TLPT – Tests de pénétration fondés sur la menace

Face à des acteurs malveillants de plus en plus sophistiqués, les méthodes traditionnelles de tests de sécurité ne suffisent plus. C’est là qu’interviennent les Tests de Pénétration Fondés sur la Menace (TLPT), des simulations d’attaques grandeur nature qui permettent d’évaluer la capacité d’une organisation à résister à des cyberattaques réelles.

Que sont les TLPT ?

Un TLPT est un exercice orchestré par une équipe d’experts en sécurité, appelés « Red Team », qui simule une attaque informatique complexe menée par un acteur malveillant.

Les TLPT permettent de :

• Détecter et contrer les intrusions, même celles utilisant des techniques inédites et avancées.
• Limiter les dommages en cas de compromission réussie.
• Maintenir la continuité d’activité pendant et après une cyberattaque.

Contrairement aux tests d’intrusion classiques qui se concentrent sur la découverte de failles de sécurité, les TLPT adoptent une approche plus réaliste et holistique.

L’équipe Red Team opère en « boîte noire », sans connaissance préalable de la configuration interne des systèmes, et utilise un large éventail de techniques pour mener son attaque, s’inspirant des modus operandi des cybercriminels actuels.

Comment se déroulent les TLPT ?

Un TLPT se déroule généralement en plusieurs phases distinctes :

Définition du périmètre et des objectifs

L’organisation et l’équipe Red Team collaborent pour définir le périmètre du test, en précisant les systèmes à cibler et les objectifs à atteindre.

Cette étape permet de cadrer l’exercice et de s’assurer qu’il répond aux besoins spécifiques de l’organisation.

Reconnaissance et collecte d’informations

L’équipe Red Team mène une phase de reconnaissance approfondie pour recueillir des informations sur l’organisation, ses systèmes d’information, ses réseaux et ses processus de sécurité.

Cette phase peut inclure la recherche d’informations en sources ouvertes (OSINT), l’analyse des réseaux sociaux, la cartographie des systèmes et l’exploration des vulnérabilités potentielles.

Attaque simulée

L’équipe Red Team simule une attaque réelle en employant un arsenal de techniques sophistiquées, telles que :

• L’ingénierie sociale : Manipulation psychologique des employés pour les inciter à divulguer des informations confidentielles ou à installer des malwares.
• Le phishing : Envoi d’e-mails ou de SMS trompeurs incitant les utilisateurs à cliquer sur des liens malveillants ou à saisir des informations sensibles.
• L’exploitation de failles logicielles : Identification et utilisation de vulnérabilités connues ou inconnues dans les logiciels et les systèmes d’exploitation pour obtenir un accès non autorisé.
• L’intrusion physique : Accès physique aux locaux de l’organisation pour voler des données ou installer des dispositifs malveillants.

Analyse et reporting

Une fois l’attaque simulée terminée, l’équipe Red Team analyse en détail les résultats obtenus.

Cette analyse permet d’identifier les failles de sécurité exploitées, les vecteurs d’attaque utilisés et les points d’amélioration pour la posture de sécurité de l’organisation.

Un rapport complet est ensuite rédigé et remis à l’organisation, détaillant les conclusions de l’exercice et les recommandations pour renforcer la sécurité.

TLPT & DORA

Qu’est-ce que le règlement DORA ?

Le règlement DORA vise à renforcer la cybersécurité du secteur financier européen.

Entré en vigueur en novembre 2022, il impose aux entités financières de :

• Mettre en place une stratégie de gestion des cyber-risques.
• Identifier et évaluer leurs cyber-risques.
• Prendre des mesures pour prévenir et limiter les cyberattaques.
• Tester et exercer leur capacité à réagir aux cyberattaques.
• Signaler les incidents cybernétiques majeurs aux autorités.

Le règlement DORA s’applique à un large éventail d’entités financières, dont les banques, les assureurs, les fonds d’investissement et les opérateurs d’infrastructures de marché.

Les entités financières devront se conformer au règlement DORA d’ici 2025 ou 2026.

L’article 26 de DORA sur les TLPT

L’article 26 du Digital Operational Resilience Act (DORA) s’attaque à un enjeu crucial de la cybersécurité financière : la détection des failles critiques au sein des systèmes d’information et de communication (SIC).

Pour ce faire, il met en avant l’utilisation de tests avancés fondés sur des tests de pénétration fondés sur la menace (TLPT), une approche redoutable pour mettre à l’épreuve la robustesse des SIC face à des cyberattaques sophistiquées.

Qui est concerné par les TLPT ?

L’obligation de réaliser ces tests ne s’applique pas à toutes les entités financières. Seules les entités financières les plus importantes, identifiées comme « systémiques » par les autorités compétentes, sont tenues de s’y soumettre.

Cette mesure vise à protéger les éléments les plus critiques du secteur financier contre les cyberattaques ciblées et de grande envergure.

Pour identifier ces entités « systémiques », les autorités européennes ont défini des critères précis, tels que :

• Le nombre de clients et la taille des marchés financiers sur lesquels l’entité opère.
• Le degré d’interdépendance avec d’autres entités financières.
• L’importance des services critiques fournis.
• La capacité de l’entité à absorber les perturbations majeures.

En France, par exemple, les banques et les établissements de crédit les plus importants, les infrastructures de marché critiques et les prestataires de services de paiement essentiels font partie des entités susceptibles d’être considérées comme « systémiques ».

Quand les TLPT doivent-ils être réalisés ?

L’article 26 impose un rythme régulier pour ces tests avancés, avec une fréquence minimale d’une fois tous les trois ans. Cette périodicité permet de garantir que les SIC restent protégés face à l’évolution constante des menaces cybernétiques.

Il est important de noter que les autorités compétentes peuvent exiger la réalisation de tests avancés plus fréquents si elles estiment que le niveau de risque encouru par une entité financière le justifie.

Comment ces TLPT doivent-ils être menés ?

L’article 26 ne rentre pas dans les détails techniques de la mise en œuvre des tests avancés. Cependant, il souligne l’importance de recourir à des méthodes de test de pénétration fondées sur la menace (TLPT).

Ces méthodes simulent des cyberattaques réelles, menées par des experts en sécurité informatique hautement qualifiés, afin de déceler les failles auxquelles les SIC pourraient être exposées.

Quels sont les objectifs des TLPT dans le cadre de l’article 26 de DORA ?

L’objectif principal de ces tests avancés est de détecter les failles critiques des SIC qui pourraient être exploitées par des cyberattaquants.

En identifiant ces vulnérabilités en amont, les entités financières peuvent prendre des mesures correctives pour les neutraliser et ainsi minimiser le risque d’intrusions majeures.

Ces tests avancés permettent également de :

Évaluer l’efficacité des mesures de sécurité existantes

Les tests TLPT permettent de tester la robustesse des mesures de sécurité mises en place par les entités financières et d’identifier les points d’amélioration.

Renforcer la sensibilisation à la cybersécurité au sein des entités financières

Le processus de test TLPT peut contribuer à sensibiliser les employés des entités financières aux risques cybernétiques et aux bonnes pratiques de sécurité.

En observant les techniques utilisées par les testeurs, les employés peuvent mieux comprendre les menaces auxquelles les SIC sont confrontés et adopter des comportements plus sécuritaires.

Améliorer la collaboration entre les entités financières et les autorités compétentes

Les résultats des tests avancés peuvent être partagés avec les autorités compétentes, ce qui permet d’améliorer la compréhension globale des menaces cybernétiques pesant sur le secteur financier.

Cette collaboration peut favoriser la mise en place de mesures de protection plus efficaces et plus coordonnées.

Les auditeurs éligibles à la réalisation des TLPT

L’article 27 du Règlement sur la résilience opérationnelle numérique (DORA) impose des exigences strictes aux testeurs qui réalisent des tests de pénétration fondés sur la menace (TLPT) pour les entités financières.

Ces exigences visent à garantir que les TLPT soient menés de manière rigoureuse, impartiale et professionnelle, afin d’offrir une évaluation précise de la robustesse des systèmes informatiques des entités financières face aux cybermenaces.

Compétences requises pour les testeurs

• Expertise technique : Les testeurs doivent posséder une connaissance approfondie des technologies de l’information pertinentes, y compris les systèmes d’exploitation, les réseaux, les applications et les protocoles de sécurité.
• Expérience en matière de tests de pénétration : Ils doivent avoir une expérience pratique significative dans la conduite de TLPT, en utilisant une variété de techniques et d’outils de test de pénétration.
• Connaissance des menaces de cybersécurité : Ils doivent avoir une compréhension claire des menaces de cybersécurité actuelles, telles que les malwares, les attaques par injection de code et les attaques par déni de service.
• Capacité de communication : Ils doivent être capables de communiquer efficacement les résultats des tests aux parties prenantes non techniques, en utilisant un langage clair et concis.

