Description
Pour beaucoup DORA à introduit une nouvelle notion, le TLPT.
Mais quelle est la différence entre un Pentest traditionel, le TLTP et le TIBER-EU ?
Cet épisode est là pour clarifier ces concepts et mieux comprendre leurs rôles respectifs en cybersécurité.
What are the differences between DORA and TIBER-EU? - TIBER.info
TIBER-EU : What is TIBER-EU? (europa.eu)
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Ocean's Eleven est un film de braquage de casino sorti en 2001, réalisé par Steven Sodenberg. Il est en fait un remake d'un film homonyme de 1960 avec Frank Sinatra et les membres du Rat Pack. La version moderne est un mélange de suspense, d'action et de comédie, avec un casting impressionnant réunissant George Clooney, Brad Pitt, Matt Damon, Julia Horbax et bien d'autres acteurs talentueux. L'histoire suit Danny Ocean, récemment libéré de prison, qui a immédiatement un plan audacieux. organiser le vol simultané de trois des plus grands casinos de Las Vegas en une seule nuit. Ils recrutent alors une équipe d'experts, onze au total, d'où le titre du film, les Onze de Cheyenne, chacun avec des compétences uniques, pour réaliser ce braquage de haute précision. Leur objectif ? S'emparer des 150 millions de dollars des coffres des casinos gérés par le puissant Terry Benedict, qui est également le nouveau compagnon de son ex-femme Tess. Bien évidemment, je reviendrai à la fin de cet épisode avec une anecdote concernant ce film, mais avant tout, j'aimerais vous parler des braquages qu'on organise volontairement en cybersécurité, c'est-à-dire ce qu'on appelle souvent des red teams. Avec la réglementation DORA, le régulateur demande de faire des tests TLTP. TLTP pour Thread Lead Penetration Testing, ou tests de pénétration fondés sur les menaces en français. Mais quel est le but de ces tests ? Y a-t-il une différence entre les pen-tests que l'on fait habituellement ou d'autres tests comme par exemple les tests Tiber. Commençons par la différence entre un pentest classique et un test dit TLTP. Un test de pénétration ou pentest permet à une organisation d'évaluer les potentielles failles de sécurité de ses systèmes sur un périmètre défini dans un laps de temps relativement court. Ce type d'évaluation suit une méthodologie standardisée, visant à détecter les vulnérabilités techniques courantes en testant diverses composantes de l'infrastructure. tels que les serveurs, les bases de données ou les applications. L'objectif est de simuler des attaques pour identifier et corriger des vulnérabilités connues avant qu'un attaquant malveillant ne puisse les exploiter. Cependant, dans la majorité des cas, le périmètre de test est orienté par l'équipe commanditaire afin de se concentrer sur certains éléments techniques et en excluant d'autres. Cela permet de focaliser l'évaluation sur l'essentiel et d'éviter de retester des vulnérabilités déjà connues. ce qui n'apporterait que peu de valeur ajoutée à l'organisation. Lorsqu'une faille critique est découverte, le testeur informe immédiatement l'organisation, permettant ainsi la mise en place rapide des actions correctives nécessaires. Le rappeur de pentest est souvent discuté et challengé par les deux parties. En effet, au-delà des informations factuelles contenues dans le rapport, telles que les failles de sécurité et les méthodes d'exploitation, il est crucial de prendre en compte le contexte dans lequel évolue l'organisation. Dans la grande majorité des cas, la solution recommandée consiste à corriger la faille de sécurité identifiée. Néanmoins, la correction immédiate des vulnérabilités n'est pas toujours possible, malgré l'accord général sur l'importance de l'action. Cette situation peut être comparée aux déclarations d'intention, comme lorsqu'une personnalité exprime un souhait idéal, tel que la fin de la fin dans le monde par exemple ou l'arrêt des guerres. Tout le monde est d'accord sur le principe, mais la mise en œuvre est bien plus complexe. Il en va de même pour les failles de sécurité. Bien que la nécessité de les corriger soit souvent reconnue, des contraintes techniques, humaines ou financières peuvent retarder cette action. C'est dans cette situation que des discussions se mènent pour définir une approche de mitigation des risques, en attendant une correction définitive. Après le test initial, le pentester effectue fréquemment une série de tests de vérification, quelques semaines plus tard, pour confirmer que les vulnérabilités identifiées ont bien été corrigées. En résumé, un pentest est une action menée dans un cadre défini et contraint. sur un périmètre précis, avec des interactions constantes entre l'équipe des testeurs et l'organisation testée. Cette collaboration continue permet de s'assurer que les failles d'identifier sont bien comprises, adressées et autant que possible résolues dans un délai optimal. Pourquoi les TLTP ne se distinguent-ils pas fondamentalement des tests traditionnels ? Pour comprendre ce qu'est un TLTP, on peut faire une analogie avec le film Ocean Eleven. Dans ce film, l'équipe de 11 membres est composée de spécialistes. Chacun possède une compétence unique et indispensable pour réussir le braquage sans être détecté par la sécurité. Certains membres sont experts en explosifs, d'autres sont des pickpockets chevronnés. Toutes ces compétences se combinent pour atteindre un objectif commun, réussir l'opération sans éveiller de soupçons.
Bon, on est d'accord, pas de prénom, que des noms d'animaux, on se connaît pas. Toi tu seras Renard, toi Ours, toi Écureuil.
Je peux être un Faucon ? Un Dauphin moi. Panthère ?
Ouais non mais c'est russe.
Un Ours c'est bien, c'est bien un Ours.
Bon, ta gueule ! Je vous ai recruté parce qu'on m'a dit que vous étiez les meilleurs. J'espère pour vous que c'est pas des conneries. Tu vas voir que c'est pas des conneries.
C'est quoi la mission ?
Bah oui, parce qu'au final j'ai pas eu le temps de vous le dire.
Ouais mais nous on est des mecs d'action.
Ta gueule ! La mission c'est de braquer la putain de banque.
