L’arrivée de DORA, les conséquences pour le monde bancaire et TIBER-EU
juillet 2024 par Tom Khefif, Pentester chez Akerva
Le milieu bancaire est une cible de choix pour les pirates informatiques. Effectivement, quoi de mieux que d’arriver à accéder au saint graal, le datacenter de la salle des marchés, ou encore les serveurs effectuant les ordres de virement.
Même si la cybersécurité a énormément évolué ces vingt dernières années, il manquait encore aux entreprises bancaires européennes un cadre commun permettant de simuler des attaques organisées et de juger du niveau de sécurité de ces sociétés.
On distingue couramment plusieurs niveaux d’attaquants :
• Débutant
• Confirmé
• Professionnel
• Groupe d’attaquants professionnels organisés indépendant
• Groupe d’attaquants professionnels organisés étatique ou semi-étatique
Les attaques d’un réseau bancaire sont plus souvent l’œuvre de groupes de professionnels organisés, étatique ou non. C’est pourquoi la Banque Centrale Européenne a publié le cadre TIBER-EU (« Threat Intelligence-Based Ethical Red Teaming for the European Union ») en 2018 afin de proposer une méthodologie commune à toutes les organisations bancaires pour éprouver leur résilience face à ces attaques, via la tenue d’engagements Red Team basés sur la menace qui pèse sur leurs structures.
La réalisation de ce type d’audits (appelés TLPT, Thread Lead Penetration Testing) va devenir obligatoire pour beaucoup d’acteurs du domaine financier dès 2025 avec l’application du règlement DORA. Il est à noter que cette obligation ne concerne pas seulement les entreprises bancaires mais aussi leurs prestaires principaux.
Cette obligation prouve que l’Europe prend en compte les méthodes des attaquants qui ciblent presque systématiquement les maillons les plus faible d’une chaîne. Effectivement, les attaques sur un prestataire (supply chain attack) pour accéder à ses clients sont monnaie courante de nos jours (cf. l’attaque SolarWind : https://www.lemagit.fr/definition/Le-hack-de-SolarWinds-explique-Tout-ce-quil-faut-savoir).
Avant de décrire le cadre TIBER, qu’est-ce qu’un engagement Red Team ?
Un engagement Red Team, c’est la mise en place d’un audit avec deux équipes, l’une attaquant (l’équipe rouge) et l’autre défendant (l’équipe bleue). L’objectif des attaquants est d’atteindre différents « flags » (objectifs de compromission) sans être détectés, alors que l’objectif de la Blue Team (qui n’est pas au courant qu’un engagement se déroule) est de détecter et répondre aux attaques comme elle le ferait en temps normal.
A ce mode opératoire maintenant connu de la plupart des structures sensibles, le cadre TIBER vient rajouter des étapes préalables, en intégrant le renseignement sur la menace cyber (CTI : Cyber Threat Intelligence) en amont de la tenue des opérations offensives. Cela permet de focaliser l’exercice sur les menaces les plus pertinentes et de rendre les audits plus efficaces.
Le cadre décrit une méthodologie détaillée de la manière dont doit se dérouler un engagement avec différentes étapes telles que :
• La préparation incluant la définition des différentes équipes, du périmètre, des flags à récupérer, les limitations et les risques associés aux tests.
• La sélection du prestataire pour la Threat Intelligence et le Red Team.
• La mise en place de la prestation de Threat Intelligence permettant de définir le ou les scénarios qui vont être déroulés par l’équipe Red Team afin de correspondre à des groupes d’attaquants réels et connus. Le rapport réalisé est appelé le TTIR (Targeted Threat Intelligence Report).
o Il est à noter que la mise en place de ces scénarios n’a pas vocation à empêcher l’équipe d’auditeurs réalisant l’engagement d’utiliser sa créativité et son adaptabilité, et ce, pour rester proche de la réalité des attaquants, qui eux n’appliquent pas forcément un scénario figé dans le cas d’obstacle.
• Le lancement du Red Team comprenant les tests à réaliser par l’équipe rouge et les tentatives de détection par l’équipe bleu. Les différentes étapes de ce Red Team sont :
o Construction du plan d’audit à partir du TTIR incluant :
– La Timeline détaillée pour chaque scénario et chaque flag.
– TTPs utilisées intégrées à la matrice MITRE ATT&CK.
– Les possibles Jokers activables par l’équipe blanche (la seule chez le client à connaître l’existence de l’engagement Red Team) :
• Une opération est réalisable mais prendrait trop de temps à la Red Team.
• Une information manque à la Red Team pour avancer sur le scénario.
• Un accès aurait pu être obtenu (phishing…) pour avancer sur le scénario.
o Phase de reconnaissance :
– OSINT grâce à des moteurs de recherche ou des sites web spécifiques.
– Techniques par des scans de serveur ou des outils d’énumération…
o Tentative d’accès initial :
– Physique.
– Hameçonnage.
– Attaque des serveurs web frontaux.…
o Attaque et post exploitation.
o Rédaction du rapport.
• La clôture incluant :
o La restitution des résultats au client.
o La possibilité pour l’équipe de défense de demander aux attaquants de rejouer certaines attaques afin de comprendre pourquoi elles n’ont pas ou peu été détectées (approche Purple Team).
Le changement principal de ce nouveau type de Red Team va être de pouvoir tester les capacités de détection des entités bancaires à des simulations d’attaques reprenant les TTPs d’acteurs malveillants.
Effectivement, un SOC (plateforme de supervision et d’administration de la sécurité permettant des interventions à distance) est généralement dépendant des capteurs et des indicateurs que ces derniers lui remontent afin de détecter une attaque. Le fait que les attaquants utilisent une méthodologie et des outils précis correspondant à un groupe défini permet de connaître le niveau de détection possible de ce genre d’attaque.
Utilité :
La mise en place d’une règlementation comme DORA, aussi contraignante que cela soit pour les acteurs devant la respecter, est en général preuve de maturité du milieu. Le fait de rendre ces engagements obligatoires va permettre aux DSI de ces groupes bancaires de débloquer les budgets nécessaires à de tels engagements tout en leur permettant de s’assurer du niveau de sécurité de leurs prestataires, eux aussi contraints à ces exercices.
De plus, le cadre légal et les documents décrivant les grandes étapes d’un engagement permettront aux sociétés proposant du Red Team de montrer que l’organisation d’une telle mission prend du temps et implique des ressources de recherche et développement ainsi qu’une forte expertise.
Pour finir, le bénéfice pour les grands groupes bancaires sera très concret. La mise en place de ce genre d’audit permet en général de prendre conscience des chemins d’attaques peu conventionnels, faisant pourtant porter un risque élevé à l’entreprise, avec la démonstration qu’ils sont réellement exploitables.
Cette nouvelle exigence va autant profiter aux établissements bancaires qu’à leurs prestataires. Elle implique certes de nouveaux coûts, mais pouvant partiellement être intégrés dans les budgets déjà existants. Le nombre d’entreprises faisant appel à des audits TIBER va augmenter considérablement, surtout si ces dernières possèdent déjà une bonne culture sécurité sans pour autant avoir déjà réalisé d’engagement Red Team ou de bilans CTI avant cela. Le retour sur investissement attendu est donc très favorable.