Aller au contenu

DORA et les exigences des TLPT pour la résilience opérationnelle numérique

Avis d'expert

05 mars 2024

Voici maintenant un an que le règlement DORA (The Digital Operational Resilience Act est entré en vigueur.

 

Les entités financières (banques, assurances, gestionnaires de placement, etc.) ont jusqu’au 17 janvier 2025 pour respecter l’ensemble des 64 articles du règlement et ont déjà commencé leur plan de mise en conformité de leur Technologies de l’Information et de Communication (TIC).

Un bref rappel de l’organisation de DORA

Loi de Programmation Militaire (LPM), Bâle II, le Framework Network and Information Systems (NIS) et maintenant DORA, sont des réponses règlementaires nécessaires des institutions européennes aux menaces Cyber en pleine explosion.

 

Il est important de souligner que le règlement DORA a pour but d’unifier et d’uniformiser les efforts déjà lancés et mis en place via les exigences LPM, NIS (et sa nouvelle édition NIS 2) SAIV pour le secteur financier rassemblés dans 5 piliers.

 

Les 5 piliers de DORA

Aujourd’hui nous nous intéressons plus particulièrement aux articles 26 et 27 qui s’imposent à certaines entités critiques et sensibles du système Financier.

Qu’est-ce qu’un TLPT ?

Selon l’article 3.17 un TLTPT est « un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière ».

 

Le TLPT doit :

  • Être réalisé sur un périmètre couvrant :
    • Les fonctions critiques et importantes ;
    • Les activités des Prestataires Tiers de service TIC critiques ;
  • Inclure les surfaces d’attaques physiques, numériques et humaines ;
  • Être réalisé dans l’environnement de production ;
  • Être organisé, selon l’article 26.1, le Règlement DORA à minima 1 fois tous les 3 ans :
    • De plus, en accord avec l’exigence 26.8, en cas de « recours à des à des testeurs internes […] elles (les entités financières) engagent un testeur externe tous les 3 tests. »
  • Avoir la capacité d’évaluer le niveau de sécurité des TIC dans des situations concrètes et les plus réalistes possible.
  • Fournir des rapports permettant une vérification complète par les autorités compétentes, de la résilience réelle du système financier européen.

La BSG réagit sur les TLPT

Cependant la Banking Stakeholder Group (BSG) a remonté à la Banque centrale Européenne (BCE), le 5 mai 2023, ses inquiétudes vis-à-vis du manque de clarté sur de nombreuses exigences de DORA, dont la gestion des TLPT et a demandé à la BCE de se positionner avant le 17 janvier 2024.

 

Les Autorités Européenne de Surveillance (AES), se sont donc penchées sur les TLPT afin de proposer en novembre 2023 des normes techniques réglementaires (RTS – Regulatory Technical Standards) dédiées.

 

Ces RTS sont en phase de relecture par les différents acteurs du système financier, qui ont jusqu’au 4 mars 2024 pour remonter leurs remarques et leurs questions, ensuite les RTS entreront dans leur phase de mise à jour, validation et diffusion aux états membres et aux entités financières.

La proposition des AES concernant les normes techniques réglementaires des TLPT

Définir des RTS en relation avec TIBER-UE

 

L’article 26.11 de DORA impose aux AES d’élaborer des RTS conformes au carde établi par le Framework TIBER-EU.

 

 

TIBER-UE, petit rappel

TIBER-EU (Threat Intelligence-based Ethical Red Teaming) est un cadre européen pour les exercices de Red Team basés sur le renseignement sur les menaces.

 

Il fournit des orientations détaillées sur la manière dont les autorités, les entités et les fournisseurs de renseignements sur les menaces (Fournisseurs CTI) et de red team doivent collaborer pour tester et améliorer la cyber-résilience des entités en menant des cyberattaques contrôlées.

 

Les tests TIBER-UE imitent les tactiques, les techniques et les procédures d’attaquants réels, sur la base de renseignements personnalisés sur les menaces. Ils sont conçus sur mesure pour simuler une attaque contre les fonctions critiques d’une entité et ses systèmes sous-jacents, c’est-à-dire son personnel, ses processus et ses technologies.

 

Le résultat n’est pas une réussite ou un échec, mais le test est destiné à révéler les forces et les faiblesses de l’entité testée, ce qui lui permet d’atteindre un niveau plus élevé de cybermaturité.

 

Des retours des 5 derniers années d’application de TIBER-EU, la durée d’engagement d’un test TIBER est de 6 à 9 mois et se déroule ainsi :

  • Phase de préparation – 12 semaines en moyenne
  • Phase de Threath Intelligence – 4 à 6 semaines
  • Phase de Red Team – 12 semaines en moyenne
  • Phase de Clôture – 6 semaines

 

Cependant les exigences de DORA sur les TLPT ne sont pas entièrement couverts par le Framework TIBER-EU, d’où la nécessité d’avoir des RTS dédiées définies par les AES.