Le TLTP partage cet esprit. Il s'agit de mener un test d'intrusion où seule une minorité de personnes au sein de l'organisation est informée. et ces derniers sont tenus à la plus stricte confidentialité. Ce groupe de personnes est appelé la White Team. Leur rôle est de monitorer l'avancement de l'exercice et le cas échéant, prendre certaines décisions. L'objectif est de simuler une attaque réelle en utilisant tous les moyens possibles, comme le ferait un attaquant dans un contexte de menace réelle. Comme tous les bons braquages, tout commence par une observation minutieuse de la cible. Cette tâche est généralement confiée à une équipe spécialisée en OSINT, OSINT pour Open Source Intelligence. Renseignements à source ouverte, c'est-à-dire la collecte d'informations disponibles publiquement sur Internet. Cette équipe recherche toutes les informations exploitables, les profils d'Inkédin dévoilant des technologies utilisées par l'organisation, jusqu'aux employés affichant un statut open to work indiquant qu'ils sont ouverts à de nouvelles opportunités. Et là, le social engineering peut avoir beaucoup d'intérêt, car ces individus sont potentiellement plus enclins à dialoguer avec des inconnus, comme des recruteurs par exemple, et peuvent, sans le savoir, révéler des informations sensibles lors d'un entretien d'embauche. De plus, certaines informations peuvent être extraites en offrant des incitations à des stagiaires, en leur demandant de rédiger des rapports rémunérés sur l'entreprise qui les accueille. Une fois cette étape franchie, la RETIM, les assaillants, met en place un scénario en s'appuyant sur des techniques, tactiques et procédures d'un groupe d'attaquants déjà connu. Ces TTP, ces techniques tactiques et procédures, qui représentent l'ensemble des méthodes employées par les cybercriminels, sont bien documentés dans des frameworks comme MitreAttack, qui recensent les TTP de la majorité des groupes d'attaquants identifiés. En général, la RETIM sélectionne un ou deux scénarios d'attaque. Par exemple, lancer une campagne de phishing ciblée, puisant les personnes identifiées lors des phases de reconnaissance précédentes. Le scénario peut prendre en compte aussi une entité compromise, obtenue soit indirectement, comme des identifiants compromis ou trouvés sur le dark web, soit directement en impliquant un insider. Dans ce dernier cas, il s'agira d'un employé motivé par un gain financier ou soumis à des pressions externes. Le choix des scénarios dépend des objectifs de la simulation d'attaques et des vulnérabilités identifiées et vise à tester la capacité de l'organisation à détecter et à réagir face aux méthodes les plus réalistes et les plus menaçantes utilisées par les attaquants véritables. Il est fréquent de convenir, avec la rétime, de définir des flags c'est-à-dire des objectifs précis à atteindre. Dans le film Ocean's Eleven, par exemple, Le flag principal est l'accès à la salle des coffres. Dans le cadre d'un TLP, les flags représentent des objectifs techniques spécifiques, tels que devenir administrateur du domaine, ce qui revient à prendre le contrôle total du système d'information, un objectif souvent central. D'autres objectifs peuvent inclure l'exfiltration de grandes quantités de données sensibles. Dans le film, c'est la scène où les braqueurs ressortent avec leur butin, sans se faire inquiéter. Une fois les objectifs et la stratégie définis, la Red Team passe à l'action en lançant des attaques réelles contre le système d'information. Contrairement à un pentest classique, cette phase s'étend souvent sur une période bien plus longue. Au-delà de l'infiltration du système, un des objectifs principaux est de rester furtif. C'est pourquoi la Red Team s'efforce d'être aussi discret que possible pour ne pas être détecté par la Blue Team, c'est-à-dire les défenseurs. Il va sans dire qu'ils vont aussi éviter de casser quoi que ce soit dans le système d'information. Car dans le cas d'un crash suspicieux, il y aura forcément des investigations. Cela constitue une différence majeure par rapport aux pen-tests classiques. Généralement, les tests sont annoncés et les testeurs peuvent opérer sans se soucier de la discrétion. Il peut arriver que, malgré leurs efforts, la red team se trouve bloquée à un certain stade. Dans ce cas, la white team, responsable de la supervision du test, peut accorder un joker en fournissant un léger coup de pouce. L'objectif n'est pas de tricher, mais d'admettre que la posture de sécurité en place est solide et que progresser nécessite un temps bien plus long que prévu. En autorisant un joker, la White Team optimise le temps consacré au test tout en validant l'efficacité des protections existantes. La Red Team va progresser de plus en plus dans le système d'information pour atteindre les différents flags, jusqu'à ce qu'elles soient finalement détectées par la Blue Team. Ce moment marque le début d'une phase cruciale du test, la réaction de l'organisation en cas de compromission. Il s'agit d'évaluer concrètement comment l'organisation réagit après avoir découvert une intrusion. La Blue Team va alors tenter d'identifier ce qu'on appelle les IOC, ou Indicators of Compromissions. Ces indicateurs permettent de déterminer les chemins empruntés par les attaquants pour pénétrer le système. Dans le film Ocean's Eleven, Cela correspond au moment où les directeurs du casino découvrent que les images qu'ils voient sur les caramérats de surveillance sont en réalité des leurs. De la même manière, l'organisation doit être capable de reconnaître les signes d'une attaque, et cela pour comprendre comment elle a été menée et où l'intrusion s'est produite. Cette phase de réponse à l'incident est suivie de l'analyse des IOC et marque généralement la fin de la première phase de l'exercice. Elle permet d'évaluer non seulement la détection, mais aussi la capacité de l'organisation à réagir efficacement à une compromission réelle, renforçant ainsi sa posture de sécurité. A l'issue de cette première phase, la Blue Team est informée de l'exercice. Vient ensuite la phase de Purple Team. Le terme Purple symbolise la fusion des couleurs rouge, à Team, et bleu, Blue Team, marquant le moment où les deux équipes collaborent pour analyser ensemble les failles, les tactiques et les procédures utilisées lors de l'exercice. Cette collaboration permet une compréhension approfondie des vulnérabilités identifiées et des stratégies employées par la Red Team pour les exploiter. Et à partir de ces discussions, un plan de remédiation est élaboré pour renforcer la posture de cybersécurité et améliorer la résilience de l'organisation face aux cybermenaces. Ainsi, un TLPT diffère fondamentalement d'un pentest classique. La Red Team attaque l'organisation en utilisant tous les moyens à ses dispositions, sans se limiter aux failles non documentées. Contrairement aux pentests traditionnels, où il est souvent convenu de ne pas exploiter des vulnérabilités déjà connues par l'organisation, les TLTP visent à simuler une attaque aussi réaliste que possible, utilisant toutes les failles, qu'elles soient connues ou non. Certains d'entre vous qui travaillent dans le secteur financier ont peut-être déjà entendu parler du framework européen Tiber. Le framework Tiber-EU, développé par la Banque Centrale Européenne en 2018, est un cadre de référence européen destiné à renforcer la résilience cyber des institutions financières. Le nom Tiber signifie Threat Intelligence-Based Ethical Red Teaming, ce qui indique que le framework combine l'utilisation de renseignements sur les menaces, Threat Intelligence, avec des tests d'intrusion éthique, Red Teaming. L'objectif de Tiber EU est d'aider les institutions financières à évaluer leur capacité à résister aux cyberattaquants en simulant des menaces réalistes et sophistiquées. Le principal objectif de Tiber EU est de créer un standard harmonisé pour les tests de résilience dans le secteur financier au niveau européen. Ce framework permet aux banques et aux autres institutions financières de tester de manière réaliste leurs capacités de détection et de réponse face aux cybermenaces. Tiber EU repose sur plusieurs principes fondamentaux. Le framework exige l'utilisation de renseignements concrets et actualisés sur les cybermenaces auxquelles une organisation spécifique pourrait faire face. Ces renseignements permettent de concevoir des scénarios d'attaque réalistes et adaptés aux risques réels de l'organisation.
Et l'autre truc qui fait vraiment peur, c'est la manière dont on est surveillé et tout, traqué sur Internet, ça, ça fait flipper. Bon, moi, ça me fait pas trop peur. Enfin, si, j'ai peur que le gars qui soit payé à me surveiller se fasse bien chier. Il doit regarder ce que je fais et dire, ça fait 12 fois qu'il regarde la vidéo du Coréen qui joue la trompette avec son cul, je pense que c'est bon, là. Ce qui est magique avec Internet, c'est que je sais même pas s'il y a une vidéo d'un Coréen qui joue la trompette avec son cul, mais on est d'accord qu'il y a sûrement beaucoup de chances que ça existe. Ça me fait plaisir de savoir qu'il y a des gens ce soir qui vont aller vérifier si c'est vrai.
