/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Que se passerait-il si une institution bancaire d'importance mondiale s'effondrait à cause d'un incident de cybersécurité ? Il est probable que l'ensemble de l'écosystème financier serait touché et qu'une crise s'installerait.
Prévenir un tel scénario est l'objectif du Digital Operational Resilience Act (DORA), qui vise à renforcer la posture de cybersécurité et la résilience du secteur financier en Europe grâce à une série de mesures, dont l'une est la mise en œuvre de Tests de Pénétration fondés sur la menace (TLPT – Threat-Led Penetration Tests) périodiques.
Les grandes banques, compagnies d'assurance, sociétés d'investissement, prestataires de services de paiement et autres institutions financières cruciales doivent être pleinement conscients de ce que sont les TLPT, comment ils doivent être effectués et comment ils peuvent être exploités pour traiter les vulnérabilités techniques. Examinons les détails.
Tout d'abord : qu'est-ce que DORA ?
Le Digital Operational Resilience Act est un règlement de l'Union européenne (UE) qui vise à renforcer la sécurité informatique des entités financières et à garantir que le secteur financier en Europe soit capable de rester résilient en cas de perturbation opérationnelle grave.
DORA est entré en vigueur le 16 janvier 2023 et s'applique à partir du 17 janvier 2025. Il couvre 20 types différents d'entités financières et de prestataires de services TIC tiers.
En savoir plus sur DORA et la directive NIS 2 dans cet article.
Qu'est-ce que le TLPT ?
Les tests de pénétration fondés sur la menace sont un exercice Red Team à grande échelle, décrit par DORA comme étant spécifiquement conçu pour le secteur financier, qui simule une attaque complète sur les actifs, systèmes et processus d'une organisation, afin d'identifier et d'aider à corriger les vulnérabilités de sécurité. Ce test conduit finalement à l'amélioration de la résilience en matière de cybersécurité des entités financières critiques, dont la perturbation pourrait provoquer une défaillance systémique mondiale.
Les informations les plus pertinentes sur le TLPT sont résumées dans le tableau ci-dessous :
|
|
Tests de Pénétration fondés sur la menace (TLPT) selon DORA |
|
Cible |
Obligatoire pour les institutions financières d'importance systémique mondiale* comme :
*Institutions qui répondent à des critères spécifiques définis par DORA. |
|
Périmètre |
L'ensemble de la surface d'attaque : surface physique, humaine et numérique. Il doit couvrir plusieurs ou tous les systèmes de production critiques ou importants en direct d'une entité financière |
|
Parties prenantes |
|
|
Étapes |
|
|
Cadre |
Compatible avec le TIBER-EU |
|
Durée |
6 – 12 mois |
|
Résultats |
Il y a quatre livrables principaux :
|
|
Fréquence |
Au moins tous les 3 ans |
Que ferait un cyberattaquant ? Les techniques TLPT d'Alter Solutions
La phase de renseignement sur les menaces
Notre Lead Pentester et Lead Red Teamer, Yann Gascuel, explique comment un exercice Red Teaming plus avancé comme le TLPT est réalisé, après que l'objectif et le périmètre ont été définis avec le client dans la phase de préparation. "L'idée est d'imiter ce qu'un véritable attaquant ferait. Nous commençons par la phase de renseignement sur les menaces, où nous essayons d'obtenir autant d'informations que possible, d'apprendre quelles technologies sont utilisées par l'entreprise et qui sont les utilisateurs ayant le plus de privilèges – tout ce qui peut être utilisé pour le phishing", explique-t-il.
Les nouveaux arrivants sont généralement aussi des cibles faciles, car ils ne sont pas encore pleinement conscients des protocoles de sécurité. "C'est pourquoi nous utilisons aussi LinkedIn comme source de renseignement sur les menaces, pour obtenir des informations sur les employés qui pourraient être des cibles vulnérables. De plus, nous utilisons des outils spécifiques qui examinent les enregistrements DNS, et nous recherchons également des preuves de fuites de données", ajoute notre Lead Pentester.
Après avoir rassemblé toutes ces informations, nos experts préparent un rapport de renseignement sur les menaces ciblées (TTI – Targeted Threat Intelligence report), résumant ce qui a été appris sur la cible et créant des scénarios de menaces pour le test réel. "C'est là que nous nous demandons ce qu'un attaquant essaierait de faire. Il/elle essaiera probablement d'équilibrer le risque d'être arrêté avec l'augmentation des chances de réussir l'attaque, donc nous essayons de penser comme ça et d'esquisser différents scénarios d'attaque potentiels."
Le test Red Team
Selon ce qui est découvert pendant la phase de renseignement sur les menaces et quels scénarios d'attaque sont planifiés, les techniques employées pour initier un TLPT varient beaucoup. Mais notre Lead Red Teamer fournit quelques exemples : "Comme intrusion initiale, nous pouvons utiliser le phishing ou effectuer une intrusion physique. Une fois à l'intérieur, la suite des actions dépendra également de ce que nous trouvons. Cela peut impliquer l de vulnérabilités techniques, en combinant cela avec de l'ingénierie sociale ou même l'utilisation de keyloggers [un type de technologie de surveillance qui enregistre tout ce qu'un utilisateur tape sur un clavier]".
Tout au long de l'exercice, la Blue Team du client ignore complètement qu'un TLPT est en cours, ce qui signifie qu'elle est également testée pour ses capacités défensives. Selon le cadre TIBER-EU, détecter la Red Team est un objectif fixé pour la Blue Team, plutôt qu'un échec du côté offensif.
