WLF - Cabinet de Cybersécurité
    Conformité19 janvier 202520 min de lecture

    Les tests de pénétration fondés sur la menace (TLPT) du Règlement DORA : un nouvel outil pour la résilience opérationnelle numérique du système financier européen

    Alexandre Fontaine

    Alexandre Fontaine

    Associé WLF

    TLPT DORA - Tests de pénétration fondés sur la menace

    L'entrée en application récente, le 17 janvier 2025, du Règlement européen DORA (Digital Operational Resilience Act) marque une étape décisive dans la protection du secteur financier contre les cybermenaces. Ce règlement impose des exigences précises et ambitieuses visant à renforcer la résilience opérationnelle numérique des établissements financiers et plus globalement de l'ensemble du système financier de l'Union européenne. Les autorités ont ainsi prévu que chaque établissement élabore et déploie un programme continu et d'envergure incluant de nombreuses typologies de tests pour éprouver et démontrer les capacités de résilience opérationnelle numérique de leur organisation et de leurs systèmes d'information mais aussi de ceux de leurs prestataires de services, en particulier lorsque ceux-ci supportent des fonctions critiques ou importantes.

    Parmi ce large éventail de tests, les autorités ont accordé une place centrale à un nouveau dispositif de tests de pénétration fondés sur la menace, aussi nommés Threat-Led Penetration Testing (TLPT). Ces tests, conçus spécifiquement pour évaluer la capacité des établissements financiers à résister à des cyberattaques sophistiquées, deviennent dorénavant un outil incontournable pour garantir la sécurité et la résilience du système financier européen.

    TIBER-EU, à l'origine des TLPT DORA

    Bien avant l'entrée en vigueur du Règlement DORA, la Banque Centrale Européenne (BCE) avait rédigé et publié en mai 2018 un référentiel de bonnes pratiques en matière de conduite de tests de pénétration éthiques fondés sur la menace (Threat Intelligence-based Ethical Red-teaming) en collaboration avec les autorités nationales compétentes des pays de l'Union européenne.

    Nommé TIBER-EU, ce référentiel spécifie la manière dont les autorités européennes, les entités financières et les prestataires de tests de pénétration doivent collaborer ensemble pour tester et améliorer la cyber-résilience des entités en réalisant des tests d'intrusion exigeants, maîtrisés et pertinents. Depuis 2018, plus de 15 pays l'ont décliné dans leur contexte national dont la France en 2024 avec la publication par la Banque de France d'un guide d'implémentation national TIBER-FR tenant compte des obligations liées aux intérêts fondamentaux de l'État français, en particulier pour les Opérateurs d'Importance Vitale (OIV) soumis à la Loi de Programme Militaire et pour les Opérateurs de Services Essentiels (OSE) soumis à la Directive NIS 1.

    Les autorités communiquent sur 120 tests volontaires réalisés depuis 2018 sur la base du référentiel TIBER-EU dans différents contextes et sur l'ensemble de l'Union Européenne. Ces expériences ont manifestement amené les autorités à conclure que le dispositif des tests de pénétration fondés sur la menace était pertinent et devait être systématisé. Ainsi, dans le règlement du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, il est demandé aux trois autorités européennes de surveillance ESMA, EBA et EIOPA d'élaborer en accord avec la Banque Centrale Européenne un standard technique réglementaire s'appuyant sur le référentiel TIBER-EU et précisant l'ensemble des exigences en matière de tests de pénétration fondés sur la menace applicables aux entités financières européennes désignées.

    Qu'est-ce qu'un TLPT et pourquoi est-il essentiel ?

    Le 27 novembre 2023, les autorités européennes de surveillance ont publié une version de travail du standard technique réglementaire relatif au TLPT avant d'engager une période de consultation de l'ensemble des acteurs concernés à l'échelle européenne. À l'issue de cette consultation où de nombreuses remarques ont pu être remontées et prises en compte, une nouvelle version amendée et stabilisée a été publiée le 17 juillet 2024. La prochaine étape, qui ne devrait en théorie pas occasionner d'évolution des exigences, sera la publication de ce standard au journal officiel de l'Union européenne.

