Threat-Led Penetration Testing : Méthode et Cadre DORA-TIBER

Le Threat-Led Penetration Testing (TLPT) est une discipline émergente qui combine renseignement sur les menaces (threat intelligence) et tests de pénétration avancés (red teaming) pour simuler des attaques réalistes contre les entités financières. Le règlement DORA (EU) 2022/2554 en a fait une obligation réglementaire pour les entités d'importance significative, en s'appuyant sur le cadre méthodologique TIBER-EU de la BCE.

Phases du Threat-Led Penetration Testing

Un TLPT complet se déroule en quatre phases distinctes selon le cadre TIBER-EU.

Phase 1 : Préparation (2-3 mois)

La phase de préparation définit le périmètre du test, sélectionne les prestataires (threat intelligence provider et red team provider), informe le superviseur compétent, et constitue les équipes internes. Un accord de confidentialité strict est signé car seule une cellule restreinte de l'entité est au courant du test. Les équipes défensives (blue team) ne sont délibérément pas informées.

Phase 2 : Threat Intelligence (4-6 semaines)

Un prestataire spécialisé en threat intelligence analyse les menaces réelles pesant sur l'entité : groupes d'attaquants actifs ciblant le secteur financier, TTP récents observés, vulnérabilités spécifiques à l'environnement cible. Ce rapport de threat intelligence est remis au prestataire red team mais pas à l'entité testée, pour préserver le réalisme.

Phase 3 : Red Team Testing (6-12 semaines)

L'équipe red team conduit des attaques simulées sur le périmètre défini, en utilisant les TTP identifiés par le rapport de threat intelligence. Les techniques employées peuvent inclure le phishing ciblé, l'exploitation de vulnérabilités réseau, les attaques sur la supply chain, et des tentatives d'élévation de privilèges. Les attaques sont limitées par des règles d'engagement strictes pour éviter les dommages réels.

Phase 4 : Clôture et Purple Team (4-6 semaines)

Après le test, une session purple team réunit les équipes red et blue pour partager les résultats, analyser les failles exploitées et non détectées, et construire un plan de remédiation. Un rapport final détaillé est produit et transmis au superviseur. Les résultats TLPT peuvent être reconnus mutuellement entre superviseurs européens pour les groupes transfrontaliers.

Threat Intelligence : La Clé de Réussite

La qualité du threat intelligence est déterminante pour la valeur ajoutée d'un TLPT. Un bon rapport de threat intelligence identifie les groupes d'attaquants spécifiquement actifs contre l'entité ou des entités similaires, leurs outils et techniques préférentiels, les vecteurs d'attaque les plus probables, et les indicateurs de compromission récents. Cette personnalisation distingue fondamentalement le TLPT d'un test de pénétration générique.

Résultats Attendus d'un TLPT

Un TLPT bien conduit doit produire des résultats actionnables. Identification des lacunes de détection : quelles attaques ont réussi sans être détectées par les équipes blue team ? Identification des failles de réponse : une fois les alertes déclenchées, la réponse a-t-elle été efficace et dans les délais DORA ? Validation des contrôles : quels contrôles de sécurité ont fonctionné comme prévu ? Ces résultats alimentent directement le plan d'amélioration continue imposé par l'article 13 du règlement.

Conclusion

Le Threat-Led Penetration Testing est l'outil le plus puissant du dispositif de tests de résilience imposé par DORA. Sa valeur réside dans son réalisme : il teste non pas une hypothèse de sécurité mais la réalité de la posture défensive face à des attaquants qui utilisent les mêmes techniques que les groupes cybercriminels actifs. Pour les entités y étant soumises, c'est un investissement qui révèle invariablement des angles morts non identifiés par les audits conventionnels.