ISGroup Conseil en Cybersécurité

Threat Led Penetration Testing (TLPT) : qu’est-ce que c’est et comment ça fonctionne

Le Threat-Led Penetration Testing (TLPT) émerge comme une méthodologie avancée de piratage éthique, axée sur la simulation d’attaques réalistes basées sur la cyber-menace (threat intelligence).

Cet article se propose d’explorer en détail le concept de TLPT, en analysant ses caractéristiques distinctives, les phases cruciales d’un exercice, les différences fondamentales par rapport au test d’intrusion (penetration testing) traditionnel et l’importance de faire appel à des prestataires spécialisés pour en maximiser l’efficacité.

Qu’est-ce que le Threat-Led Penetration Testing (TLPT) ?

Le Threat-Led Penetration Testing (TLPT) est un cadre avancé de piratage éthique qui se distingue par l’utilisation de la threat intelligence pour émuler les tactiques, techniques et procédures (TTP) d’acteurs malveillants réels, perçus comme capables de représenter une menace informatique authentique pour l’organisation. Contrairement aux tests d’intrusion traditionnels, qui suivent souvent des méthodologies standardisées et se concentrent sur des vulnérabilités techniques spécifiques, le TLPT adopte une approche guidée par l’intelligence, créant des scénarios d’attaque contrôlés, personnalisés et dirigés vers les systèmes de production critiques de l’entité concernée.

L’objectif principal du TLPT n’est pas simplement d’identifier une liste de vulnérabilités, mais plutôt d’évaluer l’efficacité globale des capacités de prévention, de détection, de réponse et de rétablissement d’une organisation face à des menaces informatiques avancées et persistantes (APT). Grâce à la simulation d’attaques réalistes, le TLPT offre des informations inestimables sur l’exploitabilité réelle des faiblesses potentielles et sur la capacité du personnel et des systèmes de sécurité à résister à une attaque ciblée.

Contexte réglementaire du Threat-Led Penetration Testing

Dans le contexte réglementaire, en particulier dans le secteur financier, le TLPT revêt une importance cruciale. Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier (DORA) prévoit que certaines entités financières identifiées mènent des tests avancés de résilience numérique via le TLPT au moins tous les trois ans. Cette exigence souligne la reconnaissance du TLPT comme un outil fondamental pour garantir la stabilité et l’intégrité du système financier face à des cybermenaces de plus en plus évoluées. Le cadre TIBER-EU est un exemple de cadre appliqué dans l’Union européenne, aligné sur les normes internationales (telles que les “Fundamental Elements for Threat-Led Penetration Testing” du G7) et conçu pour faciliter l’exécution de TLPT de manière cohérente et contrôlée dans le secteur financier.

Le TLPT représente une évolution significative dans le domaine du piratage éthique, déplaçant l’accent de la simple recherche de vulnérabilités vers une évaluation complète et réaliste de la capacité d’une organisation à se défendre contre des cyberattaques sophistiquées, guidée par une compréhension approfondie du paysage actuel des menaces.

Threat-Led Penetration Testing vs Penetration Testing

Le TLPT et le PT (Penetration Testing) sont tous deux fondamentaux pour les activités de piratage éthique, mais ils ne sont pas identiques. Le TLPT se positionne comme une forme avancée de piratage éthique qui intègre la méthodologie du test d’intrusion avec l’élément crucial de la threat intelligence. Voici les différences clés entre le TLPT et le test d’intrusion traditionnel :

