ISGroup Conseil en Cybersécurité

Test de pénétration DORA obligatoire pour les entités financières

L’entrée en vigueur du Digital Operational Resilience Act (DORA) a transformé les tests de sécurité, passant d’une bonne pratique recommandée à une obligation réglementaire stricte pour le secteur financier. Bien qu’une partie du débat se soit concentrée sur les tests avancés de type Red Teaming, la conformité exige avant tout un programme solide de tests d’intrusion (penetration tests) DORA dans le cadre des vérifications ordinaires prévues par l’Article 25.

Test d’intrusion ordinaire vs TLPT

DORA établit une distinction claire entre les tests de sécurité conventionnels et les tests avancés.

  • Pentest ordinaire (Art. 25) : Il se concentre sur l’évaluation détaillée des vulnérabilités techniques et de configuration, en analysant souvent des systèmes ou des environnements isolés. Ces tests font partie du programme général de tests que les entités financières doivent mener régulièrement.
  • TLPT (Threat-Led Penetration Testing – Art. 26) : Il s’agit d’un test avancé guidé par l’intelligence (Red Teaming) qui simule des scénarios d’attaque réels contre l’ensemble de l’entité, impliquant les personnes, les processus et les technologies. Le TLPT doit être exécuté obligatoirement sur des systèmes de production réels et opérationnels.

Cas d’utilisation du test d’intrusion dans DORA

  • Valider les contrôles de sécurité après des changements significatifs apportés à l’infrastructure.
  • Identifier les faiblesses avant la mise en production de nouveaux systèmes ou progiciels.
  • Satisfaire aux exigences de tests annuels pour les entités financières non soumises au TLPT, tout en garantissant la résilience des systèmes TIC.

Périmètre correct : Internet-facing, interne, cloud, applications, IAM

Le périmètre d’un test d’intrusion DORA doit être basé sur le risque et inclure :

  • Systèmes exposés (Internet-facing) : Pour prévenir les intrusions externes.
  • Applications et logiciels : En testant à la fois le code source et les interfaces utilisateur.
  • Cloud et infrastructures tierces : Car le périmètre DORA inclut explicitement les services TIC fournis par des tiers.
  • Gestion des accès (IAM) : En vérifiant la robustesse des politiques d’authentification et les risques d’escalade de privilèges.

Preuves et remédiation

Il ne suffit pas d’exécuter le test ; DORA exige un processus documentaire rigoureux. Après l’activité de test, l’entité doit produire un rapport incluant :

  • Une description des lacunes (shortcomings) identifiées.
  • Une analyse des causes profondes (root cause analysis) des attaques réussies.
  • Un plan de remédiation (remediation plan) indiquant comment les vulnérabilités seront résolues, en assignant des priorités et des délais précis.
  • La preuve des retests pour confirmer l’efficacité des actions correctives.

Quand est-il pertinent de faire appel à des testeurs externes ?

DORA autorise l’utilisation de ressources internes (sous des conditions strictes d’indépendance et de compétence), mais l’utilisation de testeurs externes est recommandée et parfois obligatoire. Les testeurs externes garantissent :

  • Une indépendance totale et l’absence de conflits d’intérêts.
  • Des compétences spécialisées et des certifications reconnues par le marché.
  • La conformité pour les entités systémiques : les institutions de crédit significatives sont obligées d’utiliser des testeurs externes pour les tests avancés et doivent, dans tous les cas, alterner entre testeurs internes et externes tous les trois tests.

Erreurs typiques dans les pentests “purement conformité”

  • Tester uniquement dans des environnements de staging : pour les TLPT, DORA impose des tests sur des systèmes “live”, car les environnements de test ne répliquent pas fidèlement les risques opérationnels.
  • Exclure les tiers : les contrats avec les fournisseurs TIC doivent prévoir l’obligation de coopérer aux tests de sécurité de l’entité financière.
  • Considérer le test comme un “pass/fail” : le but ultime doit être l’augmentation de la maturité cyber, et non simplement l’obtention d’un “label”.

FAQ

  • Le pentest et le TLPT sont-ils équivalents ?
  • Non. Le pentest est une vérification technique des vulnérabilités, tandis que le TLPT est une simulation d’attaque avancée et complète basée sur la threat intelligence.
  • Le pentest est-il toujours obligatoire ?
  • Oui, pour toutes les entités relevant du champ d’application de DORA, un programme de tests périodiques incluant des tests d’intrusion est obligatoire.
  • Peut-on le réaliser en interne ?
  • Oui, mais avec de fortes limitations. L’approbation de l’autorité est nécessaire, ainsi que l’utilisation de threat intelligence externe et, pour les banques significatives, le recours obligatoire à des testeurs externes.

Ne soyez pas pris au dépourvu : développez dès aujourd’hui votre plan annuel de tests d’intrusion basé sur le risque pour aligner vos systèmes critiques sur les exigences techniques de DORA.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *