DORA : Les TLPT

Veille sécurité

DORA : Les TLPT

Veille sécurité | 05/03/2024 Voici maintenant un an que le règlement DORA (The Digital Operational Resilience Act [1]) est entré en vigueur. Les entités financières (banques, assurances, gestionnaires de placement, etc.) ont jusqu’au 17 janvier 2025 pour respecter l’ensemble des 64 articles du règlement et ont déjà commencé leur plan de mise en conformité de leur...

Voici maintenant un an que le règlement DORA (The Digital Operational Resilience Act [1]) est entré en vigueur.

Les entités financières (banques, assurances, gestionnaires de placement, etc.) ont jusqu’au 17 janvier 2025 pour respecter l’ensemble des 64 articles du règlement et ont déjà commencé leur plan de mise en conformité de leur Technologies de l’Information et de Communication (TIC), comme présenté par nos équipes dans cet article.

Un bref rappel de l’organisation de DORA

Loi de Programmation Militaire (LPM), Bâle II, le Framework Network and Information Systems (NIS) et maintenant DORA, sont des réponses règlementaires nécessaires des institutions européennes aux menaces Cyber en pleine explosion.

Il est important de souligner que le règlement DORA a pour but d’unifier et d’uniformiser les efforts déjà lancés et mis en place via les exigences LPM, NIS (et sa nouvelle édition NIS 2) SAIV pour le secteur financier [2] rassemblés dans 5 piliers.

Les 5 piliers de DORA

DORA et ses 5 piliers

Aujourd’hui nous nous intéressons plus particulièrement aux articles 26 et 27 qui s’imposent à certaines entités critiques et sensibles du système Financier.

Qu’est-ce qu’un TLPT ?

Selon l’article 3.17 un TLTPT est « un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière ».

Le TLPT doit :

Être réalisé sur un périmètre couvrant :
- Les fonctions critiques et importantes ;
- Les activités des Prestataires Tiers de service TIC critiques ;
Inclure les surfaces d’attaques physiques, numériques et humaines ;
Être réalisé dans l’environnement de production ;
Être organisé, selon l’article 26.1, le Règlement DORA à minima 1 fois tous les 3 ans :
- De plus, en accord avec l’exigence 26.8, en cas de « recours à des à des testeurs internes […] elles (les entités financières) engagent un testeur externe tous les 3 tests. »
Avoir la capacité d’évaluer le niveau de sécurité des TIC dans des situations concrètes et les plus réalistes possible.
Fournir des rapports permettant une vérification complète par les autorités compétentes, de la résilience réelle du système financier européen.

***

La BSG réagit sur les TLPT

Cependant la Banking Stakeholder Group (BSG) a remonté à la Banque centrale Européenne (BCE), le 5 mai 2023, ses inquiétudes vis-à-vis du manque de clarté sur de nombreuses exigences de DORA, dont la gestion des TLPT [3] et a demandé à la BCE de se positionner avant le 17 janvier 2024.

***

Les Autorités Européenne de Surveillance (AES), se sont donc penchées sur les TLPT afin de proposer en novembre 2023 des normes techniques réglementaires (RTS – Regulatory Technical Standards) dédiées.

Ces RTS sont en phase de relecture par les différents acteurs du système financier, qui ont jusqu’au 4 mars 2024 pour remonter leurs remarques et leurs questions, ensuite les RTS entreront dans leur phase de mise à jour, validation et diffusion aux états membres et aux entités financières.

La proposition des AES concernant les normes techniques réglementaires des TLPT

Définir des RTS en relation avec TIBER-UE

L’article 26.11 de DORA impose aux AES d’élaborer des RTS conformes au carde établi par le Framework TIBER-EU.

***

TIBER-UE [4], petit rappel

TIBER-EU (Threat Intelligence-based Ethical Red Teaming) est un cadre européen pour les exercices de Red Team basés sur le renseignement sur les menaces.

Il fournit des orientations détaillées sur la manière dont les autorités, les entités et les fournisseurs de renseignements sur les menaces (Fournisseurs CTI) et de red team doivent collaborer pour tester et améliorer la cyber-résilience des entités en menant des cyberattaques contrôlées.

Les tests TIBER-UE imitent les tactiques, les techniques et les procédures d’attaquants réels, sur la base de renseignements personnalisés sur les menaces. Ils sont conçus sur mesure pour simuler une attaque contre les fonctions critiques d’une entité et ses systèmes sous-jacents, c’est-à-dire son personnel, ses processus et ses technologies.

Le résultat n’est pas une réussite ou un échec, mais le test est destiné à révéler les forces et les faiblesses de l’entité testée, ce qui lui permet d’atteindre un niveau plus élevé de cybermaturité.

Des retours des 5 derniers années d’application de TIBER-EU, la durée d’engagement d’un test TIBER est de 6 à 9 mois et se déroule ainsi :

Phase de préparation – 12 semaines en moyenne
Phase de Threath Intelligence – 4 à 6 semaines
Phase de Red Team – 12 semaines en moyenne
Phase de Clôture – 6 semaines

***

Cependant les exigences de DORA sur les TLPT ne sont pas entièrement couverts par le Framework TIBER-EU, d’où la nécessité d’avoir des RTS dédiées définies par les AES.

Aujourd’hui les différences principales entre les exigences DORA et le Framework TIBER-EU, que les RTS visent à couvrir sont :

La mise en place par chaque état membre d’ « une autorité publique unique au sein du secteur financier chargée des questions liées aux tests de pénétration fondés sur la menace dans le secteur financier au niveau national » (article 26.9), nommé Autorité TLPT dans les RTS afin de simplifier la lecture.
- Les RTS définissent tout de même une TLPT Cyber Team (TCT) construite sur l’idéologie de le TIBER Cyber Team, qui sera positionnée au sein de l’Autorité TLPT, afin de rester au plus proche de l’organisation de TIBER-EU.
L’utilisation de testeurs internes (équipe Red Team interne).
L’obligation d’une Purple Team en place (Red Team interne + Blue Team), qui n’était que fortement suggérée au niveau de TIBER-EU.

De plus là où le cadre TIBER-EU était un référentiel de bonnes pratiques et basé sur le volontariat, DORA et les RTS des AES sont un cadre règlementaire pour le secteur financier.

***

Et la France dans tout cela – TIBER-FR

La Banque de France et l’ACPR ont pris les devants avec la proposition de la création de TIBER-FR en 2022, déclinaison nationale de TIBER-EU comprenant les spécificités nationales françaises et l’arrivée de DORA.

TIBER-FR rentre dans sa phase de tests pilotes en 2024.

Les entreprises françaises non concernée par les TLPT de DORA, pourront ainsi, sur la base du volontariat mettre en place des exercices TIBER-FR.

***

Les entités financières concernées par les TLPT selon les AES

Dans leur RTS, les AES exigent, sous le contrôle des Autorités TLPT, que les entités financières ci-dessus soient soumises aux TLPT (Article 2.1 des RTS) :

TLPT qui est concerné ?

***

Les Autorités TLPT pourront agrandir la liste

Comme notifié dans l’article 2.3 des RTS, les autorités TLPT pourront ajouter des entités financières concernées par les TLPT, en prenant en compte de nombreux critères clés dont par exemple : la taille de l’entité, les interconnexions avec d’autres entités financières, la criticité ou l’importance des services de l’entité pour le système financier, etc.

En France la Banque de France et l’ACPR participe à la rédaction des RTS, et avec le déploiement de TIBER-FR au niveau du territoire français, elles auront donc le rôle d’autorité TLPT dans le cadre de DORA.

Elles pourront ainsi définir donc la liste des entreprises françaises du secteur financier concernées.

***

Les parties prenantes d’un TLPT

TLPT Cyber Team (TCT), appartenant à l’autorité TLPT, elle englobe le personnel en charge de traiter toutes les questions opérationnelles liées aux TLPT.
- La TCT nommera un test manager qui supervisera le TLPT, et en charge de vérifier que les RTS sont bien appliquées.
Control Team, appartenant à l’entité financière, gère les TLPT depuis la sélection des fournisseurs externes jusqu’à l’évaluation des risques, en passant par la gestion opérationnelle des activités de test au jour le jour, la gestion des risques, etc.
- Le Responsable de l’équipe doit disposer du mandat nécessaire au sein de l’entité financière pour guider tous les aspects du test, sans en compromettre la confidentialité imposée.
Blue Team, composée des employés qui défendent l’entité financière contre une cybermenace simulée ou réelle sans savoir qu’ils sont testés
Testeurs, vont déployer les scenarii d’attaques pour simuler les cybermenaces envisagées pendant le TLPT.
- Le concept de « testeurs » de DORA est plus large que celui des Red Teams du cadre TIBER-UE, car DORA autorise le recours à une composition de testeurs internes et externes.
Prestataires de TI, ils imitent l’activité de collecte d’informations d’un attaquant en utilisant plusieurs sources fiables.
TLPT Risk Management, est la notion originale des AES dans ces RTS. Prenant en compte les risques importants qu’un TLPT impose sur une entité financière, bien qu’elle soit « Cyber-Mature » et que la responsabilité de la conduite du test et de la gestion des risques qui en découlent incombe entièrement à l’entité financière qui effectue le TLPT, cette dernière doit évaluer le risque lié à la réalisation du TLPT avant son commencement et continuer à surveiller ce risque en mettant à jour son évaluation si nécessaire.

Le déroulé d’un TLPT

Comme expliqué tout au long de cet article, le déroulé d’un TLTP selon DORA est proche de celui défini par TIBER-EU et en France par TIBER-FR.

Déroulé d’un TLPT

Cependant, selon DORA et les RTS, il est central que l’Autorité TLPT soit au cœur du processus de validation du TLPT, et ce, dans chaque phase, via des documents ou des actions clés, afin de garantir la conformité des tests réalisés.

La confirmation des RTS sur le second trimestre de 2024 posera le périmètre d’activité de l’Autorité TLPT sur chaque phase d’un TLPT.

Les TLPT Groupés

Les RTS et DORA offrent la possibilité de réaliser des tests groupés et donc de réaliser un TLPT sur le périmètre de plusieurs Entités Financières, mutualisation des sources de TI et des testeurs externes.

Pour plus de détails : JC 2023 72 – CP on draft RTS on TLPT.docx (europa.eu)

Se préparer aux TLPT

L’organisation, le contrôle et le suivi des TLPT vont devenir un chantier cyber majeur et donc engager des dépenses importantes en plus de la responsabilité des directions des entités financières concernées.

Il est donc important que les programmes de tests de résilience permettent aux Responsables de la Sécurité du Système d’Information (RSSI) et aux Directions d’avoir la confiance nécessaire dans les mesures de sécurité en place avant l’arrivée d’un TLPT.

Ces tests de résiliences devront intégrer au plus tôt :

Une Purple Team dédiée interne (les Testeurs selon DORA) contrôlant périodiquement la surface d’attaque de l’entité financière, proche des exigences définies par TIBER-EU / FR.
Des prestataires de TI et de Red Team pour alimenter les travaux de la Purple Team.
Des montées en maturité sur le sujet, des différents acteurs internes de sécurité pour les entités financières, plus particulièrement la White Team (la Control Team attendue par DORA).
Une analyse de risques dédiée à la réalisation d’un TLPT.
Une amélioration continue de la campagne de test de résilience centralisant, entre autres :
- Un grand nombre de profils différents d’experts en sécurité.
- Une variété des tactiques et techniques de test (bug bounty, test de pénétration, exercices de Crise Cyber, etc.).
Une mise en place de veilles règlementaires afin de suivre :
- Les avancés des travaux des AES, des échanges de la BSG et de la BCE.
- La nomination des autorités TLPT et des TCT nationaux et européens.

***

Date clé : le 4 mars 2024

Les travaux sont toujours en cours par les AES et les entités financières pour cadrer ces TLPT, et les discussions étaient ouvertes jusqu’au 4 mars.
Même si les grandes lignes des RTS sont déjà bien définies, des détails seront apportés sur l’organisation des TLPT, le rôle des TCT, du TLPT Risk Management et des entités concernées par les TLPT.
Maintenant le secteur financier est dans l’attente de la publication des RTS dans leur version 1.0.

***

Bien choisir ses prestataires de TI et de Red Team

En novembre 2023, la banque de France et l’ACPR a émis des exigences relatives aux prestataires de TI et de Red Team en accord avec les attentes règlementaires de DORA.

Exigences Relatives au prestataire de TI

Au niveau du prestataire/entreprise :

Au moins 3 références portant sur des tests de Red teaming guidés par la menace.
Disposer des assurances nécessaires en vue de couvrir les activités qui n’ont pas été convenues dans le contrat de prestation et/ou qui découlent d’une faute, d’une négligence, etc.

Au niveau du Responsable de l’équipe de TI :

Au moins 5 ans d’expérience en renseignement sur les menaces, dont 3 ans dans le secteur financier.
Au moins 3 références dans la fourniture de renseignements sur les menaces en vue d’activités de Red teaming.
La vérification des antécédents est effectuée par le fournisseur de TI (au minimum). Des vérifications renforcées peuvent être faites à la demande de la TCT-FR.
Idéalement, disposer de certifications reconnues en matière de renseignements sur les menaces.

Le reste de l’équipe de TI :

Au moins 2 ans d’expérience en renseignement sur les menaces.
Equipe pluridisciplinaire avec un large éventail de compétences (OSINT, HUMINT, géopolitique etc).
Vérification des antécédents est effectuée par le fournisseur de TI (au minimum). Des vérifications renforcées peuvent être faites à la demande de la TCT-FR.
Idéalement, disposer de certifications reconnues en matière de renseignements sur les menaces.
Idéalement, avoir de l’expérience dans la fourniture de renseignements sur les menaces en vue des activités de Red teaming.