Un autre point important à garder à l'esprit concernant la phase de test est que la façon dont la Red Team d'Alter Solutions opère est conforme aux lois sur la protection des données comme le RGPD. "Nous utilisons des ordinateurs portables renforcés et chiffrés, donc si quelqu'un les vole, il ne pourra pas accéder aux données que nous avons sur nos clients", vérifie notre expert. "Nous utilisons également des canaux de communication chiffrés pour chaque échange qui pourrait être critique, et après la fin de l'exercice, nous supprimons toutes les données que nous avons et envoyons au client un document certifiant que nous l'avons fait", ajoute-t-il.
Selon DORA, la phase de test doit durer au moins 12 semaines – tout dépend de l'échelle, du périmètre et de la complexité de l'exercice TLPT planifié pour cette organisation spécifique.
Le(s) secret(s) pour assurer une perturbation minimale des activités
C'est la question à un million d'euros dans tout exercice Red Team : comment l'équipe de test équilibre-t-elle la simulation réaliste de menaces avec une perturbation opérationnelle minimale ? Notre Lead Pentester révèle le secret : "C'est une combinaison d'expérience et de communication. Lorsque nous effectuons une attaque, nous avons l'expérience pour savoir quelles vulnérabilités peuvent être risquées à explorer et si elles peuvent provoquer un crash – nous savons, par exemple, quand un type spécifique d'anciens serveurs ne supporte pas une attaque. Cela vient avec l'expérience, donc quand nous identifions un risque comme celui-là, nous communiquons avec le client et décidons ensemble si nous devons le faire ou non".
En fait, pendant l'exercice TLPT lui-même, c'est le seul scénario où des interactions Red Team-client peuvent se produire. "Il n'y a pas ou très peu d'interactions avec le client pendant cette période. Cela n'arrive que si nous détectons des risques qui peuvent causer une perturbation. Dans ce cas, nous contactons le client pour le tenir informé, mais sinon aucune communication n'est établie."
La phase de clôture
Après la fin de l'exercice, dans un délai de quatre semaines, nous rédigerons et livrerons au client le rapport officiel du test Red Team. "C'est là que nous décrivons les attaques qui ont été effectuées, les succès, les échecs, ce qui a été détecté, et d'autres détails. C'est très utile pour le client de savoir quelles sont les faiblesses de l'organisation et ce qui doit être traité", souligne Gascuel.
La dernière étape de notre collaboration dans le processus TLPT est d'effectuer un rejeu des vulnérabilités où les équipes Red et Blue travaillent en étroite collaboration pour examiner les actions offensives et défensives prises pendant l'exercice. "Tout le monde a à y gagner : la Blue Team apprend ce qu'il faut faire dans un scénario d'attaque réel, et nos testeurs apprennent comment ils peuvent être détectés dans une situation comme celle-là, pour qu'ils puissent être plus difficiles à détecter lors d'un prochain exercice."
Quelle est la suite et qu'y a-t-il à gagner ?
La dernière étape du processus TLPT est, selon DORA, de la responsabilité de l'entité financière. Elle consiste à rédiger un plan de remédiation contenant une description des vulnérabilités identifiées, des mesures de remédiation proposées, une analyse des causes profondes, entre autres.
Si ce plan est correctement mis en œuvre, alors les avantages pour cette organisation spécifique (et pour le secteur financier dans son ensemble) sont clairs :
- La cyber-résilience est accrue
L'entité financière est capable de corriger les vulnérabilités dans son infrastructure, ses systèmes et ses processus avant que les cyberattaquants n'aient une chance d'en profiter. - Les données des clients sont mieux protégées
Avec moins de points faibles à exploiter pour les acteurs malveillants, les données des clients des institutions financières sont mieux protégées et, par conséquent, les niveaux de confiance des clients augmentent. - La conformité à DORA est assurée
Effectuer des TLPT périodiques est une étape cruciale non seulement pour protéger l'écosystème financier mondial, mais aussi pour éviter les pénalités et amendes réglementaires, ainsi que les dommages financiers et réputationnels qui peuvent découler d'une cyberattaque nuisible. - Les équipes de sécurité continuent de développer leurs compétences
Particulièrement pendant l'exercice de rejeu des vulnérabilités, la Blue team a l'occasion d'examiner chaque détail de l'exercice TLPT et d'apprendre comment arrêter la Red Team ou les potentiels attaquants réels.
Conclusion
Les tests de pénétration fondés sur la menace de DORA représentent une avancée dans la façon dont les institutions financières abordent l'évaluation de la cybersécurité. Cela nous permet de nous approcher des plus hauts niveaux de protection dans les secteurs bancaire et financier, particulièrement à travers l'Europe.
Ces exercices Red Team à grande échelle nécessitent une planification méticuleuse, une coordination entre plusieurs parties prenantes et une collaboration avec des partenaires expérimentés en cybersécurité qui peuvent aider à chaque étape. Nos pentesters et red teamers peuvent contribuer non seulement avec leur expérience de travail avec de multiples institutions financières au fil des ans, mais aussi avec leur façon d'interagir avec le client, d'établir des canaux de communication clairs et de gérer les risques.
Les avantages de la réalisation des TLPT sont très clairs : ils doivent être considérés non seulement comme un exercice de conformité, mais aussi comme une opportunité de renforcer la cyber-résilience des entités financières, d'améliorer la gestion des vulnérabilités, les capacités de détection et de réponse, contribuant finalement à un écosystème financier plus sûr et plus stable.