    Les tests de pénétration fondés sur la menace attendus par le Règlement DORA diffèrent des tests de pénétration traditionnels par leur approche plus réaliste et ciblée. Alors que les tests classiques cherchent à identifier les vulnérabilités techniques à travers une analyse générale du système d'information, les tests de pénétration fondés sur la menace simulent des cyberattaques élaborées basées sur des scénarios conçus à partir de menaces spécifiques au secteur financier.

    L'objectif principal de ces tests est double. D'abord, tester la résilience opérationnelle des systèmes d'information critiques de l'entité financière face à des attaques équivalentes et dans des conditions identiques à celles menées par des cyberattaquants réels. Ensuite, identifier les défaillances organisationnelles et techniques dans les processus de protection, de détection, de réponse et de rétablissement afin de permettre aux entités financières d'y remédier.

    En effet, les cybercriminels adaptent constamment leurs stratégies, exploitant des vecteurs d'attaque complexes comme les rançongiciels, les attaques par chaîne d'approvisionnement ou les campagnes d'hameçonnage sophistiquées. Des tests de pénétration fondés sur la menace menés régulièrement et de manière proactive permettront d'évaluer si les systèmes financiers sont préparés à ces nouvelles formes d'attaques.

    Comment s'organise un TLPT DORA ?

    Un test de pénétration fondé sur la menace DORA doit mettre en œuvre une organisation imposée et précise. Cette organisation est décomposée en cinq équipes distinctes :

    La TLPT Cyber Team

    Elle est composée d'experts désignés par les autorités compétentes et représentée par un responsable du test et au moins un suppléant en charge de la relation avec la Control Team de l'entité financière. Elle aura pour principales activités de valider le périmètre du TLPT et les équipes de testeurs sélectionnées, d'analyser et d'approuver les différents rapports du TLPT ainsi que le plan de remédiations et enfin de délivrer l'attestation de réalisation du TLPT à l'entité.

    La Control Team

    Elle est composée des principaux décideurs de l'entité financière et est pilotée par un responsable disposant du mandat de la direction. Elle se veut restreinte car elle est la seule au sein de l'organisation à avoir connaissance de la réalisation d'un TLPT. Elle jouera un rôle central et primordial pendant tout le déroulé du TLPT. Durant la phase de préparation, elle sera amenée à évaluer et maîtriser les risques du TLPT et à proposer le champ d'application. Ensuite, elle sera en charge de la planification et de la coordination de l'ensemble des phases suivantes du TLPT en interne, avec le fournisseur d'analyse de la menace et la Red Team.

    Le Fournisseur de renseignements sur la menace

    Il est obligatoirement externe à l'entité financière. Il est sélectionné par la Control Team, proposé à la TLPT Cyber Team et approuvé par cette dernière. La TLPT Cyber Team dispose d'un droit de rejet du fournisseur pour des questions de non-conformité aux exigences en matière d'expérience et d'expertise. Le fournisseur aura pour missions de recueillir et d'analyser les renseignements sur les menaces génériques et sectorielles et d'identifier les cybermenaces et les vulnérabilités concernant l'entité financière. À l'issue de son analyse, il devra produire et soumettre à la Control Team un rapport de renseignements sur les menaces spécifiant plusieurs scénarios détaillés pour la phase de tests en mode Red Team.

    La Blue Team

    Elle est composée de l'ensemble des ressources opérant les activités de prévention, de détection et de réponse sur les incidents de sécurité au sein de l'entité financière. La Blue Team intègre également les éventuels prestataires externes soutenant des fonctions critiques ou importantes. Elle n'a pas connaissance de la réalisation du TLPT. Son rôle consistera à conduire ses activités habituelles et donc de détecter et répondre aux attaques engagées par la Red Team.

    La Red Team

    Elle peut être soit interne soit externe à l'entité financière. Elle est obligatoirement externe pour les établissements de crédit GSII et OSII et au moins une fois tous les trois TLPT pour les autres entités financières. La Red Team est a minima composée d'un responsable et de deux testeurs disposant d'un minimum d'expérience dans la réalisation de tests équivalents. Elle endossera le rôle de cyberattaquants en conduisant les différents scénarios de tests de pénétration établis par le fournisseur de renseignement sur la menace.

