Tests d’intrusion axés sur les menaces: tests avancés basés sur le renseignement, effectués sur des systèmes en production selon la méthodologie TIBER-EU, requis pour les entités importantes au moins tous les trois ans.
  • Q
    Comment ImmuniWeb vous aide-t-il à respecter DORA?
    A
    En fournissant des évaluations de vulnérabilités et des tests d’intrusion pour le Web et les applications mobiles (y compris le soutien aux missions de type TLPT) ainsi qu’en cartographiant la surface d’attaque TIC.
  • Q
    When did DORA start applying?
    A
    17 janvier 2025.
Veuillez remplir les champs surlignés en rouge ci-dessous.

Parlez à un expert sur
la conformité au règlement européen sur la résilience opérationnelle numérique (DORA)

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.
Parlez à un expert