Article 11 Phase de test: test de l’équipe rouge

Conformément à la méthodologie du cadre TIBER-EU, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient disposer des compétences et des capacités nécessaires pour fournir des conseils et remettre en question les propositions des testeurs. L’expérience acquise avec le cadre TIBER-EU a démontré qu’il est utile qu’une équipe d’au moins deux gestionnaires soit affectée à chaque test. Afin de tenir compte du fait que le TIFM est utilisé pour encourager l’expérience d’apprentissage, en vue de préserver la confidentialité des tests, et à moins qu’elles n’aient des problèmes de ressources ou d’expertise, les autorités TIFM sont vivement encouragées à considérer que, pendant la durée d’un TIFM, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; ne doivent pas exercer d’activités de surveillance sur l’entité financière faisant l’objet de ce TIFM.

Il importe, dans un souci de cohérence avec le cadre TIBER-EU, que l’autorité TIFM suive de près le processus de test à chacun de ses stades. Compte tenu de la nature des tests et des risques qui y sont associés, il est fondamental que l’autorité TIFM intervienne à chaque phase spécifique des tests. L’autorité TIFM devrait ainsi être consultée et valider les évaluations ou décisions des entités financières susceptibles, d’une part, d’influer sur l’efficacité des tests et, d’autre part, d’avoir une incidence sur les risques associés à ceux-ci. Les étapes fondamentales pour lesquelles une intervention spécifique de l’autorité TIFM est nécessaire comprennent la validation de certains documents essentiels relatifs aux tests, et la sélection de fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; et de testeurs et de mesures de gestion des risques. L’intervention des autorités TIFM, en particulier pour les validations, ne devrait pas entraîner de charge excessive pour ces autorités et devrait donc se limiter aux documents et décisions qui ont une incidence directe sur la conduite des TIFM. Grâce à leur participation active à chaque phase des tests, les autorités TIFM peuvent effectivement évaluer le respect, par les entités financières, des exigences applicables, ce qui devrait permettre à ces autorités de délivrer des attestations conformément à l’article 26, paragraphe 7, du règlement (UE) 2022/2554.

La confidentialité du TIFM est de la plus haute importance pour garantir que les conditions du test soient réalistes. Pour cette raison, les tests devraient être effectués en secret, et des précautions devraient être prises pour en préserver la confidentialité, notamment grâce au choix de noms de code conçus pour empêcher l’identification des TIFM par des tiers. Si les membres du personnel chargés de la sécurité de l’équipe financière devaient apprendre qu’un TIFM est prévu ou en cours, il est probable qu’ils seraient plus attentifs et plus vigilants que dans des conditions de travail normales, ce qui altérerait les résultats des tests. Les membres du personnel de l’entité financière qui ne font pas partie de l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; ne devraient donc être informés qu’un TIFM est prévu ou en cours que s’il existe des raisons valables de le faire, et moyennant l’accord préalable des gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement;, notamment pour garantir la confidentialité du test dans l’hypothèse où un membre de l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM; l’aurait détecté.

Comme en témoigne l’expérience acquise dans la mise en œuvre du cadre TIBER-EU, la tenue de réunions en présentiel ou virtuelles avec toutes les parties prenantes concernées (entités financières, autorités, testeurs et fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes;) est le moyen le plus efficace de garantir la bonne conduite des tests. Des réunions en présentiel et des réunions virtuelles devraient donc avoir lieu à différentes étapes du processus, et notamment: pendant la phase de préparation lors du lancement du TIFM pour en finaliser le périmètre; pendant la phase de test pour finaliser le rapport du renseignement sur les menaces et le plan de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM); et pour les mises à jour hebdomadaires; ainsi que pendant la phase de clôture pour rejouer les actions des testeurs et de l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM;, la collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue; et l’échange de retours d’information sur le TIFM.

Afin de garantir la bonne exécution du test d’intrusion fondé sur la menace, l’autorité TIFM devrait présenter clairement à l’entité financière ses attentes en ce qui concerne le test. À cet égard, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient veiller à ce qu’un flux approprié d’informations soit établi avec l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; au sein de l’entité financière et avec les prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;.

