Simultanément avec l’obligation de détection a priori des vulnérabilités, DORA impose des tests dynamiques des solutions logicielles déployées [DORA article 10.1. al.2].

Il est surprenant que les « tests de pénétration » (ou « pentests ») soient cités en dernier dans DORA [article 25.1] alors qu’il s’agit d’une technique éprouvée de détection des vulnérabilités logicielles ou réseaux, qui peut être mise en œuvre lors des opérations de « redteam » aussi bien par les équipes internes d’une entité que par celles d’un prestataire spécialisé.

Quelle que soit la nature des tests, DORA précise que les fonctions critiques ou importantes doivent être testées « au moins une fois par an » [DORA article 24.6], qu’elles soient ou non confiées à un prestataire TIC.

Attention à l’analyse « de sources ouvertes » qui désignent les leaks (données volées puis mises à disposition en plus ou moins libre accès via un darknet) : si techniquement, l’analyse de ces fichiers et de leurs contenus peuvent donner de précieuses indications sur le mode opératoire des pirates, la collecte et le traitement de ces données posent de sérieux problèmes en droit pénal, notamment celui du délit de recel [1] et il convient de n’y recourir qu’avec la plus grande prudence juridique.

[1] Délit de recel réprimé par l’article 321-1 Code pénal : « Le recel est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit. Constitue également un recel le fait, en connaissance de cause, de bénéficier, par tout moyen, du produit d’un crime ou d’un délit. Le recel est puni de cinq ans d’emprisonnement et de 375.000 euros d’amende«