DORA et les Threat-Led Penetration tests (TLPT)

EugénieLe 31 octobre 2024

DORA est un règlement européen qui vise à renforcer la résilience opérationnelle numérique des entreprises du secteur financier et s'appliquera dès le 17 janvier 2025. Nous vous proposons dans cet article de décrypter le rôle de TIBER-EU dans l’application de la réglementation DORA.

Qu’est-ce que DORA ?

Tout d’abord, que signifie DORA ? DORA signifie Digital Operational Resilience Act, ou Règlement sur la Résilience opérationnelle numérique du secteur financier.

La résilience opérationnelle numérique est définie par le Règlement DORA comme la capacité d’une entité financière (banque, organisme de crédit ou compagnie d’assurance) à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles. L’organisme financier assurera l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’il utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations.

A noter que sa fiabilité opérationnelle peut également être indirecte, par le recours aux services fournis par des prestataires tiers de services TIC (Technologies de l'Information et de la Communication, ou ICT en anglais).


L’obligation de procéder à des Threat-Led Penetration Test (TLPT)

Dans son article 26, DORA aborde les tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace (TLPT = Threat-Led Penetration Test). Il rend obligatoire, tous les 3 ans, la réalisation d’un pentest (test de pénétration) fondé sur la menace, cette cadence triennale pouvant être réduite ou augmentée par les autorités compétentes du secteur financier en fonction du profil de risque de l’entité financière et en tenant compte des circonstances opérationnelles.

Qui est concerné par les TLPT ?

Les autorités nationales compétentes, à savoir, pour la France, la Banque de France et l’ACPR = Autorité de Contrôle Prudentiel et de Résolution, désigneront les entités financières, banques, organismes de crédit ou compagnies d’assurance qui sont tenues de réaliser des TLPT (Threat-Led Penetration Test ) selon leur taux de pénétration du marché financier national et européen, ou inversement leur niveau de maturité sur le plan des TIC.

Qu’est-ce qu’un TLPT (Threat-Led Penetration Testing) ?

Le TLPT est une approche de tests de pénétration basés sur la menace. Il consiste en un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester en Red team de manière contrôlée, sur mesure et en fonction des renseignements (intelligence, en anglais) les systèmes critiques en environnement de production de l’entité financière.

Inventaire et audits des fonctions critiques et importantes

Chaque TLPT doit couvrir les fonctions critiques ou importantes d’une entité financière. Il doit être effectué sur des systèmes en environnement de production en direct soutenant ces fonctions. Par fonction critique ou importante, on entendra une fonction :

  • soit dont la perturbation est susceptible de nuire sérieusement à la performance financière, à la solidité ou la continuité des services et activités d’une entité financière,
  • soit une interruption, une anomalie ou une défaillance de l’exécution de cette fonction, susceptible de nuire sérieusement à la capacité d’une entité financière d’assurer la continuité des conditions et obligations de son agrément, ou de ses autres obligations découlant de la réglementation financière en vigueur.

Les entités financières doivent ainsi recenser tous les systèmes, processus et technologies TIC sous-jacents pertinents qui soutiennent des fonctions critiques ou importantes et des services TIC. Elles doivent recenser également ceux qui ont été externalisés ou sous-traités à des prestataires de services TIC, lesquels seront inclus dans le périmètre des tests, les banques restant à tout moment responsables de leurs prestataires.

Elles évaluent aussi quelles fonctions critiques ou importantes doivent être couvertes par les TLPT, ce qui permet de déterminer la portée précise de ces tests et sera validé par les autorités compétentes. Il existe aussi la possibilité qu'un prestataire de services TIC fasse effectuer des tests groupés associant plusieurs entités financières.

Bien sûr, il s’agit d’assurer une bonne gestion des risques afin d’atténuer les risques de perturbations au sein des entités financières.
A l’issue du test, une fois approuvés les rapports et les plans de mesures correctives, une synthèse est communiquée à l’autorité compétente ainsi que la documentation démontrant que le TLPT a été effectué conformément aux exigences.

En retour, les autorités compétentes fournissent aux entités financières une attestation confirmant que le test a été effectué conformément aux exigences.

Un testeur externe sera obligatoirement engagé tous les 3 tests dans le cas où cette banque dispose déjà de sa propre Red-Team ou de sa propre équipe de pentesteurs.

Les exigences pour les pentesteurs ?

Dans son article 27, DORA aborde à présent les exigences applicables aux pentesteurs afin de réaliser des tests de pénétration fondés sur la menace (TLPT).

Les pentesteurs doivent ainsi :

  • posséder des capacités techniques et organisationnelles,
  • justifier d'une expertise spécifique en matière de threat-intel (threat-intelligence = renseignement sur les menaces), de tests de pénétration et de tests en mode Red Team
  • être certifiés ou adhérer à des codes de conduite et des cadres éthiques formels, par exemple Algosecure est qualifié PASSI, certifié ISO27001 sur ce périmètre, et les membres de notre Redteam sont des pentesteurs chevronnés qui ont obtenu des certifications reconnues telles qu'OSCP = Offensive Security Certified Professional, OSEP = OffSec Experienced Pentester, BSCP = Burp Suite Certified Practioner, MCRTA = Multi-Cloud Red Team Analyst, OSED = OffSec Exploit Developer, CRTO = Certified Red Team Operator…
  • justifier d'une activité de R&D (Recherche & Développement), par exemple, chez Algosecure, Bonware, Pollenisator ou AlgoLightHouse
  • fournir une assurance indépendante ou un rapport d'audit concernant la bonne gestion des risques liés à la réalisation de TLPT, notamment la protection adéquate des informations confidentielles et la couverture des risques opérationnels de son client.


