Tests de Pénétration fondés sur la menace

Un exercice Red Team pour les institutions financières

Les Tests de Pénétration fondés sur la menace (TLPT – Threat-Led Penetration Testing) sont un type d'exercice Red Team hautement sophistiqué qu'Alter Solutions propose pour aider les entités financières à évaluer et améliorer leur résilience en matière de cybersécurité et à se conformer au règlement européen DORA.

 

Échangez avec un expert

Pentesters et membres de l'équipe Red Team en plein test d'intrusion fondé sur la menace pour une institution financière

Alter Solutions est qualifiée Prestataire d'Audit de Sécurité des Systèmes d'Information (PASSI). Nous couvrons par ailleurs l'ensemble des portées du Référentiel Général de Sécurité (RGS):

  • Audit organisationnel
  • Audit d'architecture
  • Audit de configuration
  • Audit de code source
  • Tests d'intrusion / Pentest

Cette qualification assure à nos clients un haut niveau d’expertise de nos auditeurs, ainsi qu’un processus d’audit robuste et éprouvé.

La qualification PASSI est un VISA de sécurité délivré par l'ANSSI (Agence Nationale de la Cybersécurité)

Qu'est-ce que le TLPT ?

Auditeur en sécurité analysant le système et les processus d'une entreprise

Spécifiquement conçu pour le secteur financier, les Tests de Pénétration fondés sur la menace sont un exercice Red Team à grande échelle qui simule une véritable attaque sur les actifs, les systèmes et les processus, basé sur le paysage actuel des menaces, afin d'évaluer la posture de cybersécurité et la résilience des organisations clés de notre système financier.


Ces entités sont plus susceptibles d'être ciblées par des cyberattaquants cherchant à provoquer une défaillance systémique, c'est pourquoi elles ont besoin d'un type d'audit de sécurité plus avancé, dont les entreprises d'autres secteurs n'ont pas besoin.


Le TLPT est requis au moins tous les 3 ans par le Digital Operational Resilience Act (DORA), qui concerne de nombreuses entités financières, notamment les établissements de crédit et de paiement. Ces tests sont compatibles avec le cadre TIBER-EU, créé par la Banque centrale européenne pour fournir des orientations sur le Red Teaming éthique basé sur le renseignement sur les menaces.

“Les Tests de Pénétration fondés sur la menace (TLPT) désignent un cadre qui imite les tactiques, techniques et procédures d'acteurs de menaces réels perçus comme présentant une véritable cybermenace, qui fournit un test contrôlé, sur mesure et guidé par le renseignement (red team) des systèmes de production critiques de l'entité financière.”
– Définition de DORA (Article 3(17))

Les principales parties prenantes du TLPT

Équipe Cyber TLPT

L'équipe interne au sein de l'autorité/régulateur TLPT qui supervise le test et s'assure qu'il suit les règles TLPT.

Équipe de Contrôle

L'équipe interne de l'entité financière qui gère le processus TLPT de l'intérieur.

Blue Team

L'équipe interne de défense responsable de la protection de l'entité financière contre les cybermenaces. Elle ne doit pas être au courant qu'un TLPT est en cours.

Fournisseur de Renseignement sur les Menaces

Experts externes chargés de collecter et d'analyser les données et scénarios de menaces, basés sur des sources fiables.

Red Team

Les testeurs – externes et/ou internes à l'entité financière – qui effectuent réellement le TLPT.

Les 5 étapes du TLPT

Le règlement DORA définit cinq étapes principales dans le processus de test qui doivent être complétées :

#1

Préparation

Le client doit accomplir une série de tâches avant de contacter un fournisseur de services TLPT, comme définir les canaux de communication au sein de l'équipe de contrôle, sélectionner un fournisseur de renseignement sur les menaces, préparer un document de spécification du périmètre, entre autres. Ensuite, si l'entreprise décide de faire appel à des testeurs externes, ils définissent conjointement les objectifs et analysent les mesures de gestion des risques, avant de passer aux étapes suivantes.

#2

Renseignement sur les menaces

L'équipe d'Alter Solutions tente de recueillir autant d'informations que possible sur l'entreprise, la cible/le périmètre sélectionné, et identifie les cybermenaces et vulnérabilités qui pourraient potentiellement affecter l'entité financière. Ensuite, ils proposent différents scénarios d'attaque au client – au moins trois doivent être sélectionnés pour avancer. Cette phase peut durer un à deux mois.

#3

Test Red Team

C'est la phase d'attaque réelle, où le TLPT est réalisé pendant au moins 12 semaines, selon l'échelle, le périmètre et la complexité de l'organisation.

Les scénarios d'attaque précédemment approuvés peuvent être exécutés en séquence ou simultanément.