 

Aujourd’hui les différences principales entre les exigences DORA et le Framework TIBER-EU, que les RTS visent à couvrir sont :

  • La mise en place par chaque état membre d’ « une autorité publique unique au sein du secteur financier chargée des questions liées aux tests de pénétration fondés sur la menace dans le secteur financier au niveau national » (article 26.9), nommé Autorité TLPT dans les RTS afin de simplifier la lecture.
    • Les RTS définissent tout de même une TLPT Cyber Team (TCT) construite sur l’idéologie de le TIBER Cyber Team, qui sera positionnée au sein de l’Autorité TLPT, afin de rester au plus proche de l’organisation de TIBER-EU.
  • L’utilisation de testeurs internes (équipe Red Team interne).
  • L’obligation d’une Purple Team en place (Red Team interne + Blue Team), qui n’était que fortement suggérée au niveau de TIBER-EU.

 

De plus là où le cadre TIBER-EU était un référentiel de bonnes pratiques et basé sur le volontariat, DORA et les RTS des AES sont un cadre règlementaire pour le secteur financier.

 

Et la France dans tout cela – TIBER-FR

La Banque de France et l’ACPR ont pris les devants avec la proposition de la création de TIBER-FR en 2022, déclinaison nationale de TIBER-EU comprenant les spécificités nationales françaises et l’arrivée de DORA.

TIBER-FR rentre dans sa phase de tests pilotes en 2024.

 

Les entreprises françaises non concernée par les TLPT de DORA, pourront ainsi, sur la base du volontariat mettre en place des exercices TIBER-FR.

Les entités financières concernées par les TLPT selon les AES

Dans leur RTS, les AES exigent, sous le contrôle des Autorités TLPT, que les entités financières ci-dessus soient soumises aux TLPT (Article 2.1 des RTS) :

Les Autorités TLPT pourront agrandir la liste

Comme notifié dans l’article 2.3 des RTS, les autorités TLPT pourront ajouter des entités financières concernées par les TLPT, en prenant en compte de nombreux critères clés dont par exemple : la taille de l’entité, les interconnexions avec d’autres entités financières, la criticité ou l’importance des services de l’entité pour le système financier, etc.

 

En France la Banque de France et l’ACPR participe à la rédaction des RTS, et avec le déploiement de TIBER-FR au niveau du territoire français, elles auront donc le rôle d’autorité TLPT dans le cadre de DORA.

 

Elles pourront ainsi définir donc la liste des entreprises françaises du secteur financier concernées.

Les parties prenantes d’un TLPT

  •  TLPT Cyber Team (TCT), appartenant à l’autorité TLPT, elle englobe le personnel en charge de traiter toutes les questions opérationnelles liées aux TLPT.
    La TCT nommera un test manager qui supervisera le TLPT, et en charge de vérifier que les RTS sont bien appliquées.
  • Control Team, appartenant à l’entité financière, gère les TLPT depuis la sélection des fournisseurs externes jusqu’à l’évaluation des risques, en passant par la gestion opérationnelle des activités de test au jour le jour, la gestion des risques, etc.
    Le Responsable de l’équipe doit disposer du mandat nécessaire au sein de l’entité financière pour guider tous les aspects du test, sans en compromettre la confidentialité imposée.
  • Blue Team, composée des employés qui défendent l’entité financière contre une cybermenace simulée ou réelle sans savoir qu’ils sont testés
  • Testeurs, vont déployer les scenarii d’attaques pour simuler les cybermenaces envisagées pendant le TLPT.
    Le concept de « testeurs » de DORA est plus large que celui des Red Teams du cadre TIBER-UE, car DORA autorise le recours à une composition de testeurs internes et externes.
  • Prestataires de TI, ils imitent l’activité de collecte d’informations d’un attaquant en utilisant plusieurs sources fiables.
  • TLPT Risk Management, est la notion originale des AES dans ces RTS. Prenant en compte les risques importants qu’un TLPT impose sur une entité financière, bien qu’elle soit « Cyber-Mature » et que la responsabilité de la conduite du test et de la gestion des risques qui en découlent incombe entièrement à l’entité financière qui effectue le TLPT, cette dernière doit évaluer le risque lié à la réalisation du TLPT avant son commencement et continuer à surveiller ce risque en mettant à jour son évaluation si nécessaire.

Le déroulé d’un TLPT

Comme expliqué tout au long de cet article, le déroulé d’un TLTP selon DORA est proche de celui défini par TIBER-EU et en France par TIBER-FR.

Cependant, selon DORA et les RTS, il est central que l’Autorité TLPT soit au cœur du processus de validation du TLPT, et ce, dans chaque phase, via des documents ou des actions clés, afin de garantir la conformité des tests réalisés.

 

La confirmation des RTS sur le second trimestre de 2024 posera le périmètre d’activité de l’Autorité TLPT sur chaque phase d’un TLPT.

Les TLPT Groupés

Les RTS et DORA offrent la possibilité de réaliser des tests groupés et donc de réaliser un TLPT sur le périmètre de plusieurs Entités Financières, mutualisation des sources de TI et des testeurs externes.

 

Pour plus de détails : JC 2023 72 – CP on draft RTS on TLPT.docx (europa.eu)

 

L’organisation, le contrôle et le suivi des TLPT vont devenir un chantier cyber majeur et donc engager des dépenses importantes en plus de la responsabilité des directions des entités financières concernées.

 

Il est donc important que les programmes de tests de résilience permettent aux Responsables de la Sécurité du Système d’Information (RSSI) et aux Directions d’avoir la confiance nécessaire dans les mesures de sécurité en place avant l’arrivée d’un TLPT.

 

Ces tests de résiliences devront intégrer au plus tôt :

  • Une Purple Team dédiée interne (les Testeurs selon DORA) contrôlant périodiquement la surface d’attaque de l’entité financière, proche des exigences définies par TIBER-EU / FR.
  • Des prestataires de TI et de Red Team pour alimenter les travaux de la Purple Team.
  • Des montées en maturité sur le sujet, des différents acteurs internes de sécurité pour les entités financières, plus particulièrement la White Team (la Control Team attendue par DORA).
  • Une analyse de risques dédiée à la réalisation d’un TLPT.
  • Une amélioration continue de la campagne de test de résilience centralisant, entre autres :
    • Un grand nombre de profils différents d’experts en sécurité.
    • Une variété des tactiques et techniques de test (bug bounty, test de pénétration, exercices de Crise Cyber, etc.).
  • Une mise en place de veilles règlementaires afin de suivre :
    • Les avancés des travaux des AES, des échanges de la BSG et de la BCE.
    • La nomination des autorités TLPT et des TCT nationaux et européens.

 

Date clé : le 4 mars 2024

Les travaux sont toujours en cours par les AES et les entités financières pour cadrer ces TLPT, et les discussions étaient ouvertes jusqu’au 4 mars.
Même si les grandes lignes des RTS sont déjà bien définies, des détails seront apportés sur l’organisation des TLPT, le rôle des TCT, du TLPT Risk Management et des entités concernées par les TLPT.
Maintenant le secteur financier est dans l’attente de la publication des RTS dans leur version 1.0.

Bien choisir ses prestataires de TI et de Red Team

En novembre 2023, la banque de France et l’ACPR a émis des exigences relatives aux prestataires de TI et de Red Team en accord avec les attentes règlementaires de DORA.

Exigences Relatives au prestataire de TI

Au niveau du prestataire/entreprise :

  • Au moins 3 références portant sur des tests de Red teaming guidés par la menace.
  • Disposer des assurances nécessaires en vue de couvrir les activités qui n’ont pas été convenues dans le contrat de prestation et/ou qui découlent d’une faute, d’une négligence, etc.

 

Au niveau du Responsable de l’équipe de TI :

  • Au moins 5 ans d’expérience en renseignement sur les menaces, dont 3 ans dans le secteur financier.
  • Au moins 3 références dans la fourniture de renseignements sur les menaces en vue d’activités de Red teaming.
  • La vérification des antécédents est effectuée par le fournisseur de TI (au minimum). Des vérifications renforcées peuvent être faites à la demande de la TCT-FR.
  • Idéalement, disposer de certifications reconnues en matière de renseignements sur les menaces.

 

Le reste de l’équipe de TI :

  • Au moins 2 ans d’expérience en renseignement sur les menaces.
  • Equipe pluridisciplinaire avec un large éventail de compétences (OSINT, HUMINT, géopolitique etc).
  • Vérification des antécédents est effectuée par le fournisseur de TI (au minimum). Des vérifications renforcées peuvent être faites à la demande de la TCT-FR.
  • Idéalement, disposer de certifications reconnues en matière de renseignements sur les menaces.
  • Idéalement, avoir de l’expérience dans la fourniture de renseignements sur les menaces en vue des activités de Red teaming.

Exigences relatives au prestataire de Red Team

Au niveau du prestataire/entreprise :

  • Au moins 5 références portant sur des tests de Red teaming guidés par la menace.
  • Disposer des assurance(s) nécessaire(s) en vue de couvrir les activités qui n’ont pas été convenues dans le contrat de prestation et/ou qui découlent d’une faute, d’une négligence, etc.

 

Au niveau du Responsable de l’équipe de RT :

  • Au moins 5 ans d’expérience en Red teaming, dont 3 ans dans le secteur financier.
  • Au moins 3 références de Red teaming.
  • Vérification des antécédents est effectuée par le fournisseur de RT (au minimum). Des vérifications renforcées peuvent être faites à la demande de la TCT-FR.
  • Doit disposer de certifications reconnues.

 

Le reste de l’équipe de RT :

  • Au moins 2 ans d’expérience en Red teaming.
  • Équipe pluridisciplinaire avec un large éventail de compétences (métier finance, intrusion physique, ingénierie sociale, analyse de vulnérabilités etc).
  • Vérification des antécédents est effectuée par le fournisseur de TI (au minimum). Des vérifications renforcées peuvent être faites à la demande de la TCT-FR.
  • Disposer de certifications reconnues (non éliminatoire).