Afin de permettre aux testeurs de réaliser un test réaliste et exhaustif, dans le cadre duquel toutes les phases d’attaque sont exécutées et tous les drapeaux: des objectifs clés dans les systèmes de TIC soutenant les fonctions critiques ou importantes d’une entité financière que les testeurs tentent d’atteindre dans le cadre du test; atteints, il convient d’allouer un temps suffisant à la phase active de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);. D’après l’expérience acquise avec le cadre TIBER-EU, le délai alloué devrait être d’au moins 12 semaines et devrait être fixé en tenant compte du nombre de parties concernées, du périmètre du TIFM, des ressources de la ou des entités financières impliquées, de toute exigence externe éventuelle et de la disponibilité d’informations complémentaires fournies par l’entité financière.

Au cours de la phase active de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);, les testeurs devraient déployer une série de tactiques, de techniques et de procédures pour tester de manière adéquate les systèmes en environnement de production de l’entité financière. Ces tactiques, techniques et procédures devraient inclure, le cas échéant, la reconnaissance (c’est-à-dire la collecte du plus grand nombre possible d’informations sur une cible), l’instrumentalisation (c’est-à-dire l’analyse des informations sur l’infrastructure, les installations et les employés et la préparation des opérations spécifiques à la cible), la réalisation (c’est-à-dire le lancement actif de l’opération complète sur la cible), l’exploitation (où l’objectif des testeurs est de compromettre les serveurs et les réseaux de l’entité financière et de se servir de son personnel au moyen de l’ingénierie sociale), le contrôle et le mouvement (c’est-à-dire les tentatives de passer des systèmes compromis à d’autres systèmes vulnérables ou de grande valeur) et des actions sur la cible (par exemple l’obtention d’un accès plus large aux systèmes compromis et l’obtention d’un accès à des informations et données cibles préalablement convenues, comme prévu dans le plan de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);).

Lors de la réalisation d’un TIFM, les testeurs devraient agir en tenant compte du temps et des ressources dont ils disposent pour mener l’attaque, ainsi que des limites éthiques et juridiques. Si les testeurs ne sont pas en mesure de passer à l’étape suivante de l’attaque, telle que programmée, une assistance occasionnelle devrait leur être fournie par l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test;, avec l’accord de l’autorité TIFM, sous la forme de «coups de pouce: l’assistance ou les informations fournies par l’équipe chargée du contrôle aux testeurs pour leur permettre de poursuivre l’exécution d’un chemin d’attaque lorsqu’ils ne sont pas en mesure de continuer seuls, notamment par manque de temps ou de ressources lors d’un test d’intrusion fondé sur la menace (TIFM) donné, et qu’il n’existe pas d’autre solution raisonnable;» (ou «leg-ups»). Ces coups de pouce: l’assistance ou les informations fournies par l’équipe chargée du contrôle aux testeurs pour leur permettre de poursuivre l’exécution d’un chemin d’attaque lorsqu’ils ne sont pas en mesure de continuer seuls, notamment par manque de temps ou de ressources lors d’un test d’intrusion fondé sur la menace (TIFM) donné, et qu’il n’existe pas d’autre solution raisonnable; peuvent être subdivisés grosso modo en deux catégories: «informations» et «accès». Ils peuvent ainsi consister en la fourniture d’un accès à des systèmes de TIC ou à des réseaux internes afin de permettre la poursuite du test et la préparation des étapes suivantes de l’attaque.

Durant la phase active de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);, si cela est nécessaire pour permettre la poursuite du TIFM, il y a lieu de recourir à une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM;. Cela ne doit toutefois se faire qu’en dernier recours, dans des circonstances exceptionnelles et une fois toutes les autres options épuisées. Dans le cadre d’un tel exercice restreint de collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue;, les méthodes suivantes peuvent être utilisées: le «catch-and-release» (attraper et relâcher), où les testeurs tentent de poursuivre les scénarios, se font détecter puis reprennent les tests, le «war gaming» (jeu de guerre), qui permet de mettre en œuvre des scénarios plus complexes pour tester la prise de décision stratégique, ou le «collaborative proof-of-concept» (la validation de concept collaborative), qui permet aux testeurs et aux membres de l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM; de valider conjointement des mesures, outils ou techniques de sécurité spécifiques dans un environnement contrôlé et coopératif.