Contrairement au pen-test traditionnel, Tiber.eu couvre tous les aspects d'une cyberattaque, de la reconnaissance jusqu'à l'exfiltration des données, pour évaluer la capacité complète de défense de l'organisation. Seules quelques personnes clés au sein de l'organisation sont informées du test afin d'assurer un contexte réaliste et d'observer les réactions réelles des équipes de défense, la fameuse Blue Team. A la fin de chaque exercice, des discussions similaires à la phase de Purple Team permettent de créer un plan de remédiation pour corriger les failles détectées et renforcer les mesures de sécurité de l'institution. Tiber EU se décompose en plusieurs phases bien définies. D'abord la préparation. Cette étape initiale constitue à établir les paramètres du test, à obtenir l'approbation des autorités régulatrices et à sélectionner des prestataires qualifiés pour les renseignements sur les menaces et le red teaming. Ensuite vient la phase de renseignement sur les menaces, la fameuse Threats Intelligence. Une fois le cadre défini, l'étape suivante constitue à collecter des informations détaillées et à actualiser sur les menaces spécifiques auxquelles l'organisation est exposée. Ces informations permettent de définir un scénario d'attaque réaliste basé sur les TTP, techniques, tactiques et procédures, utilisés par le groupe de cybercriminels. Vient ensuite l'exécution du red teaming. La red team met en œuvre le scénario élaboré en tentant de compromettre les systèmes avec l'objectif d'atteindre les flags ou objectifs définis en amont, comme le ferait un véritable attaquant. Pendant cette phase, l'organisation est testée pour sa capacité de défense sans connaître précisément la nature de l'exercice pour simuler au mieux une attaque réelle. Ensuite vient la phase de remédiation et d'évaluation, la fameuse purple team. Après l'exercice, la Red Team et la Blue Team se réunissent pour analyser les résultats et les failles identifiées. C'est une phase d'échange qui permet de développer un plan d'action pour améliorer la posture de sécurité de l'institution et combler les lacunes détectées. Enfin, un rapport complet est élaboré pour documenter les résultats du test et les améliorations nécessaires. Ce rapport est généralement soumis au régulateur et peut servir de référence pour des outils futurs ou pour des tests de conformité. T'es belle, you ! présentent plusieurs avantages significatifs pour les institutions financières et leurs régulateurs. Tiber EU offre une norme européenne qui permet aux institutions financières de bénéficier de tests uniformes et comparables d'un pays à l'autre, facilitant ainsi la coopération et la compréhension des risques au niveau européen. Cela offre aussi une approche ciblée et contextuelle. Grâce aux renseignements basés sur les menaces, les tests sont pertinents et axés sur les risques réels auxquels chaque institution est confrontée. Il y a aussi le renforcement de la résilience. En permettant de détecter des failles et de simuler des attaques réelles, Tiber EU favorise une résilience accrue des institutions financières face aux cyberattaques. Cela permet aussi la collaboration avec les régulateurs. Tiber EU établit une passerelle entre les régulateurs et les institutions financières, ce qui favorise la transparence et la gestion proactive des risques. En somme, Tiber EU est un cadre stratégique et opérationnel qui permet aux institutions financières européennes de tester leur résilience aux cyberattaques dans des conditions réalistes et de manière structurée. En appliquant ce framework, les institutions bénéficient d'une vision claire de leur faiblesse, renforcent leur sécurité et contribuent à la stabilité du système financier européen. Mais vous allez me dire, quelle est la différence entre TELTP et Tiber EU ? En fait, il n'y a que quelques différences minimes entre les deux approches. Et le régulateur est en train de travailler sur ces différences pour faire un alignement parfait entre TLTP et Tiber. Pour finir, voilà une anecdote tirée du film qui illustre bien la réutilisation des concepts différents. Dans le film Ocean Eleven, Brad Pitt se fait passer pour un médecin. Et pour ne pas être reconnu, il porte une perruque. Cette perruque est en réalité la même que celle qu'utilisait Mike Myers dans le film Austin Powers. Ainsi, une même perruque apparaît dans deux films aux univers totalement distincts. Tout comme les tests TLTP et Tiber. Ce sont essentiellement les mêmes tests mais appliquées dans des contextes différents. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus sérieux que ça. Merci.
Description
Pour beaucoup DORA à introduit une nouvelle notion, le TLPT.
Mais quelle est la différence entre un Pentest traditionel, le TLTP et le TIBER-EU ?
Cet épisode est là pour clarifier ces concepts et mieux comprendre leurs rôles respectifs en cybersécurité.
What are the differences between DORA and TIBER-EU? - TIBER.info
TIBER-EU : What is TIBER-EU? (europa.eu)
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Ocean's Eleven est un film de braquage de casino sorti en 2001, réalisé par Steven Sodenberg. Il est en fait un remake d'un film homonyme de 1960 avec Frank Sinatra et les membres du Rat Pack. La version moderne est un mélange de suspense, d'action et de comédie, avec un casting impressionnant réunissant George Clooney, Brad Pitt, Matt Damon, Julia Horbax et bien d'autres acteurs talentueux. L'histoire suit Danny Ocean, récemment libéré de prison, qui a immédiatement un plan audacieux. organiser le vol simultané de trois des plus grands casinos de Las Vegas en une seule nuit. Ils recrutent alors une équipe d'experts, onze au total, d'où le titre du film, les Onze de Cheyenne, chacun avec des compétences uniques, pour réaliser ce braquage de haute précision. Leur objectif ? S'emparer des 150 millions de dollars des coffres des casinos gérés par le puissant Terry Benedict, qui est également le nouveau compagnon de son ex-femme Tess. Bien évidemment, je reviendrai à la fin de cet épisode avec une anecdote concernant ce film, mais avant tout, j'aimerais vous parler des braquages qu'on organise volontairement en cybersécurité, c'est-à-dire ce qu'on appelle souvent des red teams. Avec la réglementation DORA, le régulateur demande de faire des tests TLTP. TLTP pour Thread Lead Penetration Testing, ou tests de pénétration fondés sur les menaces en français. Mais quel est le but de ces tests ? Y a-t-il une différence entre les pen-tests que l'on fait habituellement ou d'autres tests comme par exemple les tests Tiber. Commençons par la différence entre un pentest classique et un test dit TLTP. Un test de pénétration ou pentest permet à une organisation d'évaluer les potentielles failles de sécurité de ses systèmes sur un périmètre défini dans un laps de temps relativement court. Ce type d'évaluation suit une méthodologie standardisée, visant à détecter les vulnérabilités techniques courantes en testant diverses composantes de l'infrastructure. tels que les serveurs, les bases de données ou les applications. L'objectif est de simuler des attaques pour identifier et corriger des vulnérabilités connues avant qu'un attaquant malveillant ne puisse les exploiter. Cependant, dans la majorité des cas, le périmètre de test est orienté par l'équipe commanditaire afin de se concentrer sur certains éléments techniques et en excluant d'autres. Cela permet de focaliser l'évaluation sur l'essentiel et d'éviter de retester des vulnérabilités déjà connues. ce qui n'apporterait que peu de valeur ajoutée à l'organisation. Lorsqu'une faille critique est découverte, le testeur informe immédiatement l'organisation, permettant ainsi la mise en place rapide des actions correctives nécessaires. Le rappeur de pentest est souvent discuté et challengé par les deux parties. En effet, au-delà des informations factuelles contenues dans le rapport, telles que les failles de sécurité et les méthodes d'exploitation, il est crucial de prendre en compte le contexte dans lequel évolue l'organisation. Dans la grande majorité des cas, la solution recommandée consiste à corriger la faille de sécurité identifiée. Néanmoins, la correction immédiate des vulnérabilités n'est pas toujours possible, malgré l'accord général sur l'importance de l'action. Cette situation peut être comparée aux déclarations d'intention, comme lorsqu'une personnalité exprime un souhait idéal, tel que la fin de la fin dans le monde par exemple ou l'arrêt des guerres. Tout le monde est d'accord sur le principe, mais la mise en œuvre est bien plus complexe. Il en va de même pour les failles de sécurité. Bien que la nécessité de les corriger soit souvent reconnue, des contraintes techniques, humaines ou financières peuvent retarder cette action. C'est dans cette situation que des discussions se mènent pour définir une approche de mitigation des risques, en attendant une correction définitive. Après le test initial, le pentester effectue fréquemment une série de tests de vérification, quelques semaines plus tard, pour confirmer que les vulnérabilités identifiées ont bien été corrigées. En résumé, un pentest est une action menée dans un cadre défini et contraint. sur un périmètre précis, avec des interactions constantes entre l'équipe des testeurs et l'organisation testée. Cette collaboration continue permet de s'assurer que les failles d'identifier sont bien comprises, adressées et autant que possible résolues dans un délai optimal. Pourquoi les TLTP ne se distinguent-ils pas fondamentalement des tests traditionnels ? Pour comprendre ce qu'est un TLTP, on peut faire une analogie avec le film Ocean Eleven. Dans ce film, l'équipe de 11 membres est composée de spécialistes. Chacun possède une compétence unique et indispensable pour réussir le braquage sans être détecté par la sécurité. Certains membres sont experts en explosifs, d'autres sont des pickpockets chevronnés. Toutes ces compétences se combinent pour atteindre un objectif commun, réussir l'opération sans éveiller de soupçons.
Bon, on est d'accord, pas de prénom, que des noms d'animaux, on se connaît pas. Toi tu seras Renard, toi Ours, toi Écureuil.
Je peux être un Faucon ? Un Dauphin moi. Panthère ?
Ouais non mais c'est russe.
Un Ours c'est bien, c'est bien un Ours.
Bon, ta gueule ! Je vous ai recruté parce qu'on m'a dit que vous étiez les meilleurs. J'espère pour vous que c'est pas des conneries. Tu vas voir que c'est pas des conneries.
C'est quoi la mission ?
Bah oui, parce qu'au final j'ai pas eu le temps de vous le dire.
Ouais mais nous on est des mecs d'action.
Ta gueule ! La mission c'est de braquer la putain de banque.