Exigences relatives au prestataire de Red Team

Au niveau du prestataire/entreprise :

Au moins 5 références portant sur des tests de Red teaming guidés par la menace.
Disposer des assurance(s) nécessaire(s) en vue de couvrir les activités qui n’ont pas été convenues dans le contrat de prestation et/ou qui découlent d’une faute, d’une négligence, etc.

Au niveau du Responsable de l’équipe de RT :

Au moins 5 ans d’expérience en Red teaming, dont 3 ans dans le secteur financier.
Au moins 3 références de Red teaming.
Vérification des antécédents est effectuée par le fournisseur de RT (au minimum). Des vérifications renforcées peuvent être faites à la demande de la TCT-FR.
Doit disposer de certifications reconnues.

Le reste de l’équipe de RT :

Au moins 2 ans d’expérience en Red teaming.
Equipe pluridisciplinaire avec un large éventail de compétences (métier finance, intrusion physique, ingénierie sociale, analyse de vulnérabilités etc).
Vérification des antécédents est effectuée par le fournisseur de TI (au minimum). Des vérifications renforcées peuvent être faites à la demande de la TCT-FR.
Disposer de certifications reconnues (non éliminatoire).

[1] the Digital Operational Resilience Act

[2] Là où NIS 2 couvre un plus grand périmètre de secteurs, DORA constitue la « Lex Specialis » pour le secteur financier.

[3] BSG own initiative paper on DORA

[4] TIBER-EU FRAMEWORK – How to implement the European framework for Threat Intelligence-based Ethical Red Teaming

Cookie	Durée	Description
AWSALBCORS	7 days	This cookie is used for load balancing services provded by Amazon inorder to optimize the user experience. Amazon has updated the ALB and CLB so that customers can continue to use the CORS request with stickness.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Durée	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Durée	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
CONSENT	13 months	This cookie generated by GDPR Cookie Consent plugin is used to receive the user's consent or not in the use of cookies. It does not collect any personal data.
incap_ses_7227_1885766		No description
visid_incap_1885766	1 year	No description

Blog

Akerva

Faites l’expérience de la sécurité active & réactive

DORA : Les TLPT

Un bref rappel de l’organisation de DORA

Qu’est-ce qu’un TLPT ?

La proposition des AES concernant les normes techniques réglementaires des TLPT

Définir des RTS en relation avec TIBER-UE

Les entités financières concernées par les TLPT selon les AES

Les parties prenantes d’un TLPT

Le déroulé d’un TLPT

Les TLPT Groupés

Se préparer aux TLPT

Bien choisir ses prestataires de TI et de Red Team

Exigences Relatives au prestataire de TI

Exigences relatives au prestataire de Red Team

Actualités & blog

[ PRESSE ] Akerva et Akkanto lancent une offre inédite de formation en gestion de crise cybersécurité

Quand « hacker va » au SSTIC, le cru 2024

L’arrivée de DORA, les conséquences pour le monde bancaire et TIBER-EU

Cyber-rating ou l’Art d’évaluer le risque numérique, un enjeu crucial pour les organisations

DORA : Les TLPT

DORA – Organiser son programme de tests de résilience opérationnelle numérique

RDV au Forum InCyber 2024, les 26, 27 et 28 mars à Lille

Faut-il payer les rançons en cas de cyberattaque ?

Les Assisses de la Cybersécurité – Récap’ table ronde Red Team

[ PRESSE ] : Akerva dans Global Security Mag

Blog

Akerva

Faites l’expérience de la sécurité active & réactive

DORA : Les TLPT

Un bref rappel de l’organisation de DORA

Qu’est-ce qu’un TLPT ?

La proposition des AES concernant les normes techniques réglementaires des TLPT

Définir des RTS en relation avec TIBER-UE

Les entités financières concernées par les TLPT selon les AES

Les parties prenantes d’un TLPT

Le déroulé d’un TLPT

Les TLPT Groupés

Se préparer aux TLPT

Bien choisir ses prestataires de TI et de Red Team

Exigences Relatives au prestataire de TI

Exigences relatives au prestataire de Red Team

Actualités & blog

[ PRESSE ] Akerva et Akkanto lancent une offre inédite de formation en gestion de crise cybersécurité

Quand « hacker va » au SSTIC, le cru 2024

L’arrivée de DORA, les conséquences pour le monde bancaire et TIBER-EU

Cyber-rating ou l’Art d’évaluer le risque numérique, un enjeu crucial pour les organisations

DORA : Les TLPT

DORA – Organiser son programme de tests de résilience opérationnelle numérique

RDV au Forum InCyber 2024, les 26, 27 et 28 mars à Lille

Faut-il payer les rançons en cas de cyberattaque ?

Les Assisses de la Cybersécurité – Récap’ table ronde Red Team

[ PRESSE ] : Akerva dans Global Security Mag

RESTEZ INFORMÉ DES ACTUALITÉS AKERVA