  • Objectif : alors que le test d’intrusion vise principalement à identifier des vulnérabilités techniques et à évaluer la réponse des systèmes de sécurité à des attaques en temps réel, le TLPT se concentre sur la simulation de scénarios d’attaque réalistes basés sur des menaces concrètes, dans le but d’évaluer la résilience opérationnelle numérique globale de l’organisation, incluant les personnes, les processus et les technologies. Le TLPT propose également des suggestions pour renforcer la sécurité, mais avec une perspective plus large basée sur le contexte des menaces réelles.
  • Périmètre (Scope) : le test d’intrusion a souvent un périmètre limité à des systèmes ou applications spécifiques en raison de contraintes budgétaires et temporelles. Le TLPT, bien qu’il puisse se concentrer sur des fonctions critiques ou importantes, tend à avoir un périmètre plus large, visant à couvrir plusieurs fonctions essentielles d’une entité financière et les systèmes de production en direct qui les soutiennent. De plus, le TLPT peut inclure les fournisseurs de services TIC tiers qui soutiennent ces fonctions critiques.
  • Approche : le test d’intrusion suit une approche systématique, commençant par la reconnaissance et le scan, pour passer ensuite à l’exploitation. Le TLPT adopte une approche basée sur l’intelligence des menaces, utilisant des informations détaillées sur les acteurs malveillants, leurs motivations, intentions et TTP pour définir des scénarios d’attaque crédibles. Cette approche rend la simulation beaucoup plus réaliste et ciblée. Le TLPT peut être considéré comme un red teaming guidé par l’intelligence.
  • Profondeur de l’analyse : bien que le test d’intrusion puisse être complet, il pourrait ne pas toujours approfondir les techniques d’attaque avancées à moins que cela ne soit spécifiquement demandé. Le TLPT, étant focalisé sur des menaces avancées, implique souvent une analyse plus approfondie et l’exploration de vecteurs d’attaque potentiels, y compris des exploits “zero-day” et des techniques personnalisées, pour émuler des attaques réalistes.
  • Intelligence des menaces : l’élément distinctif crucial du TLPT est l’intégration de la threat intelligence à chaque étape du processus. La threat intelligence fournit le contexte pour définir des scénarios d’attaque plausibles, identifier les cibles et guider les actions de l’équipe de test (souvent appelée “Red Team”). Le test d’intrusion traditionnel peut ne pas faire un usage aussi étendu et ciblé de la threat intelligence.

Pour approfondir les différences entre les deux approches, il est utile de lire également l’analyse dédiée au piratage éthique et au test d’intrusion en comparaison. Alors que le test d’intrusion est un outil précieux pour identifier des vulnérabilités techniques spécifiques, le TLPT représente une approche plus sophistiquée et complète, axée sur la simulation d’attaques réelles basées sur la threat intelligence pour évaluer la résilience opérationnelle numérique d’une organisation dans son ensemble. C’est une évolution du piratage éthique qui va au-delà de la simple identification des faiblesses, fournissant une compréhension approfondie de la capacité d’une organisation à résister et à répondre à des cybermenaces ciblées et avancées.

Les phases d’un exercice de Threat-Led Penetration Testing

Bien que les détails spécifiques puissent varier selon le cadre utilisé (comme TIBER-EU ou CBEST) et les besoins de l’organisation, les phases générales d’un exercice TLPT incluent typiquement :

Portée et analyse

  • Définition du périmètre : phase initiale cruciale pour établir les objectifs du test, identifier les fonctions critiques ou importantes (CIF) qui seront au centre de l’exercice et définir les limites du test.

Le Scope Specification Document (SSD) dans le cadre TIBER-EU est un exemple de document qui résume les CIF d’une entité financière comme base pour un test TIBER. Dans cette phase, sont également définis les drapeaux (flags) ou les objectifs spécifiques que la Red Team tentera d’atteindre pendant le test. La planification inclut également la définition des règles d’engagement (rules of engagement) qui établissent les limites et les autorisations pour les activités de test.

  • Collecte et analyse de la Threat Intelligence : ici, un fournisseur de Threat Intelligence (TIP) collecte, analyse et diffuse des informations sur les acteurs malveillants pertinents et les scénarios d’attaque probables qui pourraient frapper l’organisation.

Cette threat intelligence inclut des détails sur les motivations des attaquants, leurs objectifs et leurs TTP. Le TIP produit un Targeted Threat Intelligence Report (TTIR) qui formule des scénarios de menace ciblés, basés sur l’analyse du paysage général des menaces et sur l’empreinte numérique et les circonstances spécifiques de l’entité. Le TTIR fournit à la Red Team la base pour concevoir et justifier son plan de test d’intrusion. La threat intelligence peut être collectée à partir de diverses sources, notamment l’OSINT (Open Source Intelligence) et l’HUMINT (Human Intelligence).

Ciblage et planification

  • Ciblage : certains cadres, comme CBEST, prévoient une phase de ciblage où la compréhension de la surface d’attaque de l’organisation est affinée et où les cibles initiales pour la Red Team sont identifiées. Un Targeting Report peut fournir des données précieuses pour les activités de ciblage plus approfondies et ciblées du prestataire de services de test d’intrusion (PTSP) ou de la Red Team ; c’est une phase optionnelle, mais recommandée.
  • Planification du test d’intrusion (Red Team Test Plan) : en se basant sur le TTIR et, le cas échéant, sur le Targeting Report, l’équipe de test d’intrusion (souvent appelée Red Team Testers – RTT) développe un Penetration Test Plan (PT Plan) ou Red Team Test Plan (RTTP) détaillé.