Le TLTP partage cet esprit. Il s'agit de mener un test d'intrusion où seule une minorité de personnes au sein de l'organisation est informée. et ces derniers sont tenus à la plus stricte confidentialité. Ce groupe de personnes est appelé la White Team. Leur rôle est de monitorer l'avancement de l'exercice et le cas échéant, prendre certaines décisions. L'objectif est de simuler une attaque réelle en utilisant tous les moyens possibles, comme le ferait un attaquant dans un contexte de menace réelle. Comme tous les bons braquages, tout commence par une observation minutieuse de la cible. Cette tâche est généralement confiée à une équipe spécialisée en OSINT, OSINT pour Open Source Intelligence. Renseignements à source ouverte, c'est-à-dire la collecte d'informations disponibles publiquement sur Internet. Cette équipe recherche toutes les informations exploitables, les profils d'Inkédin dévoilant des technologies utilisées par l'organisation, jusqu'aux employés affichant un statut open to work indiquant qu'ils sont ouverts à de nouvelles opportunités. Et là, le social engineering peut avoir beaucoup d'intérêt, car ces individus sont potentiellement plus enclins à dialoguer avec des inconnus, comme des recruteurs par exemple, et peuvent, sans le savoir, révéler des informations sensibles lors d'un entretien d'embauche. De plus, certaines informations peuvent être extraites en offrant des incitations à des stagiaires, en leur demandant de rédiger des rapports rémunérés sur l'entreprise qui les accueille. Une fois cette étape franchie, la RETIM, les assaillants, met en place un scénario en s'appuyant sur des techniques, tactiques et procédures d'un groupe d'attaquants déjà connu. Ces TTP, ces techniques tactiques et procédures, qui représentent l'ensemble des méthodes employées par les cybercriminels, sont bien documentés dans des frameworks comme MitreAttack, qui recensent les TTP de la majorité des groupes d'attaquants identifiés. En général, la RETIM sélectionne un ou deux scénarios d'attaque. Par exemple, lancer une campagne de phishing ciblée, puisant les personnes identifiées lors des phases de reconnaissance précédentes. Le scénario peut prendre en compte aussi une entité compromise, obtenue soit indirectement, comme des identifiants compromis ou trouvés sur le dark web, soit directement en impliquant un insider. Dans ce dernier cas, il s'agira d'un employé motivé par un gain financier ou soumis à des pressions externes. Le choix des scénarios dépend des objectifs de la simulation d'attaques et des vulnérabilités identifiées et vise à tester la capacité de l'organisation à détecter et à réagir face aux méthodes les plus réalistes et les plus menaçantes utilisées par les attaquants véritables. Il est fréquent de convenir, avec la rétime, de définir des flags c'est-à-dire des objectifs précis à atteindre. Dans le film Ocean's Eleven, par exemple, Le flag principal est l'accès à la salle des coffres. Dans le cadre d'un TLP, les flags représentent des objectifs techniques spécifiques, tels que devenir administrateur du domaine, ce qui revient à prendre le contrôle total du système d'information, un objectif souvent central. D'autres objectifs peuvent inclure l'exfiltration de grandes quantités de données sensibles. Dans le film, c'est la scène où les braqueurs ressortent avec leur butin, sans se faire inquiéter. Une fois les objectifs et la stratégie définis, la Red Team passe à l'action en lançant des attaques réelles contre le système d'information. Contrairement à un pentest classique, cette phase s'étend souvent sur une période bien plus longue. Au-delà de l'infiltration du système, un des objectifs principaux est de rester furtif. C'est pourquoi la Red Team s'efforce d'être aussi discret que possible pour ne pas être détecté par la Blue Team, c'est-à-dire les défenseurs. Il va sans dire qu'ils vont aussi éviter de casser quoi que ce soit dans le système d'information. Car dans le cas d'un crash suspicieux, il y aura forcément des investigations. Cela constitue une différence majeure par rapport aux pen-tests classiques. Généralement, les tests sont annoncés et les testeurs peuvent opérer sans se soucier de la discrétion. Il peut arriver que, malgré leurs efforts, la red team se trouve bloquée à un certain stade. Dans ce cas, la white team, responsable de la supervision du test, peut accorder un joker en fournissant un léger coup de pouce. L'objectif n'est pas de tricher, mais d'admettre que la posture de sécurité en place est solide et que progresser nécessite un temps bien plus long que prévu. En autorisant un joker, la White Team optimise le temps consacré au test tout en validant l'efficacité des protections existantes. La Red Team va progresser de plus en plus dans le système d'information pour atteindre les différents flags, jusqu'à ce qu'elles soient finalement détectées par la Blue Team. Ce moment marque le début d'une phase cruciale du test, la réaction de l'organisation en cas de compromission. Il s'agit d'évaluer concrètement comment l'organisation réagit après avoir découvert une intrusion. La Blue Team va alors tenter d'identifier ce qu'on appelle les IOC, ou Indicators of Compromissions. Ces indicateurs permettent de déterminer les chemins empruntés par les attaquants pour pénétrer le système. Dans le film Ocean's Eleven, Cela correspond au moment où les directeurs du casino découvrent que les images qu'ils voient sur les caramérats de surveillance sont en réalité des leurs. De la même manière, l'organisation doit être capable de reconnaître les signes d'une attaque, et cela pour comprendre comment elle a été menée et où l'intrusion s'est produite. Cette phase de réponse à l'incident est suivie de l'analyse des IOC et marque généralement la fin de la première phase de l'exercice. Elle permet d'évaluer non seulement la détection, mais aussi la capacité de l'organisation à réagir efficacement à une compromission réelle, renforçant ainsi sa posture de sécurité. A l'issue de cette première phase, la Blue Team est informée de l'exercice. Vient ensuite la phase de Purple Team. Le terme Purple symbolise la fusion des couleurs rouge, à Team, et bleu, Blue Team, marquant le moment où les deux équipes collaborent pour analyser ensemble les failles, les tactiques et les procédures utilisées lors de l'exercice. Cette collaboration permet une compréhension approfondie des vulnérabilités identifiées et des stratégies employées par la Red Team pour les exploiter. Et à partir de ces discussions, un plan de remédiation est élaboré pour renforcer la posture de cybersécurité et améliorer la résilience de l'organisation face aux cybermenaces. Ainsi, un TLPT diffère fondamentalement d'un pentest classique. La Red Team attaque l'organisation en utilisant tous les moyens à ses dispositions, sans se limiter aux failles non documentées. Contrairement aux pentests traditionnels, où il est souvent convenu de ne pas exploiter des vulnérabilités déjà connues par l'organisation, les TLTP visent à simuler une attaque aussi réaliste que possible, utilisant toutes les failles, qu'elles soient connues ou non. Certains d'entre vous qui travaillent dans le secteur financier ont peut-être déjà entendu parler du framework européen Tiber. Le framework Tiber-EU, développé par la Banque Centrale Européenne en 2018, est un cadre de référence européen destiné à renforcer la résilience cyber des institutions financières. Le nom Tiber signifie Threat Intelligence-Based Ethical Red Teaming, ce qui indique que le framework combine l'utilisation de renseignements sur les menaces, Threat Intelligence, avec des tests d'intrusion éthique, Red Teaming. L'objectif de Tiber EU est d'aider les institutions financières à évaluer leur capacité à résister aux cyberattaquants en simulant des menaces réalistes et sophistiquées. Le principal objectif de Tiber EU est de créer un standard harmonisé pour les tests de résilience dans le secteur financier au niveau européen. Ce framework permet aux banques et aux autres institutions financières de tester de manière réaliste leurs capacités de détection et de réponse face aux cybermenaces. Tiber EU repose sur plusieurs principes fondamentaux. Le framework exige l'utilisation de renseignements concrets et actualisés sur les cybermenaces auxquelles une organisation spécifique pourrait faire face. Ces renseignements permettent de concevoir des scénarios d'attaque réalistes et adaptés aux risques réels de l'organisation.