DORA et le référentiel TIBER-EU

Antérieurement à DORA, les autorités compétentes françaises (tout comme celles de l'Allemagne, du Bénélux, de Scandinavie, de la Péninsule ibérique, d'Irlande, d'Italie, d'Autriche et de Roumanie), avaient volontairement adhéré au référentiel TIBER-EU (Threat Intelligence-Based Ethical RedTeaming) https://www.algosecure.fr/actualites/article/tiber-eu-vers-une-cybersecurite-proactive-et-adaptative.

Un test TIBER est une tentative contrôlée de compromission de la sécurité du SI d'une entité financière en simulant les tactiques, techniques et procédures (TTPs) d'acteurs malveillants réels susceptibles de représenter une menace pour l'entité testée. En adoptant le comportement d'attaquants réels de bout en bout de la cyber kill chain via l'apport de la threat-intel, les tests TIBER permettent in fine d'élaborer des plans de remédiation plus complets.

Ce type de test, comme vu plus haut, est qualifié de TLPT (Threat-Led Penetration Testing ou test d'intrusion fondé sur la menace) dans le Règlement DORA, et sont rendus obligatoires pour les institutions financières les plus importantes.

Dans le cadre de l'entrée en application de DORA le 17 janvier 2025, le référentiel TIBER-EU et sa déclinaison TIBER-FR apporteront donc des conseils contextuels pour la réalisation des TLPT.

Les tests de pénétration (pentests) fournissent une évaluation détaillée des vulnérabilités techniques et liées à la configuration, le plus souvent au sein d'un système ou périmètre restreint. Cependant les pentests seuls ne permettent pas d'évaluer le scénario de A à Z d'un attaque ciblant un organisme bancaire ou une compagnie d'assurance dans sa globalité (incluant ainsi la totalité de ses employés, des procédures de travail et des outils technologiques).

TIBER-EU fournit un cadre pour que les Redteams puissent réaliser sous-contrôle des attaques grandeur nature sur-mesure fondées sur l'intel (en anglais = intelligence ; en français = renseignement), et ce, sur les systèmes de production critiques des banques. Ces tests permettent aux clients de mieux comprendre leur résilience en situation réelle en soumettant tous les éléments de leur organisation aux TTPs (tactics, techniques and procedures) des cyberattaquants.

Un test en Red-Team basé sur le renseignement (Intelligence-led red team test) apporte de A à Z une compréhension exhaustive des points faibles des personnes, des procédures de travail, de la technologie et de leurs différents points d'intersection, et permet d'obtenir une évaluation de la menace en détail qui peut être ensuite utilisée pour améliorer la réactivité en cas de crise.

TIBER-FR établit un processus en 3 phases pour un test de A à Z :

  1. La phase préparatoire (env. 12 semaines) : la décision de réaliser un test est formellement prise chez le client, la "White team" responsable de la gestion du test est choisie, l'étendue du test est fixée, et soumise à l'approbation de l'organe de direction de l'organisme bancaire, et validée par la Cyber Team de la Banque de France, et enfin les prestataires en charge de la Threat-Intel et de la Red-Team sont recrutés.
  2. La phase de test (incluant threat-intel et redteaming) :
    • Phase de threat-intel (4 à 6 semaines) : le prestataire en threat-intel élabore un rapport TTI (Targeted Threat-Intelligence = Renseignement sur la Menace Ciblé) à propos du client, résultat d'une enquête à propos du client, et propose des scenarii pour le test
    • Phase de Redteaming (12 semaines) : le rapport TTI est utilisé par la Redteam d'Algosecure pour développer des scenarii d'attaque et exécuter un test de red team fondé sur le Renseignement (en anglais = intelligence), et ce sur les systèmes de production critiques désignés, les employés et les processus sur lesquels reposent les fonctions critiques du client.
  3. Phase de clôture (6 semaines) : Algosecure, en tant que prestataire de Redteam, rédige un Rapport de test qui décrira la manière dont le test a été conduit, les résultats et des observations. Où cela est nécessaire, le rapport inclura des conseils quant aux possibles améliorations au niveau des vérifications techniques, politiques et procédures, ou de la sensibilisation.

Les principales parties prenantes seront désormais au courant que le test a eu lieu, et pourront rejouer les scenarii exécutés par la Red Team et discuter des problèmes mis en évidence lors du test. Le client pourra s'approprier les résultats du test et s'engager à élaborer un Plan de Remédiation. Le processus de test sera étudié et discuté, et les résultats-clé seront transmis à la Cyberteam de la Banque de France.

Pour plus d’informations sur TIBER nous vous renvoyons à notre article : https://www.algosecure.fr/actualites/article/tiber-eu-vers-une-cybersecurite-proactive-et-adaptative


Conclusion

Comme quoi DORA n’a pas sonné le glas de TIBER-EU dont nous parlions déjà il y a quelques mois, mais au contraire s’appuie pleinement sur ce référentiel très complet pour assurer la résilience opérationnelle du secteur financier européen.

Avec son équipe de pentesteurs confirmés et sa Red-team rompue à l’élaboration de scenarii d’attaques les plus poussés, Algosecure se fera un plaisir de plonger votre banque ou votre compagnie d’assurance dans le stress d’un TLPT des plus réalistes.


You've enabled "Do Not Track" in your browser, we respect that choice and don't track your visit on our website.