L’arrivée de DORA, les conséquences pour le monde bancaire et TIBER-EU

Veille sécurité

L’arrivée de DORA, les conséquences pour le monde bancaire et TIBER-EU

Veille sécurité | 27/06/2024 Le milieu bancaire est une cible de choix pour les pirates informatiques. Effectivement, quoi de mieux que d’arriver à accéder au saint graal, le datacenter de la salle des marchés ou encore les serveurs effectuant les ordres de virement. Même si la cybersécurité a énormément évolué ces vingt dernières années, il manquait encore aux entreprises bancaires européennes un cadre...

Le milieu bancaire est une cible de choix pour les pirates informatiques. Effectivement, quoi de mieux que d’arriver à accéder au saint graal, le datacenter de la salle des marchés ou encore les serveurs effectuant les ordres de virement.
Même si la cybersécurité a énormément évolué ces vingt dernières années, il manquait encore aux entreprises bancaires européennes un cadre commun permettant de simuler des attaques organisées et de juger du niveau de sécurité de ces sociétés.

Les attaquants, qui sont-ils ?

On distingue couramment plusieurs niveaux d’attaquants :

Débutant
Confirmé
Professionnel
Groupe d’attaquants professionnels organisés indépendant
Groupe d’attaquants professionnels organisés étatique ou semi-étatique

TIBER-EU, une méthodologie commune à l’ensemble du milieu bancaire

Les attaques d’un réseau bancaire sont plus souvent l’œuvre de groupes de professionnels organisés, étatique ou non. C’est pourquoi la Banque Centrale Européenne a publié le cadre TIBER-EU (« Threat Intelligence-Based Ethical Red Teaming for the European Union ») en 2018 afin de proposer une méthodologie commune à toutes les organisations bancaires pour éprouver leur résilience face à ces attaques, via la tenue d’engagements Red Team basés sur la menace qui pèse sur leurs structures.

La réalisation de ce type d’audits (appelés TLPT, Thread Lead Penetration Testing) va devenir obligatoire pour beaucoup d’acteurs du domaine financier dès 2025 avec l’application du règlement DORA. Il est à noter que cette obligation ne concerne pas seulement les entreprises bancaires mais aussi leurs prestataires principaux.

Cette obligation prouve que l’Europe prend en compte les méthodes des attaquants qui ciblent presque systématiquement les maillons les plus faible d’une chaîne. Effectivement, les attaques sur un prestataire (supply chain attack) pour accéder à ses clients sont monnaie courante de nos jours (cf. l’attaque SolarWind).

Avant de parler davantage de TIBER-EU, qu’est-ce qu’un engagement Red Team ?

Un engagement Red Team, c’est la mise en place d’un audit avec deux équipes, l’une attaquant (l’équipe rouge) et l’autre défendant (l’équipe bleue). L’objectif des attaquants est d’atteindre différents « flags » (objectifs de compromission) sans être détectés, alors que l’objectif de la Blue Team (qui n’est pas au courant qu’un engagement se déroule) est de détecter et répondre aux attaques comme elle le ferait en temps normal.

A ce mode opératoire maintenant connu de la plupart des structures sensibles, le cadre TIBER vient rajouter des étapes préalables, en intégrant le renseignement sur la menace cyber (CTI : Cyber Threat Intelligence) en amont de la tenue des opérations offensives. Cela permet de focaliser l’exercice sur les menaces les plus pertinentes et de rendre les audits plus efficaces.

Le cadre décrit une méthodologie détaillée de la manière dont doit se dérouler un engagement avec différentes étapes telles que :

La préparation incluant la définition des différentes équipes, du périmètre, des flags à récupérer, les limitations et les risques associés aux tests.
La sélection du prestataire pour la Threat Intelligence et le Red Team.
La mise en place de la prestation de Threat Intelligence permettant de définir le ou les scénarios qui vont être déroulés par l’équipe Red Team afin de correspondre à des groupes d’attaquants réels et connus. Le rapport réalisé est appelé le TTIR (Targeted Threat Intelligence Report).
- Il est à noter que la mise en place de ces scénarios n’a pas vocation à empêcher l’équipe d’auditeurs réalisant l’engagement d’utiliser sa créativité et son adaptabilité, et ce, pour rester proche de la réalité des attaquants, qui eux n’appliquent pas forcément un scénario figé dans le cas d’obstacle.