Et l'autre truc qui fait vraiment peur, c'est la manière dont on est surveillé et tout, traqué sur Internet, ça, ça fait flipper. Bon, moi, ça me fait pas trop peur. Enfin, si, j'ai peur que le gars qui soit payé à me surveiller se fasse bien chier. Il doit regarder ce que je fais et dire, ça fait 12 fois qu'il regarde la vidéo du Coréen qui joue la trompette avec son cul, je pense que c'est bon, là. Ce qui est magique avec Internet, c'est que je sais même pas s'il y a une vidéo d'un Coréen qui joue la trompette avec son cul, mais on est d'accord qu'il y a sûrement beaucoup de chances que ça existe. Ça me fait plaisir de savoir qu'il y a des gens ce soir qui vont aller vérifier si c'est vrai.
Contrairement au pen-test traditionnel, Tiber.eu couvre tous les aspects d'une cyberattaque, de la reconnaissance jusqu'à l'exfiltration des données, pour évaluer la capacité complète de défense de l'organisation. Seules quelques personnes clés au sein de l'organisation sont informées du test afin d'assurer un contexte réaliste et d'observer les réactions réelles des équipes de défense, la fameuse Blue Team. A la fin de chaque exercice, des discussions similaires à la phase de Purple Team permettent de créer un plan de remédiation pour corriger les failles détectées et renforcer les mesures de sécurité de l'institution. Tiber EU se décompose en plusieurs phases bien définies. D'abord la préparation. Cette étape initiale constitue à établir les paramètres du test, à obtenir l'approbation des autorités régulatrices et à sélectionner des prestataires qualifiés pour les renseignements sur les menaces et le red teaming. Ensuite vient la phase de renseignement sur les menaces, la fameuse Threats Intelligence. Une fois le cadre défini, l'étape suivante constitue à collecter des informations détaillées et à actualiser sur les menaces spécifiques auxquelles l'organisation est exposée. Ces informations permettent de définir un scénario d'attaque réaliste basé sur les TTP, techniques, tactiques et procédures, utilisés par le groupe de cybercriminels. Vient ensuite l'exécution du red teaming. La red team met en œuvre le scénario élaboré en tentant de compromettre les systèmes avec l'objectif d'atteindre les flags ou objectifs définis en amont, comme le ferait un véritable attaquant. Pendant cette phase, l'organisation est testée pour sa capacité de défense sans connaître précisément la nature de l'exercice pour simuler au mieux une attaque réelle. Ensuite vient la phase de remédiation et d'évaluation, la fameuse purple team. Après l'exercice, la Red Team et la Blue Team se réunissent pour analyser les résultats et les failles identifiées. C'est une phase d'échange qui permet de développer un plan d'action pour améliorer la posture de sécurité de l'institution et combler les lacunes détectées. Enfin, un rapport complet est élaboré pour documenter les résultats du test et les améliorations nécessaires. Ce rapport est généralement soumis au régulateur et peut servir de référence pour des outils futurs ou pour des tests de conformité. T'es belle, you ! présentent plusieurs avantages significatifs pour les institutions financières et leurs régulateurs. Tiber EU offre une norme européenne qui permet aux institutions financières de bénéficier de tests uniformes et comparables d'un pays à l'autre, facilitant ainsi la coopération et la compréhension des risques au niveau européen. Cela offre aussi une approche ciblée et contextuelle. Grâce aux renseignements basés sur les menaces, les tests sont pertinents et axés sur les risques réels auxquels chaque institution est confrontée. Il y a aussi le renforcement de la résilience. En permettant de détecter des failles et de simuler des attaques réelles, Tiber EU favorise une résilience accrue des institutions financières face aux cyberattaques. Cela permet aussi la collaboration avec les régulateurs. Tiber EU établit une passerelle entre les régulateurs et les institutions financières, ce qui favorise la transparence et la gestion proactive des risques. En somme, Tiber EU est un cadre stratégique et opérationnel qui permet aux institutions financières européennes de tester leur résilience aux cyberattaques dans des conditions réalistes et de manière structurée. En appliquant ce framework, les institutions bénéficient d'une vision claire de leur faiblesse, renforcent leur sécurité et contribuent à la stabilité du système financier européen. Mais vous allez me dire, quelle est la différence entre TELTP et Tiber EU ? En fait, il n'y a que quelques différences minimes entre les deux approches. Et le régulateur est en train de travailler sur ces différences pour faire un alignement parfait entre TLTP et Tiber. Pour finir, voilà une anecdote tirée du film qui illustre bien la réutilisation des concepts différents. Dans le film Ocean Eleven, Brad Pitt se fait passer pour un médecin. Et pour ne pas être reconnu, il porte une perruque. Cette perruque est en réalité la même que celle qu'utilisait Mike Myers dans le film Austin Powers. Ainsi, une même perruque apparaît dans deux films aux univers totalement distincts. Tout comme les tests TLTP et Tiber. Ce sont essentiellement les mêmes tests mais appliquées dans des contextes différents. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus sérieux que ça. Merci.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)
Description
Pour beaucoup DORA à introduit une nouvelle notion, le TLPT.
Mais quelle est la différence entre un Pentest traditionel, le TLTP et le TIBER-EU ?
Cet épisode est là pour clarifier ces concepts et mieux comprendre leurs rôles respectifs en cybersécurité.
What are the differences between DORA and TIBER-EU? - TIBER.info
TIBER-EU : What is TIBER-EU? (europa.eu)
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Ocean's Eleven est un film de braquage de casino sorti en 2001, réalisé par Steven Sodenberg. Il est en fait un remake d'un film homonyme de 1960 avec Frank Sinatra et les membres du Rat Pack. La version moderne est un mélange de suspense, d'action et de comédie, avec un casting impressionnant réunissant George Clooney, Brad Pitt, Matt Damon, Julia Horbax et bien d'autres acteurs talentueux. L'histoire suit Danny Ocean, récemment libéré de prison, qui a immédiatement un plan audacieux. organiser le vol simultané de trois des plus grands casinos de Las Vegas en une seule nuit. Ils recrutent alors une équipe d'experts, onze au total, d'où le titre du film, les Onze de Cheyenne, chacun avec des compétences uniques, pour réaliser ce braquage de haute précision. Leur objectif ? S'emparer des 150 millions de dollars des coffres des casinos gérés par le puissant Terry Benedict, qui est également le nouveau compagnon de son ex-femme Tess. Bien évidemment, je reviendrai à la fin de cet épisode avec une anecdote concernant ce film, mais avant tout, j'aimerais vous parler des braquages qu'on organise volontairement en cybersécurité, c'est-à-dire ce qu'on appelle souvent des red teams. Avec la réglementation DORA, le régulateur demande de faire des tests TLTP. TLTP pour Thread Lead Penetration Testing, ou tests de pénétration fondés sur les menaces en français. Mais quel est le but de ces tests ? Y a-t-il une différence entre les pen-tests que l'on fait habituellement ou d'autres tests comme par exemple les tests Tiber. Commençons par la différence entre un pentest classique et un test dit TLTP. Un test de pénétration ou pentest permet à une organisation d'évaluer les potentielles failles de sécurité de ses systèmes sur un périmètre défini dans un laps de temps relativement court. Ce type d'évaluation suit une méthodologie standardisée, visant à détecter les vulnérabilités techniques courantes en testant diverses composantes de l'infrastructure. tels que les serveurs, les bases de données ou les applications. L'objectif est de simuler des attaques pour identifier et corriger des vulnérabilités connues avant qu'un attaquant malveillant ne puisse les exploiter. Cependant, dans la majorité des cas, le périmètre de test est orienté par l'équipe commanditaire afin de se concentrer sur certains éléments techniques et en excluant d'autres. Cela permet de focaliser l'évaluation sur l'essentiel et d'éviter de retester des vulnérabilités déjà connues. ce qui n'apporterait que peu de valeur ajoutée à l'organisation. Lorsqu'une faille critique est découverte, le testeur informe immédiatement l'organisation, permettant ainsi la mise en place rapide des actions correctives nécessaires. Le rappeur de pentest est souvent discuté et challengé par les deux parties. En effet, au-delà des informations factuelles contenues dans le rapport, telles que les failles de sécurité et les méthodes d'exploitation, il est crucial de prendre en compte le contexte dans lequel évolue l'organisation. Dans la grande majorité des cas, la solution recommandée consiste à corriger la faille de sécurité identifiée. Néanmoins, la correction immédiate des vulnérabilités n'est pas toujours possible, malgré l'accord général sur l'importance de l'action. Cette situation peut être comparée aux déclarations d'intention, comme lorsqu'une personnalité exprime un souhait idéal, tel que la fin de la fin dans le monde par exemple ou l'arrêt des guerres. Tout le monde est d'accord sur le principe, mais la mise en œuvre est bien plus complexe. Il en va de même pour les failles de sécurité. Bien que la nécessité de les corriger soit souvent reconnue, des contraintes techniques, humaines ou financières peuvent retarder cette action. C'est dans cette situation que des discussions se mènent pour définir une approche de mitigation des risques, en attendant une correction définitive. Après le test initial, le pentester effectue fréquemment une série de tests de vérification, quelques semaines plus tard, pour confirmer que les vulnérabilités identifiées ont bien été corrigées. En résumé, un pentest est une action menée dans un cadre défini et contraint. sur un périmètre précis, avec des interactions constantes entre l'équipe des testeurs et l'organisation testée. Cette collaboration continue permet de s'assurer que les failles d'identifier sont bien comprises, adressées et autant que possible résolues dans un délai optimal. Pourquoi les TLTP ne se distinguent-ils pas fondamentalement des tests traditionnels ? Pour comprendre ce qu'est un TLTP, on peut faire une analogie avec le film Ocean Eleven. Dans ce film, l'équipe de 11 membres est composée de spécialistes. Chacun possède une compétence unique et indispensable pour réussir le braquage sans être détecté par la sécurité. Certains membres sont experts en explosifs, d'autres sont des pickpockets chevronnés. Toutes ces compétences se combinent pour atteindre un objectif commun, réussir l'opération sans éveiller de soupçons.
Bon, on est d'accord, pas de prénom, que des noms d'animaux, on se connaît pas. Toi tu seras Renard, toi Ours, toi Écureuil.
Je peux être un Faucon ? Un Dauphin moi. Panthère ?
Ouais non mais c'est russe.
Un Ours c'est bien, c'est bien un Ours.
Bon, ta gueule ! Je vous ai recruté parce qu'on m'a dit que vous étiez les meilleurs. J'espère pour vous que c'est pas des conneries. Tu vas voir que c'est pas des conneries.
C'est quoi la mission ?
Bah oui, parce qu'au final j'ai pas eu le temps de vous le dire.
Ouais mais nous on est des mecs d'action.
Ta gueule ! La mission c'est de braquer la putain de banque.
Le TLTP partage cet esprit. Il s'agit de mener un test d'intrusion où seule une minorité de personnes au sein de l'organisation est informée. et ces derniers sont tenus à la plus stricte confidentialité. Ce groupe de personnes est appelé la White Team. Leur rôle est de monitorer l'avancement de l'exercice et le cas échéant, prendre certaines décisions. L'objectif est de simuler une attaque réelle en utilisant tous les moyens possibles, comme le ferait un attaquant dans un contexte de menace réelle. Comme tous les bons braquages, tout commence par une observation minutieuse de la cible. Cette tâche est généralement confiée à une équipe spécialisée en OSINT, OSINT pour Open Source Intelligence. Renseignements à source ouverte, c'est-à-dire la collecte d'informations disponibles publiquement sur Internet. Cette équipe recherche toutes les informations exploitables, les profils d'Inkédin dévoilant des technologies utilisées par l'organisation, jusqu'aux employés affichant un statut open to work indiquant qu'ils sont ouverts à de nouvelles opportunités. Et là, le social engineering peut avoir beaucoup d'intérêt, car ces individus sont potentiellement plus enclins à dialoguer avec des inconnus, comme des recruteurs par exemple, et peuvent, sans le savoir, révéler des informations sensibles lors d'un entretien d'embauche. De plus, certaines informations peuvent être extraites en offrant des incitations à des stagiaires, en leur demandant de rédiger des rapports rémunérés sur l'entreprise qui les accueille. Une fois cette étape franchie, la RETIM, les assaillants, met en place un scénario en s'appuyant sur des techniques, tactiques et procédures d'un groupe d'attaquants déjà connu. Ces TTP, ces techniques tactiques et procédures, qui représentent l'ensemble des méthodes employées par les cybercriminels, sont bien documentés dans des frameworks comme MitreAttack, qui recensent les TTP de la majorité des groupes d'attaquants identifiés. En général, la RETIM sélectionne un ou deux scénarios d'attaque. Par exemple, lancer une campagne de phishing ciblée, puisant les personnes identifiées lors des phases de reconnaissance précédentes. Le scénario peut prendre en compte aussi une entité compromise, obtenue soit indirectement, comme des identifiants compromis ou trouvés sur le dark web, soit directement en impliquant un insider. Dans ce dernier cas, il s'agira d'un employé motivé par un gain financier ou soumis à des pressions externes. Le choix des scénarios dépend des objectifs de la simulation d'attaques et des vulnérabilités identifiées et vise à tester la capacité de l'organisation à détecter et à réagir face aux méthodes les plus réalistes et les plus menaçantes utilisées par les attaquants véritables. Il est fréquent de convenir, avec la rétime, de définir des flags c'est-à-dire des objectifs précis à atteindre. Dans le film Ocean's Eleven, par exemple, Le flag principal est l'accès à la salle des coffres. Dans le cadre d'un TLP, les flags représentent des objectifs techniques spécifiques, tels que devenir administrateur du domaine, ce qui revient à prendre le contrôle total du système d'information, un objectif souvent central. D'autres objectifs peuvent inclure l'exfiltration de grandes quantités de données sensibles. Dans le film, c'est la scène où les braqueurs ressortent avec leur butin, sans se faire inquiéter. Une fois les objectifs et la stratégie définis, la Red Team passe à l'action en lançant des attaques réelles contre le système d'information. Contrairement à un pentest classique, cette phase s'étend souvent sur une période bien plus longue. Au-delà de l'infiltration du système, un des objectifs principaux est de rester furtif. C'est pourquoi la Red Team s'efforce d'être aussi discret que possible pour ne pas être détecté par la Blue Team, c'est-à-dire les défenseurs. Il va sans dire qu'ils vont aussi éviter de casser quoi que ce soit dans le système d'information. Car dans le cas d'un crash suspicieux, il y aura forcément des investigations. Cela constitue une différence majeure par rapport aux pen-tests classiques. Généralement, les tests sont annoncés et les testeurs peuvent opérer sans se soucier de la discrétion. Il peut arriver que, malgré leurs efforts, la red team se trouve bloquée à un certain stade. Dans ce cas, la white team, responsable de la supervision du test, peut accorder un joker en fournissant un léger coup de pouce. L'objectif n'est pas de tricher, mais d'admettre que la posture de sécurité en place est solide et que progresser nécessite un temps bien plus long que prévu. En autorisant un joker, la White Team optimise le temps consacré au test tout en validant l'efficacité des protections existantes. La Red Team va progresser de plus en plus dans le système d'information pour atteindre les différents flags, jusqu'à ce qu'elles soient finalement détectées par la Blue Team. Ce moment marque le début d'une phase cruciale du test, la réaction de l'organisation en cas de compromission. Il s'agit d'évaluer concrètement comment l'organisation réagit après avoir découvert une intrusion. La Blue Team va alors tenter d'identifier ce qu'on appelle les IOC, ou Indicators of Compromissions. Ces indicateurs permettent de déterminer les chemins empruntés par les attaquants pour pénétrer le système. Dans le film Ocean's Eleven, Cela correspond au moment où les directeurs du casino découvrent que les images qu'ils voient sur les caramérats de surveillance sont en réalité des leurs. De la même manière, l'organisation doit être capable de reconnaître les signes d'une attaque, et cela pour comprendre comment elle a été menée et où l'intrusion s'est produite. Cette phase de réponse à l'incident est suivie de l'analyse des IOC et marque généralement la fin de la première phase de l'exercice. Elle permet d'évaluer non seulement la détection, mais aussi la capacité de l'organisation à réagir efficacement à une compromission réelle, renforçant ainsi sa posture de sécurité. A l'issue de cette première phase, la Blue Team est informée de l'exercice. Vient ensuite la phase de Purple Team. Le terme Purple symbolise la fusion des couleurs rouge, à Team, et bleu, Blue Team, marquant le moment où les deux équipes collaborent pour analyser ensemble les failles, les tactiques et les procédures utilisées lors de l'exercice. Cette collaboration permet une compréhension approfondie des vulnérabilités identifiées et des stratégies employées par la Red Team pour les exploiter. Et à partir de ces discussions, un plan de remédiation est élaboré pour renforcer la posture de cybersécurité et améliorer la résilience de l'organisation face aux cybermenaces. Ainsi, un TLPT diffère fondamentalement d'un pentest classique. La Red Team attaque l'organisation en utilisant tous les moyens à ses dispositions, sans se limiter aux failles non documentées. Contrairement aux pentests traditionnels, où il est souvent convenu de ne pas exploiter des vulnérabilités déjà connues par l'organisation, les TLTP visent à simuler une attaque aussi réaliste que possible, utilisant toutes les failles, qu'elles soient connues ou non. Certains d'entre vous qui travaillent dans le secteur financier ont peut-être déjà entendu parler du framework européen Tiber. Le framework Tiber-EU, développé par la Banque Centrale Européenne en 2018, est un cadre de référence européen destiné à renforcer la résilience cyber des institutions financières. Le nom Tiber signifie Threat Intelligence-Based Ethical Red Teaming, ce qui indique que le framework combine l'utilisation de renseignements sur les menaces, Threat Intelligence, avec des tests d'intrusion éthique, Red Teaming. L'objectif de Tiber EU est d'aider les institutions financières à évaluer leur capacité à résister aux cyberattaquants en simulant des menaces réalistes et sophistiquées. Le principal objectif de Tiber EU est de créer un standard harmonisé pour les tests de résilience dans le secteur financier au niveau européen. Ce framework permet aux banques et aux autres institutions financières de tester de manière réaliste leurs capacités de détection et de réponse face aux cybermenaces. Tiber EU repose sur plusieurs principes fondamentaux. Le framework exige l'utilisation de renseignements concrets et actualisés sur les cybermenaces auxquelles une organisation spécifique pourrait faire face. Ces renseignements permettent de concevoir des scénarios d'attaque réalistes et adaptés aux risques réels de l'organisation.
Et l'autre truc qui fait vraiment peur, c'est la manière dont on est surveillé et tout, traqué sur Internet, ça, ça fait flipper. Bon, moi, ça me fait pas trop peur. Enfin, si, j'ai peur que le gars qui soit payé à me surveiller se fasse bien chier. Il doit regarder ce que je fais et dire, ça fait 12 fois qu'il regarde la vidéo du Coréen qui joue la trompette avec son cul, je pense que c'est bon, là. Ce qui est magique avec Internet, c'est que je sais même pas s'il y a une vidéo d'un Coréen qui joue la trompette avec son cul, mais on est d'accord qu'il y a sûrement beaucoup de chances que ça existe. Ça me fait plaisir de savoir qu'il y a des gens ce soir qui vont aller vérifier si c'est vrai.
Contrairement au pen-test traditionnel, Tiber.eu couvre tous les aspects d'une cyberattaque, de la reconnaissance jusqu'à l'exfiltration des données, pour évaluer la capacité complète de défense de l'organisation. Seules quelques personnes clés au sein de l'organisation sont informées du test afin d'assurer un contexte réaliste et d'observer les réactions réelles des équipes de défense, la fameuse Blue Team. A la fin de chaque exercice, des discussions similaires à la phase de Purple Team permettent de créer un plan de remédiation pour corriger les failles détectées et renforcer les mesures de sécurité de l'institution. Tiber EU se décompose en plusieurs phases bien définies. D'abord la préparation. Cette étape initiale constitue à établir les paramètres du test, à obtenir l'approbation des autorités régulatrices et à sélectionner des prestataires qualifiés pour les renseignements sur les menaces et le red teaming. Ensuite vient la phase de renseignement sur les menaces, la fameuse Threats Intelligence. Une fois le cadre défini, l'étape suivante constitue à collecter des informations détaillées et à actualiser sur les menaces spécifiques auxquelles l'organisation est exposée. Ces informations permettent de définir un scénario d'attaque réaliste basé sur les TTP, techniques, tactiques et procédures, utilisés par le groupe de cybercriminels. Vient ensuite l'exécution du red teaming. La red team met en œuvre le scénario élaboré en tentant de compromettre les systèmes avec l'objectif d'atteindre les flags ou objectifs définis en amont, comme le ferait un véritable attaquant. Pendant cette phase, l'organisation est testée pour sa capacité de défense sans connaître précisément la nature de l'exercice pour simuler au mieux une attaque réelle. Ensuite vient la phase de remédiation et d'évaluation, la fameuse purple team. Après l'exercice, la Red Team et la Blue Team se réunissent pour analyser les résultats et les failles identifiées. C'est une phase d'échange qui permet de développer un plan d'action pour améliorer la posture de sécurité de l'institution et combler les lacunes détectées. Enfin, un rapport complet est élaboré pour documenter les résultats du test et les améliorations nécessaires. Ce rapport est généralement soumis au régulateur et peut servir de référence pour des outils futurs ou pour des tests de conformité. T'es belle, you ! présentent plusieurs avantages significatifs pour les institutions financières et leurs régulateurs. Tiber EU offre une norme européenne qui permet aux institutions financières de bénéficier de tests uniformes et comparables d'un pays à l'autre, facilitant ainsi la coopération et la compréhension des risques au niveau européen. Cela offre aussi une approche ciblée et contextuelle. Grâce aux renseignements basés sur les menaces, les tests sont pertinents et axés sur les risques réels auxquels chaque institution est confrontée. Il y a aussi le renforcement de la résilience. En permettant de détecter des failles et de simuler des attaques réelles, Tiber EU favorise une résilience accrue des institutions financières face aux cyberattaques. Cela permet aussi la collaboration avec les régulateurs. Tiber EU établit une passerelle entre les régulateurs et les institutions financières, ce qui favorise la transparence et la gestion proactive des risques. En somme, Tiber EU est un cadre stratégique et opérationnel qui permet aux institutions financières européennes de tester leur résilience aux cyberattaques dans des conditions réalistes et de manière structurée. En appliquant ce framework, les institutions bénéficient d'une vision claire de leur faiblesse, renforcent leur sécurité et contribuent à la stabilité du système financier européen. Mais vous allez me dire, quelle est la différence entre TELTP et Tiber EU ? En fait, il n'y a que quelques différences minimes entre les deux approches. Et le régulateur est en train de travailler sur ces différences pour faire un alignement parfait entre TLTP et Tiber. Pour finir, voilà une anecdote tirée du film qui illustre bien la réutilisation des concepts différents. Dans le film Ocean Eleven, Brad Pitt se fait passer pour un médecin. Et pour ne pas être reconnu, il porte une perruque. Cette perruque est en réalité la même que celle qu'utilisait Mike Myers dans le film Austin Powers. Ainsi, une même perruque apparaît dans deux films aux univers totalement distincts. Tout comme les tests TLTP et Tiber. Ce sont essentiellement les mêmes tests mais appliquées dans des contextes différents. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus sérieux que ça. Merci.
Description
Pour beaucoup DORA à introduit une nouvelle notion, le TLPT.
Mais quelle est la différence entre un Pentest traditionel, le TLTP et le TIBER-EU ?
Cet épisode est là pour clarifier ces concepts et mieux comprendre leurs rôles respectifs en cybersécurité.