    La Purple Team

    La Purple Team n'est pas une équipe à proprement dite mais une activité limitée du TLPT réunissant ponctuellement la Red Team et la Blue Team. Cette activité ne peut intervenir qu'à deux occasions durant le TLPT, de manière optionnelle et exceptionnelle lors de la phase de Red Teaming et de manière obligatoire lors de la phase de clôture. L'objectif de cette activité spécifique est notamment d'approfondir l'analyse de certaines vulnérabilités identifiées durant les tests.

    Organisation type d'un TLPT DORA

    Figure 1 : Organisation type d'un test de pénétration fondé sur la menace DORA

    Comment se déroule concrètement un TLPT DORA ?

    Un TLPT DORA se conduit sur une période totale d'environ 12 à 16 mois. Il débute par une phase de préparation, se poursuit par une phase de tests et se ponctue par une phase de clôture.

    La phase de préparation

    La phase de préparation s'engage après la notification de la TLPT Cyber Team. L'entité financière dispose de seulement trois mois après la réception du courrier des autorités pour transmettre son document d'initialisation. Cette phase a pour objectif de définir les modalités et le champ d'application pour la réalisation du TLPT et d'obtenir l'approbation de la TLPT Cyber Team pour la conduite de la suite du TLPT.

    La phase de tests

    La phase de tests se décompose en deux temps : la phase de renseignements sur la menace puis la phase de tests en mode Red Team. La phase de renseignements sur la menace fait intervenir un fournisseur externe spécialisé. Son objectif est d'analyser les menaces liées à l'entité financière et d'identifier des scénarios de tests réalistes exploitant les différentes informations collectées. Elle aboutit à la production d'un rapport sur les menaces et à la sélection d'au moins deux scénarios pour la phase suivante.

    La phase de tests en mode Red Team s'engage par une préparation du plan de tests et se poursuit par une phase active de tests d'une durée minimale de 12 semaines. La TLPT Cyber Team et la Control Team approuvent le plan de tests puis sont régulièrement tenus informés de la progression des tests.

    La phase de clôture

    La phase de clôture a pour objectif de produire tous les rapports exigés par les autorités et de formaliser l'ensemble des conclusions du TLPT. Dans un délai de 8 semaines suivant la notification de l'autorité TLPT, l'entité financière doit produire et soumettre un plan de remédiations complet décrivant l'ensemble des constatations effectuées lors du TLPT. Pour chaque constatation doivent notamment être décrites les lacunes identifiées ainsi que les mesures correctives proposées, leur ordre de priorité et leur réalisation prévue, y compris les mesures visant à améliorer les capacités d'identification, de protection, de détection et de réaction.

    Déroulé type d'un TLPT DORA

    Figure 2 : Déroulé type d'un test de pénétration fondé sur la menace DORA

    Quelles entités financières sont éligibles au TLPT DORA ?

    Toutes les entités financières éligibles au Règlement DORA ne sont pas nécessairement éligibles au TLPT DORA. Les entités financières qui seront effectivement désignées le seront à l'aune de critères quantitatifs et qualitatifs précisés dans le standard technique réglementaire relatif au TLPT et sur appréciation de l'autorité TLPT compétente. S'agissant de la France, la BCE, l'ACPR, l'AMF et la Banque de France seront à la manœuvre pour identifier et désigner les entités éligibles. À partir du 17 janvier 2025, ces autorités sont en capacité d'envoyer les courriers de désignation des entités éligibles ainsi que les courriers pour la réalisation des premiers tests.

    Autorités compétentes pour la désignation des entités éligibles au TLPT en France

    Figure 3 : Autorités compétentes pour la désignation des entités éligibles au TLPT en France

    Quels sont les principaux défis de la mise en œuvre de TLPT ?

    Pour la majorité des entités financières européennes désignées comme éligibles, la mise en œuvre de tests de pénétration fondés sur la menace respectant le cadre strict imposé par le Règlement DORA constituera une totale nouveauté. Les défis à relever pour conduire avec succès de tels tests sont particulièrement nombreux.

    1. La gouvernance interne et le corpus documentaire

    Avant d'être en capacité de réaliser un TLPT, une gouvernance interne ainsi qu'un riche corpus documentaire doivent être définis, validés et mis en œuvre. Il s'agira notamment de désigner les membres de la Control Team et d'avoir défini précisément le dispositif de pilotage du TLPT activable dès la réception de la notification.

