Les réglementations européennes se précisent en cette rentrée 2024. Le framework TIBER-EU vient renforcer les attentes du Digital Operational Resilience Act (DORA), en proposant un cadre de mise en œuvre des tests d’intrusion basés sur la menace Threat-Led Penetration Testing (TLPT).
Les tests d’intrusion fondés sur la menace TLPT incarnent une méthodologie de tests de sécurité reposant sur des simulations d'attaques réelles menées par des équipes spécialisées.
Contrairement aux tests d’intrusion traditionnels, les TLPT se concentrent en premier lieu sur la crédibilité de ses scénarios en les basant sur des menaces réelles, en assurant leur cohérence vis-à-vis de l’actualité et en garantissant leur adéquation avec l’environnement de l’entité testée.
Enfin, les tests TLPT incluent une phase de Threat Intelligence (TI) en plus d’une phase de Red Team (RT), pendant laquelle la TI simule une collecte externe d’informations au travers de différentes sources de données utilisées par les attaquants, des plus connues aux plus nébuleuses.
TIBER-EU est un framework qui détaille les attendus de tests TLPT. Tels que décrits, ces derniers doivent être précédés d’une phase de renseignement approfondie sur la cible et viser les Systèmes d’Information (SI) critiques de leur victime. Ce faisant, ils permettent aux entités les déployant de connaître leur niveau exact de résilience en testant les SI en conditions réelles face aux « Tactiques, Techniques et Procédures » (TTP) qu’utilisent les hackers.
In fine, l’objectif global du framework est d’encadrer la création de programmes de tests utiles au renforcement de la résilience des institutions financières pour les aider à faire face à des cyberattaques sophistiquées. Il donne dès lors un éclairage concret sur les menaces et les vulnérabilités qu’elles peuvent exploiter.
Une adaptation de TIBER-EU au contexte français a été proposée par la Banque de France, dont voici les deux principales spécificités :
1/ Dans le contexte des tests TIBER-FR, un unique fournisseur pourra réaliser à la fois les phases de Threat Intelligence (TI) et de Red Team (RT). Pour des raisons évidentes, il reste cependant nécessaire que ses équipes TI et RT soient indépendantes.
2/ Ensuite, pour les Systèmes d’Information d’Importance Vitale (SIIV) :
La résilience cyber du secteur financier est une priorité majeure pour le législateur européen, c’est pourquoi est né le Digital Operational Resilience Act (DORA). A cet égard, les équipes de Grant Thornton ont rédigé plusieurs articles permettant de mieux appréhender les concepts de la réglementation ainsi que les entités ciblées :
Pour rappel, la réglementation DORA est composée de quatre piliers.
Le pilier « Programme de tests de résilience », dans lequel la réglementation DORA exige un cadre pour les tests d’intrusion, est conforme aux énoncés de TIBER-EU. Le framework européen et sa mise en œuvre TIBER-FR offrent une contextualisation et une orientation pour les exigences de tests d’intrusion fondés sur la menace de DORA (dits « TLPT » définis plus bas).
Une nuance tout de même : ce cadre ne remplace pas les obligations légales énoncées dans les normes techniques réglementaires (Regulatory Technical Standards, RTS).
La méthode sous-jacente aux tests TLPT s’articule en quatre grandes phases. Le déroulé « type » est le suivant :
Grâce à la réglementation DORA et au framework de tests proposés dans TIBER-EU, nous entrons dans une nouvelle ère axée sur le renforcement de la résilience cyber des organismes qui s’y plient. Le TLPT, en particulier, offre une méthode proactive pour identifier et corriger les vulnérabilités avant que des attaquants ne puissent en tirer parti.
Principales bénéficiaires, les entreprises financières ont maintenant un cadre clair et détaillé pour renforcer leur résilience cyber et se préparer aux menaces de demain.