Ce plan décrit comment les scénarios d’attaque définis dans le TTIR seront mis en œuvre, quelles TTP seront utilisées (et lesquelles ne le seront pas), le calendrier du test, les canaux de communication et les procédures de gestion des risques. Le PT Plan doit explicitement montrer comment les étapes du test se rattachent aux scénarios du TTIR et aux systèmes qui soutiennent les CIF dans le périmètre.

Exécution et test

  • Exécution du test d’intrusion (Red Teaming) : dans cette phase, la Red Team exécute le plan d’attaque, simulant les actions des acteurs malveillants identifiés dans la phase de threat intelligence. L’objectif est de tenter de compromettre les systèmes dans le périmètre et d’atteindre les drapeaux définis, tout en évaluant l’efficacité des contrôles de sécurité de l’organisation et les capacités de détection et de réponse de l’équipe de défense (souvent appelée “Blue Team”). La Red Team doit adapter sa méthodologie d’attaque pour répliquer les scénarios de menace.
  • Gestion du test (Control Team) : pendant toute la durée du test, une Control Team (CT) supervise et gère l’exercice. La CT est responsable de garantir que le test reste dans le périmètre défini, que les risques sont gérés de manière adéquate et que l’impact sur les opérations commerciales est minimisé. La CT sert de point de contact entre la Red Team et l’organisation, gérant la communication et intervenant si nécessaire pour contrôler l’escalade des attaques.

Reporting et suivi

  • Analyse et reporting : à la fin de la phase d’exécution, la Red Team analyse les résultats du test, documentant les vulnérabilités exploitées, les chemins d’attaque suivis, le niveau d’accès obtenu et l’efficacité des mécanismes de défense. Plusieurs rapports sont produits, dont un rapport technique détaillé pour l’équipe de sécurité de l’organisation et un Test Summary Report (TSR) de haut niveau pour la haute direction et les autorités compétentes. Le TSR fournit un aperçu de l’ensemble du test, incluant les scénarios d’attaque, les résultats de haut niveau, les recommandations et le plan de remédiation.
  • Remédiation et suivi : en se basant sur les résultats du reporting, l’organisation développe et met en œuvre un plan de remédiation pour traiter les vulnérabilités identifiées et améliorer ses contrôles de sécurité. Il est fondamental d’établir un processus de suivi formel pour la vérification et la correction rapide des criticités rencontrées. L’efficacité du TLPT se mesure également à la capacité de l’organisation à traduire les résultats du test en améliorations concrètes de sa cybersécurité et de sa résilience opérationnelle.

Dans certaines circonstances, pendant la phase d’exécution ou la phase de clôture, le Purple Teaming (PT) peut être mis en œuvre, une collaboration entre la Red Team et la Blue Team pour partager des connaissances, des techniques et des perspectives, améliorant ainsi les capacités offensives et défensives de l’organisation. Le PT peut prendre différentes formes, de la discussion théorique à l’exécution pratique de scénarios d’attaque spécifiques sur des systèmes en direct ou de test.

Faire appel à des prestataires spécialisés pour maximiser l’efficacité du TLPT

L’exécution d’un Threat-Led Penetration Test (TLPT) efficace nécessite des compétences spécialisées et une compréhension profonde tant du paysage actuel des menaces que des techniques d’attaque avancées. Pour cette raison, il est fondamental que les organisations fassent appel à des prestataires de services spécialisés et qualifiés pour mener des exercices TLPT. Un point de départ concret est d’évaluer un service structuré de piratage éthique avec approche red team, qui intègre la threat intelligence et des simulations ciblées sur les fonctions critiques de l’organisation.

Considérations lors du choix d’un prestataire :

Lors de la sélection d’un prestataire pour un exercice TLPT, il est important de considérer plusieurs facteurs :

  • Réputation et expérience : son expérience dans la conduite de tests TLPT similaires et ses études de cas réussies.
  • Qualifications et certifications : telles que OSCP (Offensive Security Certified Professional) ou CEH (Certified Ethical Hacker). Cependant, il est important de ne pas se baser uniquement sur les certifications, mais d’évaluer activement les connaissances et l’expérience réelles du personnel.
  • Compétences en Threat Intelligence.
  • Capacités de la Red Team à simuler des attaques avancées et réalistes.
  • Processus de reporting et de remédiation : évaluer la clarté et la qualité du processus de reporting et le soutien fourni pour la remédiation.
  • Aspects contractuels et de confidentialité : définir clairement les aspects contractuels, y compris les accords de non-divulgation (NDA) et les protocoles pour la destruction des informations sensibles à la fin du test.