Le lancement du Red Team comprenant les tests à réaliser par l’équipe rouge et les tentatives de détection par l’équipe bleu. Les différentes étapes de ce Red Team sont :

- - Construction du plan d’audit à partir du TTIR incluant :
    - La Timeline détaillée pour chaque scénario et chaque flag.
    - TTPs utilisé intégré à la matrice MITRE ATT&CK.
    - Les possibles Jokers activables par l’équipe blanche (la seule chez le client à connaître l’existence de l’engagement Red Team) :
      - Une opération est réalisable mais prendrait trop de temps à la Red Team.
      - Une information manque à la Red Team pour avancer sur le scénario.
      - Un accès aurait pu être obtenu (phishing…) pour avancer sur le scénario.
    - Phase de reconnaissance :
      - OSINT grâce à des moteurs de recherche ou des sites web spécifiques.
      - Techniques par des scans de serveur ou des outils d’énumération…
    - Tentative d’accès initial :
      - Hameçonnage.
      - Attaque des serveurs web frontaux.…
    - Attaque et post exploitation.
    - Rédaction du rapport.
  - La clôture incluant :
    - La restitution des résultats au client.
    - La possibilité pour l’équipe de défense de demander aux attaquants de rejouer certaines attaques afin de comprendre pourquoi elles n’ont pas ou peu été détectées (approche Purple Team).

Le changement principal de ce nouveau type de Red Team va être de pouvoir tester les capacités de détection des entités bancaires à des simulations d’attaques reprenant les TTPs d’acteurs malveillants.

Effectivement, un SOC (plateforme de supervision et d’administration de la sécurité permettant des interventions à distance) est généralement dépendant des capteurs et des indicateurs que ces derniers lui remontent afin de détecter une attaque. Le fait que les attaquants utilisent une méthodologie et des outils précis correspondant à un groupe défini permet de connaître le niveau de détection possible de ce genre d’attaque.

L’utilité de DORA, les conséquences sur TIBER-EU

La mise en place d’une règlementation comme DORA, aussi contraignante que cela soit pour les acteurs devant la respecter, est en général preuve de maturité du milieu. Le fait de rendre ces engagements obligatoires va permettre aux DSI de ces groupes bancaires de débloquer les budgets nécessaires à de tels engagements tout en leur permettant de s’assurer du niveau de sécurité de leurs prestataires, eux aussi contraints à ces exercices.

De plus, le cadre légal et les documents décrivant les grandes étapes d’un engagement permettront aux sociétés proposant du Red Team de montrer que l’organisation d’une telle mission prend du temps et implique des ressources de recherche et développement ainsi qu’une forte expertise.

Pour finir, le bénéfice pour les grands groupes bancaires sera très concret. La mise en place de ce genre d’audit permet en général de prendre conscience des chemins d’attaques peu conventionnels, faisant pourtant porter un risque élevé à l’entreprise, avec la démonstration qu’ils sont réellement exploitables.

Cette nouvelle exigence va autant profiter aux établissements bancaires qu’à leurs prestataires. Elle implique certes de nouveaux coûts, mais pouvant partiellement être intégrés dans les budgets déjà existants. Le nombre d’entreprises faisant appel à des audits TIBER va augmenter considérablement, surtout si ces dernières possèdent déjà une bonne culture sécurité sans pour autant avoir déjà réalisé d’engagement Red Team ou de bilans CTI avant cela. Le retour sur investissement attendu est donc très favorable.

Tom Khefif, Pentester chez Akerva

Cookie	Durée	Description
AWSALBCORS	7 days	This cookie is used for load balancing services provded by Amazon inorder to optimize the user experience. Amazon has updated the ALB and CLB so that customers can continue to use the CORS request with stickness.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Durée	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Durée	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
CONSENT	13 months	This cookie generated by GDPR Cookie Consent plugin is used to receive the user's consent or not in the use of cookies. It does not collect any personal data.
incap_ses_7227_1885766		No description
visid_incap_1885766	1 year	No description

Blog

Akerva

Faites l’expérience de la sécurité active & réactive