#4

Clôture

Dans les 4 semaines suivant la fin de la phase de test red team, le fournisseur de test doit soumettre un rapport détaillé de l'exercice au client. Ensuite, un exercice de rejeu doit avoir lieu dans les 10 semaines, où les testeurs et la Blue Team du client examinent les actions offensives et défensives du TLPT, à des fins d'apprentissage. Enfin, toutes les parties impliquées doivent se donner mutuellement un retour sur le processus TLPT, et l'entité financière doit soumettre un rapport officiel résumant les conclusions du TLPT.

#5

Plan de remédiation

Dans les 8 semaines suivant la notification officielle de clôture, l'entité financière doit fournir un plan de remédiation à l'autorité TLPT, contenant une description des vulnérabilités identifiées, des mesures de remédiation proposées, une analyse des causes profondes, les responsables de chaque mesure au sein de l'organisation, et les risques de ne pas mettre en œuvre ce plan.

Expert en renseignement sur les menaces travaillant sur le rapport de renseignement ciblé

Consultez le règlement DORA ici pour lire les détails de chacune des étapes du TLPT

Qui est tenu d'effectuer un TLPT ?

Bien que DORA cible l'ensemble du secteur financier, les TLPT sont obligatoires uniquement pour les entités financières avec :
Des services/activités qui impactent le secteur financier
Des préoccupations de stabilité financière, au niveau national ou européen
Un profil de risque spécifique, lié à leur niveau de maturité et aux caractéristiques technologiques impliquées
Cela inclut toutes les institutions financières d'importance systémique mondiale*, notamment :
  • Les établissements de crédit
  • Les établissements de paiement
  • Les établissements de monnaie électronique
  • Les dépositaires centraux de titres
  • Les contreparties centrales
  • Les plateformes de négociation
  • Les entreprises d'assurance et de réassurance

 

*Institutions qui répondent à des critères spécifiques identifiés dans le règlement DORA.

Membre de l'équipe de sécurité d'une institution financière surveillant le trafic réseau

Les règles du TLPT

Pentester préparant l'intrusion initiale d'un test d'intrusion dirigé par les menaces
Un TLPT doit répondre à plusieurs exigences définies par DORA, telles que :
  • Être effectué au moins tous les 3 ans.
  • Couvrir plusieurs ou toutes les fonctions critiques ou importantes d'une entité financière.
  • Être effectué sur des systèmes de production en service.
  • Couvrir toute la surface d'attaque : surface physique (intrusions sur site), surface humaine (menaces ciblant les personnes, comme l'ingénierie sociale), et surface numérique (tout actif numérique pouvant être impacté par une cyberattaque).
  • Appliquer des mesures efficaces de gestion des risques pour atténuer l'impact potentiel sur les données, les actifs, les services ou les opérations

L'importance des Tests de Pénétration fondés sur la menace

_-2-1 _-2
Maximiser la cyber-résilience

Les organisations obtiennent une évaluation réaliste de leur capacité à répondre aux cybermenaces, ce qui leur permet d'adresser des vulnérabilités spécifiques et d'ajuster leurs stratégies de sécurité en fonction des méthodes réellement utilisées par les attaquants.

Group 615-1 Group 615
Améliorer la protection des données et la confiance des clients

En couvrant tous les points faibles de leurs stratégies de sécurité, les institutions financières sont en mesure de mieux protéger les données des clients et, par conséquent, de renforcer la confiance.

Group 640-1 Group 640-2
Assurer la conformité à DORA

Le règlement DORA exige que les entités financières critiques effectuent des TLPT, donc une organisation qui réussit à le faire se démarque par son engagement et sa participation active dans la lutte contre la cybercriminalité et la protection de l'infrastructure financière mondiale.

Group 646-3 Group 646-1
Éviter les dommages financiers et réputationnels

Le non-respect des exigences DORA peut entraîner des pénalités réglementaires et des amendes importantes, sans compter tous les dommages financiers et réputationnels qui peuvent découler d'une violation de données ou d'une cyberattaque.

Group 642-1 Group 642-2
Promouvoir l'apprentissage des équipes de sécurité

Les équipes de sécurité internes (Blue teams) peuvent beaucoup apprendre d'un exercice Red Teaming comme le TLPT et améliorer leurs capacités de gestion des vulnérabilités et de réponse aux incidents pour les occasions futures.

Group 612 Group 612-1
Sécuriser l'écosystème financier mondial

Si toutes les institutions financières d'importance systémique mondiale améliorent leur posture de sécurité, alors l'ensemble du secteur financier est aussi protégé que possible.

