Le référentiel TIBER-UE

Le référentiel TIBER-UE a été mis en place par la Banque Centrale Européenne. Son objectif est d’organiser des exercices de cybercrises au travers des scénarios de type Red Team ou TLPT (Threat-Led Penetration Testing). TIBER-UE s’adresse aux institutions financières. Le règlement européen DORA préconise la généralisation de ces exercices pour simuler des attaques ciblées et améliorer les mesures de prévention, de détection et de réaction. TIBER-UE prévoit 3 étapes : préparation, test et plan de remédiation. Le prestataire externe qui conduit les tests doit inclure des recherches approfondies sur la cible débouchant sur un rapport CTI. Chaque régulateur peut adopter son référentiel national, TIBER-EU étant le référentiel « chapeau ».

 

Processus de test

Le processus prévu par TIBER-UE comprend trois phases obligatoires et une phase facultative. Certaines phases se chevauchent.

  • L’évaluation de la menace. Cette phase optionnelle implique une évaluation des menaces du secteur financier national, en soulignant les rôles spécifiques des entités (banques d'investissement, banques commerciales, systèmes de paiement, bourses…). Elle doit être si possible revue et validée par une agence de renseignement nationale. Elle permettra de relier la menace aux techniques d’attaques du secteur.
  • La phase de préparation qui comprend l'engagement, le cadrage et la contractualisation avec le prestataire.
  • La phase de test qui comprend le renseignement sur les menaces et le Red Teaming. Au cours de cette phase, le fournisseur sélectionné prépare un rapport CTI et travaille en collaboration avec l’équipe de Red Team. Les phases de renseignement sur les menaces ciblées et de reconnaissance se chevauchent. Le rapport CTI est utilisé par l’équipe de Red Team pour développer les scénarios d'attaque ciblés.
  • La phase de clôture (qui comprend la planification de la remédiation et le partage des résultats). Au cours de cette phase, le prestataire Red Team rédige un rapport de test avec les constats et les recommandations. L'entité prendra en compte les résultats et finalisera un plan de remédiation en étroite collaboration avec le superviseur.

TIBER EU Process

Source - www.ecb.europa.eu - Banque Centrale Européenne - TIBER-EU Framework

Fonctions critiques

L'objectif principal du cadrage est que l'entité et les autorités s'accordent sur l'étendue du test de l’équipe Red Team. Le périmètre doit inclure les Fonctions Critiques (CF – Critical Functions) de l'entité. Dans le cadre de TIBER-UE, les Fonctions Critiques sont définies comme les personnes, les processus et les technologies dont l'entité a besoin pour fournir un service essentiel, qui, s'il est interrompu, pourrait avoir un impact négatif sur la stabilité financière, la sûreté et la solidité de l'entité, la clientèle ou le marché de l'entité. Les tests sont réalisés sur les systèmes en production.

Au cours du cadrage, l'entité doit remplir un document « TIBER-EU Scope » qui énumère les systèmes et les services clés qui sous-tendent chaque Fonction Critique. Ces informations aident à définir les Flags à capturer, qui sont les cibles et les objectifs de l’équipe Red Team.

Méthodologie de test

L’équipe Red Team doit déployer une série de TTP (Tactics, Techniques, and Procedures). Les catégories proposées par les équipes qui réalisent les tests TIBER sont souvent celle du MITRE. Les phases de test suivent les étapes habituelles des attaques réelles :

  • Reconnaissance qui consiste à collecter le maximum d’informations sur la cible.
  • Weaponisation pour analyser les informations sur les infrastructures et les collaborateurs puis préparer les scénarios d’attaques.
  • Delivery pour démarrer la phase d’exécution proprement dite au travers des actions d’ingénierie sociale, d’analyses de vulnérabilités, d’installation de programmes ciblés…
  • Exploitation pour tenter de prendre la main sur des serveurs, des applications et des équipements réseaux.
  • Control and Movment pour rebondir vers des éléments sensibles du système d’information.
  • Actions on Target pour accéder aux objectifs fixés.

 

Tiber EU TestPhases

Source - www.ecb.europa.eu - Banque Centrale Européenne - TIBER-EU Framework

GTL - Generic Threat Landscape, TTI - Targeted Threat Intelligence, TI – Threat Intelligence, TCT – TIBER Cyber Team, RT – Red Team

 

 

CyberCrise, RéponseIncidents, TIBER