/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
La cybersécurité doit être une priorité absolue pour les entreprises du secteur financier, en raison de son caractère critique et de l'impact potentiel des incidents de sécurité, tant pour les clients que pour l'industrie dans son ensemble.
Les organisations européennes qui répondent à ces critères ne peuvent pas ignorer le Threat Intelligence-based Ethical Red Teaming (TIBER-EU), un cadre créé par la Banque Centrale Européenne (BCE) qui définit la manière dont les tests Red Team doivent être menés.
Examinons les principaux aspects de ce cadre.
Qu'est-ce que TIBER-EU ?
En termes simples, TIBER-EU fournit des directives sur la façon d'imiter les techniques et procédures des véritables attaquants, sur la base du renseignement sur les menaces, afin de tester et d'améliorer la cyber-résilience des organisations. Un test Red Team bien réalisé devrait révéler les forces et les faiblesses d'une entité, conduisant à des mesures correctives ciblées et efficaces.
TIBER-EU peut être adopté au niveau national ou par les institutions et autorités de l'UE. La participation des entités au processus de test TIBER-EU peut être volontaire ou obligatoire, selon leur taille, leur complexité et leur portée. Bien qu'il ait été développé en pensant au secteur financier, ce cadre peut également s'appliquer à d'autres secteurs (par exemple : les télécommunications), ce qui le rend indépendant de l'entité et du secteur.
Qui est implique ?
La mise en œuvre de TIBER-EU est un processus multi-parties prenantes impliquant directement :
- Les entités tenues d'entreprendre des tests TIBER-EU
Banques, agences de notation de crédit, bourses, compagnies d'assurance ou tout autre prestataire de services financiers critiques. - Les autorités responsables de la supervision des tests
Banques centrales, autorités de surveillance, services de renseignement, ministères concernés, entre autres. - Les prestataires de services de Threat Intelligence et Red Team
Prestataires tiers indépendants qui réalisent effectivement les tests.
6 objectifs fondamentaux
Selon la BCE, TIBER-EU tente d'atteindre les objectifs suivants :
- Améliorer la cyber-résilience des entités et du secteur financier dans son ensemble.
- Standardiser la façon dont les entités effectuent les tests Red Team basés sur le renseignement dans l'Union européenne (UE).
- Guider les autorités sur la façon d'établir, de mettre en œuvre et de gérer les tests Red Team au niveau national ou européen.
- Soutenir les tests Red Team transfrontaliers basés sur le renseignement pour les entités multinationales.
- Permettre des discussions de supervision où les autorités cherchent à s'appuyer sur les évaluations des autres réalisées à l'aide de TIBER-EU.
- Créer le protocole de collaboration transfrontalière, de partage et d'analyse des résultats.
Le processus de test TIBER-EU
Le cadre TIBER-EU comprend trois phases obligatoires :
- Préparation
Elle implique la détermination des équipes et des experts responsables de la gestion du test, la définition du périmètre du test et le choix des prestataires de Threat Intelligence et Red Team pour effectuer le test. - Test
Il comprend l'analyse du renseignement sur les menaces, le rapport de renseignement sur les menaces ciblées (rapport TTI – Targeted Threat Intelligence) qui en découle et le test Red Team proprement dit. - Clôture
C'est à ce moment que le prestataire Red Team livre un rapport contenant toutes les conclusions et résultats, ainsi que des recommandations d'amélioration. Il incombe ensuite à l'entité d'élaborer un plan de remédiation.
Représentation de la Banque Centrale Européenne dans le processus TIBER-EU
Risques du test TIBER-EU
Étant donné le caractère critique des systèmes et processus ciblés, certains risques sont inhérents à la réalisation d'un test TIBER-EU, notamment :
- Incident de Déni de Service (DoS – Denial of Service)
- Crash ou endommagement du système
- Perte ou fuite de données
C'est pourquoi le cadre TIBER-EU souligne la nécessité d'une évaluation des risques avant le test, accompagnée d'une stratégie solide de gestion des risques tout au long du processus.
Quels services sont concernés ?
Le cadre TIBER-EU guide deux des services de cybersécurité les plus importants disponibles pour les institutions critiques, en particulier celles du secteur financier :
- Red Teaming
Une évaluation de cybersécurité dans laquelle une équipe de piratage éthique simule une attaque complète contre une entreprise, en exploitant des vulnérabilités techniques ou humaines qui peuvent donner accès à des actifs ou des informations spécifiques. Il vise à exposer les failles dans la stratégie de sécurité d'une organisation et à fournir des recommandations pour l'améliorer. - Tests de pénétration fondés sur la menaces
TLPT – Threat-Led Penetration Testing – c’est un exercice Red Team à grande échelle, spécifiquement conçu pour le secteur financier, qui simule une attaque complète sur les actifs, systèmes et processus d'une organisation, afin d'identifier et d'aider à corriger les vulnérabilités de sécurité. L'objectif est d'améliorer la cyber-résilience des entités financières critiques, dont la perturbation pourrait causer une défaillance systémique mondiale.
Conclusion
Guidé par l'objectif ambitieux d'améliorer la cyber-résilience des institutions financières à travers l'Europe, le cadre TIBER-EU repose sur trois piliers principaux :
- Le renseignement sur les menaces (threat intelligence).
- Le Red Teaming éthique.
- La collaboration entre les différentes parties prenantes financières.
C'est une approche complète qui sert de référence pour des services critiques comme le Red Teaming et les tests de pénétration basés sur les menaces. Les organisations qui mettent en œuvre le test TIBER-EU sont mieux équipées pour faire face aux cybermenaces, pour protéger leurs opérations commerciales et les données des clients.