Nous sommes certifiés

Autres services d'Audit de Cybersécurité et Test d'intrusion

Pourquoi Alter Solutions ?

Group 639-1 Group 639
18 ans d'expérience

Alter Solutions a été fondée à Paris, en 2006, et s'est depuis concentrée sur la transformation numérique. Nous sommes présents dans 8 pays d'Europe, d'Amérique et d'Afrique, et nous sommes les partenaires sécurité d'entreprises des secteurs de l'industrie, des services, de la finance, de l'assurance, du transport et de la technologie depuis plus de 10 ans.

Group 640-May-02-2024-02-48-12-6081-PM Group 640-4
Flexibilité et approche centrée sur le client

Nous fournissons un niveau de service adapté aux besoins du client, allant jusqu'à une protection 24/7. Nous avons une solide expérience dans différents secteurs et technologies, et notre approche des services informatiques est agnostique : ce qui compte, c'est ce qui convient le mieux à chaque client.

Group 616-1 Group 616
La confidentialité comme valeur fondamentale

Vos données et celles de vos clients sont en sécurité avec nous. Nos experts opèrent au sein de l'Union Européenne (UE), ce qui signifie que nous sommes entièrement conformes au Règlement Général sur la Protection des Données (RGPD).

Group 638 Group 638-1
Certifications clés

Nous détenons des certifications de sécurité pertinentes comme PASSI, ISO 27001 et CSIRT. Nos experts sont également certifiés OSCP, OSCE, GXPN et CRTM.

Nos Articles

Nos Cas Clients

FAQ

Nous avons plus de 10 ans d'expérience dans la réalisation de différents types d'exercices de pentesting et de red teaming pour les secteurs bancaire, financier et des assurances. Nous avons une compréhension approfondie du cadre TIBER-EU, et nous la complétons avec une grande connaissance des approches de cybersécurité défensive.

Notre vaste expérience nous permet également de minimiser la perturbation des opérations lors de la réalisation d'un exercice TLPT, car nous connaissons les risques qui accompagnent l'exploration de vulnérabilités spécifiques et nous maintenons une ligne de communication ouverte avec le client pour décider quoi faire dans de telles circonstances.

Oui. Pour protéger les données des clients, Alter Solutions garantit les mesures suivantes :

  1. Utilisation d'ordinateurs portables renforcés, de sorte qu'en cas de vol ou d'intrusion, les données que nous avons sur nos clients ne seront pas accessibles.
  2. Utilisation de canaux de communication chiffrés pour chaque échange qui pourrait être critique. Par exemple : informations recueillies pendant la phase de renseignement sur les menaces ; rapport final avec les vulnérabilités détectées ; données personnelles des utilisateurs.
  3. Suppression de toutes les données du client après la fin de l'exercice TLPT. Nous envoyons au client un document certifiant que nous avons supprimé toutes les informations recueillies pendant le processus de test.

Elles varient beaucoup d'un exercice à l'autre, en fonction de ce qui est découvert pendant la phase de renseignement sur les menaces. Quelques stratégies courantes qui pourraient être utilisées pour initier un Test de Pénétration Guidé par les Menaces sont l'ingénierie sociale (par exemple, les attaques de phishing), les intrusions physiques ou l'exploitation de vulnérabilités techniques.

Non, pas dans la façon dont il est réalisé, mais uniquement dans le temps consacré à la phase de renseignement sur les menaces. N'oubliez pas que le TLPT est spécifiquement conçu pour les institutions financières critiques, il n'aura donc jamais à être adapté aux petites ou moyennes entreprises. Si de telles entités recherchent un audit de sécurité complet, les approches conventionnelles de Red Teaming ou de Pentesting sont plus appropriées.

Principalement les étapes initiales de la phase de préparation, où le client doit sélectionner le fournisseur de renseignement sur les menaces et les testeurs (internes, externes ou les deux), définir les canaux et processus de communication, et préparer le document de spécification du périmètre.

À la fin, le plan de remédiation est également de la responsabilité de l'institution financière – le fournisseur TLPT fournit simplement le rapport de test avec des recommandations pour corriger les vulnérabilités techniques, mais c'est ensuite au client de décider comment les mettre en pratique.

Oui, mais les membres assignés à chaque équipe doivent être différents et agir de manière indépendante. Si l'institution financière utilise des testeurs internes, alors le fournisseur de renseignement sur les menaces doit être externe.

Contactez-nous dès aujourd'hui

Remplissez notre formulaire de contact et notre équipe dédiée à la Cybersécurité vous répondra dans les 24 heures.

 

Vous pouvez également nous écrire un e-mail avec plus d'informations sur votre projet et vos besoins.

 

hello.versailles@alter-solutions.com