    2. Les équipes de testeurs internes ou externes

    Le règlement DORA fixant des exigences en matière d'expérience des testeurs, il est assuré qu'il sera complexe pour les entités de recruter et d'obtenir en externe des ressources qualifiées et disponibles. Un écosystème devra progressivement se construire pour répondre aux besoins des entités financières, en particulier des établissements de crédit qui auront l'obligation de faire appel à des testeurs externes pour chaque TLPT.

    3. La disponibilité, l'intégrité et la confidentialité des SI

    Le règlement DORA exige la réalisation des tests de pénétration fondés sur la menace sur des environnements de production. Le risque d'impacts sur la disponibilité, l'intégrité et la confidentialité des systèmes d'information et donc d'impacts sur les services rendus par l'entité sera maximal. Il reviendra à la Control Team de mener une analyse complète de ces risques afin de les maîtriser et éviter tout effet de bord, en particulier pendant la phase de tests en mode Red Team d'une durée minimale de 12 semaines.

    4. Les prestataires de services supportant des fonctions critiques

    Le TLPT n'a pas vocation à s'arrêter à la frontière des systèmes d'information de l'entité financière. Les autorités exigeront des tests conduits sur l'ensemble d'une fonction critique ou importante y compris si celle-ci est tout ou partie externalisée chez un ou plusieurs prestataires. L'entité financière sera dans l'obligation de contractualiser avec ses prestataires des clauses permettant la conduite de TLPT. L'implication d'un ou plusieurs prestataires sera de nature à grandement complexifier le pilotage et la maîtrise des risques du TLPT.

    5. La sensibilité de l'information et des données

    La gestion et la confidentialité de l'information seront une préoccupation prépondérante de l'équipe en charge de la conduite du TLPT. Au-delà de garantir que seule la Control Team aura connaissance de la réalisation d'un TLPT, il sera nécessaire de sécuriser tous les transferts entre les équipes en interne et en externe compte tenu de la sensibilité majeure des informations qui seront manipulées à toutes les phases du TLPT.

    6. L'imprévisibilité et le coût élevé du TLPT

    Le Règlement DORA prévoit la réalisation d'un TLPT tous les trois ans mais les autorités gardent toute latitude pour intensifier ou abaisser la fréquence des tests. L'entité financière ne maîtrise donc absolument pas le planning de ses TLPT. La conduite d'un TLPT et l'ensemble du dispositif associé étant très coûteux, l'entité financière devra définir une gouvernance permettant de garantir le financement des TLPT quel que soit le planning imposé par les autorités.

    7. La visibilité totale par les autorités

    Le Règlement DORA dans son ensemble va conduire à ce que les autorités disposent de davantage d'informations qu'actuellement sur le niveau de conformité et de résilience des entités financières. Avec les TLPT, les autorités auront connaissance de toutes les vulnérabilités et lacunes des entités financières sans avoir besoin de diligenter elles-mêmes des contrôles. Les entités financières devront nécessairement accepter et accompagner cette transparence accrue vis-à-vis des autorités.

    Conclusion

    Les tests de pénétration fondés sur la menace, au cœur du Règlement DORA, représentent une évolution nécessaire pour garantir la sécurité et la résilience du secteur financier européen. Bien qu'ils impliquent des investissements importants et une coordination complexe, les avantages à long terme doivent largement dépasser les contraintes et défis évoqués. En adoptant une approche proactive face aux cybermenaces, les institutions financières pourront non seulement protéger leurs actifs critiques, mais aussi renforcer la confiance dans un écosystème financier de plus en plus numérique. À mesure que le cadre DORA se déploie, il est essentiel que les acteurs du secteur financier adoptent ces pratiques pour rester à la pointe de la cybersécurité et préparer un avenir plus sécurisé.

    Besoin d'accompagnement ?

    Les consultants de WLF maîtrisent les exigences DORA et TLPT. Nous vous aidons à structurer et piloter vos exercices de cyber-résilience. Contactez-nous pour un premier échange.

    Retrouvez cette publication sur :Revue Banque