Faire appel à des prestataires spécialisés et qualifiés est un investissement crucial pour garantir qu’un exercice TLPT soit mené de manière efficace, fournissant des informations précieuses sur la posture de sécurité réelle de l’organisation et contribuant de manière significative au renforcement de sa résilience opérationnelle numérique face à des cybermenaces de plus en plus sophistiquées.

Avantages de faire appel à des prestataires spécialisés :

  • Les prestataires spécialisés en TLPT disposent d’équipes ayant des compétences et une expérience spécifiques dans la threat intelligence, le red teaming et la compréhension des méthodologies d’attaque utilisées par des acteurs malveillants réels. Ces professionnels sont constamment mis à jour sur les dernières tendances de la cybercriminalité, les nouvelles vulnérabilités et les TTP émergentes.
  • Un fournisseur de Threat Intelligence (TIP) compétent est capable de collecter et d’analyser une threat intelligence pertinente et de haute qualité à partir d’une variété de sources, y compris des flux d’intelligence propriétaires et open source.
  • La Red Team d’un prestataire spécialisé est capable de simuler des attaques complexes et sophistiquées qui répliquent fidèlement les actions d’acteurs malveillants réels. Cela inclut l’utilisation de techniques avancées telles que l’élévation de privilèges, la persistance et le déplacement latéral.
  • Faire appel à un prestataire externe garantit une approche objective et indépendante de l’évaluation de la sécurité de l’organisation, évitant les conflits d’intérêts potentiels qui pourraient survenir avec des équipes internes.
  • Dans le contexte réglementaire DORA, faire appel à des prestataires qualifiés peut aider les entités financières à remplir les exigences pour l’exécution de TLPT conformément aux normes et cadres applicables (comme TIBER-EU). Les prestataires spécialisés connaissent ces exigences et peuvent guider l’organisation tout au long du processus.

Les phases structurées d’un exercice TLPT, de la définition du périmètre à la remédiation, garantissent un processus méthodologique et complet. Cependant, l’efficacité d’un TLPT dépend en grande partie de la compétence et de l’expérience de l’équipe qui le conduit. Pour cette raison, faire appel à des prestataires spécialisés et qualifiés est d’une importance primordiale pour maximiser la valeur et les informations dérivées du test. Ces prestataires apportent des compétences spécifiques dans la threat intelligence, le red teaming et la compréhension du paysage des menaces, garantissant des simulations réalistes et des rapports détaillés et exploitables. Pour avoir une idée concrète de la manière dont se structure un projet de ce type dans la pratique, il est utile de lire le cas ISGroup de piratage éthique d’entreprise avec Acmebank.

Questions fréquentes sur le Threat-Led Penetration Testing

  • Le TLPT est-il obligatoire pour toutes les organisations ?
  • Non. Le règlement DORA prévoit l’obligation de TLPT uniquement pour certaines entités financières identifiées par les autorités compétentes, généralement celles ayant l’impact systémique le plus élevé. Pour les autres organisations, le TLPT reste un outil volontaire mais recommandé lorsque l’on souhaite évaluer la résilience opérationnelle de manière réaliste et approfondie.
  • Quelle est la différence pratique entre un engagement Red Team et un TLPT ?
  • Un engagement Red Team est une activité offensive simulée qui peut être menée avec différents degrés de structuration. Le TLPT est une forme spécifique et réglementée de red teaming où la threat intelligence guide obligatoirement la définition des scénarios, le périmètre inclut les systèmes de production en direct et l’ensemble du processus suit un cadre formel (comme TIBER-EU) avec la supervision d’une Control Team et la production de rapports standardisés pour les autorités.
  • Combien de temps dure typiquement un exercice TLPT ?
  • La durée varie en fonction de la complexité de l’organisation et du périmètre défini, mais un exercice TLPT complet nécessite généralement plusieurs mois : de la collecte de la threat intelligence et de la planification, à l’exécution du red teaming, jusqu’à la production des rapports et la phase de remédiation. C’est un processus structuré et non un test ponctuel.

[Callforaction-EH-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *