Le milieu bancaire est une cible de choix pour les pirates informatiques. Effectivement, quoi de mieux que d’arriver à accéder au saint graal, le datacenter de la salle des marchés ou encore les serveurs effectuant les ordres de virement.
Même si la cybersécurité a énormément évolué ces vingt dernières années, il manquait encore aux entreprises bancaires européennes un cadre commun permettant de simuler des attaques organisées et de juger du niveau de sécurité de ces sociétés.
On distingue couramment plusieurs niveaux d’attaquants :
Les attaques d’un réseau bancaire sont plus souvent l’œuvre de groupes de professionnels organisés, étatique ou non. C’est pourquoi la Banque Centrale Européenne a publié le cadre TIBER-EU (« Threat Intelligence-Based Ethical Red Teaming for the European Union ») en 2018 afin de proposer une méthodologie commune à toutes les organisations bancaires pour éprouver leur résilience face à ces attaques, via la tenue d’engagements Red Team basés sur la menace qui pèse sur leurs structures.
La réalisation de ce type d’audits (appelés TLPT, Thread Lead Penetration Testing) va devenir obligatoire pour beaucoup d’acteurs du domaine financier dès 2025 avec l’application du règlement DORA. Il est à noter que cette obligation ne concerne pas seulement les entreprises bancaires mais aussi leurs prestataires principaux.
Cette obligation prouve que l’Europe prend en compte les méthodes des attaquants qui ciblent presque systématiquement les maillons les plus faible d’une chaîne. Effectivement, les attaques sur un prestataire (supply chain attack) pour accéder à ses clients sont monnaie courante de nos jours (cf. l’attaque SolarWind).
Un engagement Red Team, c’est la mise en place d’un audit avec deux équipes, l’une attaquant (l’équipe rouge) et l’autre défendant (l’équipe bleue). L’objectif des attaquants est d’atteindre différents « flags » (objectifs de compromission) sans être détectés, alors que l’objectif de la Blue Team (qui n’est pas au courant qu’un engagement se déroule) est de détecter et répondre aux attaques comme elle le ferait en temps normal.
A ce mode opératoire maintenant connu de la plupart des structures sensibles, le cadre TIBER vient rajouter des étapes préalables, en intégrant le renseignement sur la menace cyber (CTI : Cyber Threat Intelligence) en amont de la tenue des opérations offensives. Cela permet de focaliser l’exercice sur les menaces les plus pertinentes et de rendre les audits plus efficaces.
Le cadre décrit une méthodologie détaillée de la manière dont doit se dérouler un engagement avec différentes étapes telles que :
Le lancement du Red Team comprenant les tests à réaliser par l’équipe rouge et les tentatives de détection par l’équipe bleu. Les différentes étapes de ce Red Team sont :
Le changement principal de ce nouveau type de Red Team va être de pouvoir tester les capacités de détection des entités bancaires à des simulations d’attaques reprenant les TTPs d’acteurs malveillants.
Effectivement, un SOC (plateforme de supervision et d’administration de la sécurité permettant des interventions à distance) est généralement dépendant des capteurs et des indicateurs que ces derniers lui remontent afin de détecter une attaque. Le fait que les attaquants utilisent une méthodologie et des outils précis correspondant à un groupe défini permet de connaître le niveau de détection possible de ce genre d’attaque.
La mise en place d’une règlementation comme DORA, aussi contraignante que cela soit pour les acteurs devant la respecter, est en général preuve de maturité du milieu. Le fait de rendre ces engagements obligatoires va permettre aux DSI de ces groupes bancaires de débloquer les budgets nécessaires à de tels engagements tout en leur permettant de s’assurer du niveau de sécurité de leurs prestataires, eux aussi contraints à ces exercices.
De plus, le cadre légal et les documents décrivant les grandes étapes d’un engagement permettront aux sociétés proposant du Red Team de montrer que l’organisation d’une telle mission prend du temps et implique des ressources de recherche et développement ainsi qu’une forte expertise.
Pour finir, le bénéfice pour les grands groupes bancaires sera très concret. La mise en place de ce genre d’audit permet en général de prendre conscience des chemins d’attaques peu conventionnels, faisant pourtant porter un risque élevé à l’entreprise, avec la démonstration qu’ils sont réellement exploitables.
Cette nouvelle exigence va autant profiter aux établissements bancaires qu’à leurs prestataires. Elle implique certes de nouveaux coûts, mais pouvant partiellement être intégrés dans les budgets déjà existants. Le nombre d’entreprises faisant appel à des audits TIBER va augmenter considérablement, surtout si ces dernières possèdent déjà une bonne culture sécurité sans pour autant avoir déjà réalisé d’engagement Red Team ou de bilans CTI avant cela. Le retour sur investissement attendu est donc très favorable.
Tom Khefif, Pentester chez Akerva