Cyberpiratage : le cadre « TIBER », l’apprentissage par l’épreuve

Le « Threat Intelligence-based Ethical Red Teaming » (TIBER), qui est un cadre européen de cyberpiratage contrôlé, vise à tester la résilience des entités critiques dans un contexte de risque systémique de l’écosystème financier. L’objectif de ces exercices grandeur nature de pénétration informatique ? Appuyer sur les points faibles de leurs mécanismes de défense pour mieux y remédier. Focus sur l’exemple luxembourgeois.

Au cours de l’année 2022, la CSSF (Commission de surveillance du secteur financier et régulatrice financière luxembourgeoise) et la Banque centrale luxembourgeoise (BCL) ont supervisé un premier exercice de cyberattaque contre une institution financière du pays. L’opération, qui se poursuivra en 2023, vise à éprouver la résilience de l’entité. Une quinzaine de banques et d’institutions du secteur jugées critiques seront soumises à ces exercices grandeur nature de pénétration dans leurs systèmes informatiques.

La démarche suit le cadre européen pour un cyber-piratage contrôlé nommé TIBER-EU, publié en mai 2018 par la Banque centrale européenne. Elle s’inspire d’initiatives similaires existantes en Angleterre (CBEST) et aux Pays-Bas (TIBER-NL). Le cadre TIBER a été conjointement adopté par la BCL et la CSSF au Luxembourg en novembre 2021 (TIBER-LU).

Cyber-vulnérabilités bancaires

Ce programme européen de test et de résilience contre les cyberpiratages sophistiqués s’inscrit dans un contexte de risque systémique de l’écosystème financier. Ce dernier connaît notamment une importante transformation numérique et fait face aussi à la généralisation du télétravail, qui exposent les banques à une vulnérabilité croissante.

Tous les prestataires de services jugés critiques pour le fonctionnement du secteur financier sont donc invités à s’inspirer de TIBER-EU pour tester leurs capacités de protection, de détection, de réaction et de lutte face aux cyber-attaques.« Ces entités critiques doivent en effet pouvoir résister de manière adéquate aux cyberattaques afin d’assurer leur propre résilience et contribuer ainsi également à celle du secteur financier dans son ensemble, » justifie Jean de Chillou (TIBER Test Manager, IT Inspector and Supervisor auprès de la CSSF).

Concrètement, TIBER-EU définit une approche européenne harmonisée pour la conduite de tests fondés sur les renseignements. Elle imite les tactiques, techniques et procédures des pirates informatiques, et qui simuleront une cyberattaque contre les fonctions critiques et les systèmes sous-jacents d’une entité.

« Chaque pays l’adopte sur une base volontaire, et l’applique d’une manière qui convienne à ses spécificités. Mais un des grands objectifs de TIBER est la reconnaissance mutuelle des tests effectués dans le cadre du programme entre les différents pays de l’UE », note Simon Riffault, TIBER Test Manager dans l’équipe Infrastructure and Oversight au sein de la BCL.

Cinq équipes, trois phases

Le cadre définit un processus obligatoire de test de bout en bout articulé autour de trois phases : préparation, mise en place du scénario et déroulement de l’attaque, débriefing et partage d’expériences. L’exercice mobilise cinq équipes : une équipe blanche composée des dirigeants et du top management de l’entité (ce sont les organisateurs des tests sur le terrain et leur rôle est de contrôler le périmètre, les risques et les escalades lors du test).

L’équipe Tiber Cyber Team (TCT) compte le régulateur ou la Banque centrale du pays. Au Luxembourg, la CSSF et la BCL forment conjointement la TCT. « Comme des juges-arbitres, nous encadrons ces tests, pour faire en sorte et vérifier qu’ils soient en ligne avec le cadre TIBER-LU/EU. À l’issue, nous délivrons une attestation à l’entité ayant effectué le test, prouvant que l’épreuve a été réalisée conformément au cadre, et dans le respect des exigences de confidentialité », explique Jean de Chillou.

L’équipe de renseignement sur la menace (Threat Intelligence, TI) regroupe des fournisseurs externes chargés d’identifier les menaces pesant sur l’entreprise. Elle définit les scénarios et la portée de l’attaque avec l’équipe blanche. « Elle recherchera sur Internet et sur le Darkweb les éventuels éléments qui ont fuité sur l’entité testée. Elle regardera aussi les domaines d’activité de l’entité, qui seront ou non plus attractifs pour certains pirates », détaille Simon Riffault.

L’équipe rouge, elle aussi externe à l’entité testée, mènera le cyberpiratage pendant environ 12 semaines. L’opération permettra d’évaluer les capacités de protection, de détection et d’intervention d’une entité face à l’attaque.

« Ces tests définis par TIBER-EU, utilisent les tactiques et procédures des cyber-pirates. Ils prennent en compte les renseignements sur les risques collectés par l’équipe TI, et perçus comme constituant une menace réelle. Ses techniques visent les fonctions critiques et les systèmes sous-jacents d’une entité (employés, processus et technologies) », poursuit Jean de Chillou.

L’équipe bleue comprend le reste de l’entité testée, qui, conformément aux exigences de confidentialité, ignore l’existence du piratage contrôlé et défendra l’attaque. La phase préparatoire dure plusieurs semaines : l’équipe blanche est désignée, les équipes TI et rouge sont recrutées. Le périmètre du test est déterminé et approuvé par la direction de l’entité.

La phase de scénarisation et de déroulement inclut toutes les équipes ayant connaissance du test). Elle identifie les services et systèmes critiques de l’entité. Le fournisseur TI prépare un rapport de renseignement ciblé sur les menaces visant l’établissement financier. Sur la base des scénarios d’attaque définis, l’équipe rouge prépare et exécute son plan de piratage, après validation par l’équipe blanche.

La phase de clôture établit un bilan de l’attaque : l’équipe rouge présente un rapport sur l’approche adoptée, les constatations et les observations tirées du test. Le cas échéant, le document comprendra des conseils et des mesures à adopter en matière de contrôles techniques, de procédures, d’éducation et de sensibilisation.

**« Maximiser l’apprentissage »**

À la suite des conclusions du test, l’entité définit ensuite un plan de mesures correctives, en consultation avec la CSSF et la BCL. « C’est une épreuve extrêmement importante pour l’établissement financier », résume Jean de Chillou. « Le processus vise ainsi à maximiser l’apprentissage, notamment en appuyant sur les points faibles qui permettront au top management de réaliser si les mécanismes de défense de l’entité sont en place et efficaces », poursuit Simon Riffault.

Le Luxembourg n’en est cependant qu’au démarrage du programme. Les Pays-Bas et les pays nordiques notamment l’ont précédé. Ils ont déjà testé plusieurs de leurs entités critiques. Dès 2025, l’exercice volontaire deviendra obligatoire pour certaines entités supervisées et sélectionnées par leur autorité compétente, dans le cadre de DORA (Digital Operational Resilience Act).

Toutes les entreprises concernées devront veiller à pouvoir résister à tous les genres de perturbations et menaces significatives liées aux TIC, à y répondre et à s’en remettre. Ces exigences sont homogènes dans toute l’UE.

La BCL et la CSSF pourront-elles cependant tester toutes les entités financières surveillées du pays ? « Impossible et ce n’est pas l’objectif. Elles seront sélectionnées selon leur taille et leur degré de criticité, conformément aux normes techniques de réglementation (RTS) qui sont en cours de définition », répond Simon Riffault.