Indépendance et confidentialité

• Indépendance cruciale : Pour garantir l’impartialité, les testeurs doivent être indépendants de l’entité financière testée et de ses prestataires de services tiers. Cela permet d’éviter tout conflit d’intérêts et d’assurer que les tests sont menés de manière objective.
• Protection de la confidentialité : Les testeurs doivent respecter la confidentialité des informations auxquelles ils accèdent au cours des tests. Cela inclut les données personnelles, les informations financières et les secrets commerciaux. Des accords de non-divulgation (NDA) et d’autres mesures de protection des données doivent être mis en place.

Méthodologie rigoureuse des tests

• Planification détaillée : Les TLPT doivent être menés conformément à une méthodologie documentée qui est approuvée par l’entité financière testée. Cette méthodologie doit définir l’étendue des tests, les techniques à utiliser, les critères d’évaluation et le calendrier.
• Scénarios réalistes : Les tests doivent être basés sur des scénarios réalistes qui reflètent les menaces et les vulnérabilités les plus probables auxquelles l’entité financière est confrontée.
• Tests approfondis : Les testeurs doivent effectuer des tests approfondis de tous les systèmes et applications pertinents, y compris les interfaces Web, les API et les systèmes back-end.
• Documentation complète : Les résultats des TLPT doivent être documentés dans un rapport détaillé qui comprend les failles de sécurité identifiées, les preuves à l’appui, les recommandations d’atténuation et une analyse de l’impact potentiel des failles.

Rôle des entités financières

• Sélection rigoureuse des testeurs : Les entités financières doivent mettre en place un processus de sélection rigoureux pour identifier et sélectionner les testeurs qui répondent aux exigences réglementaires.
• Supervision et suivi : Elles doivent superviser de près les TLPT pour s’assurer qu’ils sont menés conformément à la méthodologie approuvée et que les délais sont respectés.
• Plan d’action pour les failles : Elles doivent élaborer un plan d’action pour remédier aux failles de sécurité identifiées lors des TLPT, en définissant des priorités et en attribuant des responsabilités.
• Amélioration continue : Elles doivent utiliser les résultats des TLPT pour améliorer continuellement leur posture de cybersécurité et mettre à jour leurs programmes de tests en conséquence.

Choisir Ziwit comme auditeur TLPT

Ziwit, en tant que testeur qualifié et certifié, se présente comme un choix éclairé pour les entités financières soucieuses de renforcer leur posture de cybersécurité et de répondre aux exigences réglementaires du Règlement sur la résilience opérationnelle numérique (DORA).

Voici quelques points clés qui font de Ziwit un partenaire de confiance pour vos tests de pénétration fondés sur la menace (TLPT) :

Expertise avérée en matière de cybersécurité

Ziwit possède une équipe de professionnels hautement qualifiés et expérimentés dans le domaine de la cybersécurité, avec une connaissance approfondie des menaces, des vulnérabilités et des techniques d’attaque les plus récentes.

Cette expertise garantit que vos TLPT seront menés avec rigueur et précision, offrant une évaluation fiable de la résilience de vos systèmes informatiques.

Conformité rigoureuse aux exigences DORA

Ziwit s’engage à respecter scrupuleusement les exigences de l’article 27 du DORA concernant les testeurs TLPT. Cela implique une indépendance totale vis-à-vis de votre entité financière, une confidentialité des données irréprochable, une méthodologie de test rigoureuse et une documentation complète des résultats.

Approche méthodique et scénarios réalistes

Ziwit adopte une approche méthodique pour les TLPT, en définissant clairement les objectifs, les scénarios de test et les critères d’évaluation. Les scénarios sont conçus pour refléter les menaces réelles auxquelles votre entité financière est confrontée, garantissant ainsi la pertinence et l’utilité des résultats des tests.

Gamme complète de services de test

Au-delà des TLPT, Ziwit propose une gamme complète de services de test de cybersécurité pour répondre à vos besoins spécifiques. Cela peut inclure des tests d’intrusion, des évaluations de vulnérabilité, des audits de sécurité et des tests de gestion des identités et des accès.

Engagement pour l’amélioration continue

Ziwit met l’accent sur l’amélioration continue de ses services et de ses compétences. L’équipe reste informée des dernières menaces et vulnérabilités, adoptant les nouvelles technologies et méthodologies de test pour garantir que vos TLPT soient toujours à la pointe du progrès.