What are the differences between DORA and TIBER-EU? - TIBER.info
TIBER-EU : What is TIBER-EU? (europa.eu)
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Ocean's Eleven est un film de braquage de casino sorti en 2001, réalisé par Steven Sodenberg. Il est en fait un remake d'un film homonyme de 1960 avec Frank Sinatra et les membres du Rat Pack. La version moderne est un mélange de suspense, d'action et de comédie, avec un casting impressionnant réunissant George Clooney, Brad Pitt, Matt Damon, Julia Horbax et bien d'autres acteurs talentueux. L'histoire suit Danny Ocean, récemment libéré de prison, qui a immédiatement un plan audacieux. organiser le vol simultané de trois des plus grands casinos de Las Vegas en une seule nuit. Ils recrutent alors une équipe d'experts, onze au total, d'où le titre du film, les Onze de Cheyenne, chacun avec des compétences uniques, pour réaliser ce braquage de haute précision. Leur objectif ? S'emparer des 150 millions de dollars des coffres des casinos gérés par le puissant Terry Benedict, qui est également le nouveau compagnon de son ex-femme Tess. Bien évidemment, je reviendrai à la fin de cet épisode avec une anecdote concernant ce film, mais avant tout, j'aimerais vous parler des braquages qu'on organise volontairement en cybersécurité, c'est-à-dire ce qu'on appelle souvent des red teams. Avec la réglementation DORA, le régulateur demande de faire des tests TLTP. TLTP pour Thread Lead Penetration Testing, ou tests de pénétration fondés sur les menaces en français. Mais quel est le but de ces tests ? Y a-t-il une différence entre les pen-tests que l'on fait habituellement ou d'autres tests comme par exemple les tests Tiber. Commençons par la différence entre un pentest classique et un test dit TLTP. Un test de pénétration ou pentest permet à une organisation d'évaluer les potentielles failles de sécurité de ses systèmes sur un périmètre défini dans un laps de temps relativement court. Ce type d'évaluation suit une méthodologie standardisée, visant à détecter les vulnérabilités techniques courantes en testant diverses composantes de l'infrastructure. tels que les serveurs, les bases de données ou les applications. L'objectif est de simuler des attaques pour identifier et corriger des vulnérabilités connues avant qu'un attaquant malveillant ne puisse les exploiter. Cependant, dans la majorité des cas, le périmètre de test est orienté par l'équipe commanditaire afin de se concentrer sur certains éléments techniques et en excluant d'autres. Cela permet de focaliser l'évaluation sur l'essentiel et d'éviter de retester des vulnérabilités déjà connues. ce qui n'apporterait que peu de valeur ajoutée à l'organisation. Lorsqu'une faille critique est découverte, le testeur informe immédiatement l'organisation, permettant ainsi la mise en place rapide des actions correctives nécessaires. Le rappeur de pentest est souvent discuté et challengé par les deux parties. En effet, au-delà des informations factuelles contenues dans le rapport, telles que les failles de sécurité et les méthodes d'exploitation, il est crucial de prendre en compte le contexte dans lequel évolue l'organisation. Dans la grande majorité des cas, la solution recommandée consiste à corriger la faille de sécurité identifiée. Néanmoins, la correction immédiate des vulnérabilités n'est pas toujours possible, malgré l'accord général sur l'importance de l'action. Cette situation peut être comparée aux déclarations d'intention, comme lorsqu'une personnalité exprime un souhait idéal, tel que la fin de la fin dans le monde par exemple ou l'arrêt des guerres. Tout le monde est d'accord sur le principe, mais la mise en œuvre est bien plus complexe. Il en va de même pour les failles de sécurité. Bien que la nécessité de les corriger soit souvent reconnue, des contraintes techniques, humaines ou financières peuvent retarder cette action. C'est dans cette situation que des discussions se mènent pour définir une approche de mitigation des risques, en attendant une correction définitive. Après le test initial, le pentester effectue fréquemment une série de tests de vérification, quelques semaines plus tard, pour confirmer que les vulnérabilités identifiées ont bien été corrigées. En résumé, un pentest est une action menée dans un cadre défini et contraint. sur un périmètre précis, avec des interactions constantes entre l'équipe des testeurs et l'organisation testée. Cette collaboration continue permet de s'assurer que les failles d'identifier sont bien comprises, adressées et autant que possible résolues dans un délai optimal. Pourquoi les TLTP ne se distinguent-ils pas fondamentalement des tests traditionnels ? Pour comprendre ce qu'est un TLTP, on peut faire une analogie avec le film Ocean Eleven. Dans ce film, l'équipe de 11 membres est composée de spécialistes. Chacun possède une compétence unique et indispensable pour réussir le braquage sans être détecté par la sécurité. Certains membres sont experts en explosifs, d'autres sont des pickpockets chevronnés. Toutes ces compétences se combinent pour atteindre un objectif commun, réussir l'opération sans éveiller de soupçons.
Bon, on est d'accord, pas de prénom, que des noms d'animaux, on se connaît pas. Toi tu seras Renard, toi Ours, toi Écureuil.
Je peux être un Faucon ? Un Dauphin moi. Panthère ?
Ouais non mais c'est russe.
Un Ours c'est bien, c'est bien un Ours.
Bon, ta gueule ! Je vous ai recruté parce qu'on m'a dit que vous étiez les meilleurs. J'espère pour vous que c'est pas des conneries. Tu vas voir que c'est pas des conneries.
C'est quoi la mission ?
Bah oui, parce qu'au final j'ai pas eu le temps de vous le dire.
Ouais mais nous on est des mecs d'action.
Ta gueule ! La mission c'est de braquer la putain de banque.
Le TLTP partage cet esprit. Il s'agit de mener un test d'intrusion où seule une minorité de personnes au sein de l'organisation est informée. et ces derniers sont tenus à la plus stricte confidentialité. Ce groupe de personnes est appelé la White Team. Leur rôle est de monitorer l'avancement de l'exercice et le cas échéant, prendre certaines décisions. L'objectif est de simuler une attaque réelle en utilisant tous les moyens possibles, comme le ferait un attaquant dans un contexte de menace réelle. Comme tous les bons braquages, tout commence par une observation minutieuse de la cible. Cette tâche est généralement confiée à une équipe spécialisée en OSINT, OSINT pour Open Source Intelligence. Renseignements à source ouverte, c'est-à-dire la collecte d'informations disponibles publiquement sur Internet. Cette équipe recherche toutes les informations exploitables, les profils d'Inkédin dévoilant des technologies utilisées par l'organisation, jusqu'aux employés affichant un statut open to work indiquant qu'ils sont ouverts à de nouvelles opportunités. Et là, le social engineering peut avoir beaucoup d'intérêt, car ces individus sont potentiellement plus enclins à dialoguer avec des inconnus, comme des recruteurs par exemple, et peuvent, sans le savoir, révéler des informations sensibles lors d'un entretien d'embauche. De plus, certaines informations peuvent être extraites en offrant des incitations à des stagiaires, en leur demandant de rédiger des rapports rémunérés sur l'entreprise qui les accueille. Une fois cette étape franchie, la RETIM, les assaillants, met en place un scénario en s'appuyant sur des techniques, tactiques et procédures d'un groupe d'attaquants déjà connu. Ces TTP, ces techniques tactiques et procédures, qui représentent l'ensemble des méthodes employées par les cybercriminels, sont bien documentés dans des frameworks comme MitreAttack, qui recensent les TTP de la majorité des groupes d'attaquants identifiés. En général, la RETIM sélectionne un ou deux scénarios d'attaque. Par exemple, lancer une campagne de phishing ciblée, puisant les personnes identifiées lors des phases de reconnaissance précédentes. Le scénario peut prendre en compte aussi une entité compromise, obtenue soit indirectement, comme des identifiants compromis ou trouvés sur le dark web, soit directement en impliquant un insider. Dans ce dernier cas, il s'agira d'un employé motivé par un gain financier ou soumis à des pressions externes. Le choix des scénarios dépend des objectifs de la simulation d'attaques et des vulnérabilités identifiées et vise à tester la capacité de l'organisation à détecter et à réagir face aux méthodes les plus réalistes et les plus menaçantes utilisées par les attaquants véritables. Il est fréquent de convenir, avec la rétime, de définir des flags c'est-à-dire des objectifs précis à atteindre. Dans le film Ocean's Eleven, par exemple, Le flag principal est l'accès à la salle des coffres. Dans le cadre d'un TLP, les flags représentent des objectifs techniques spécifiques, tels que devenir administrateur du domaine, ce qui revient à prendre le contrôle total du système d'information, un objectif souvent central. D'autres objectifs peuvent inclure l'exfiltration de grandes quantités de données sensibles. Dans le film, c'est la scène où les braqueurs ressortent avec leur butin, sans se faire inquiéter. Une fois les objectifs et la stratégie définis, la Red Team passe à l'action en lançant des attaques réelles contre le système d'information. Contrairement à un pentest classique, cette phase s'étend souvent sur une période bien plus longue. Au-delà de l'infiltration du système, un des objectifs principaux est de rester furtif. C'est pourquoi la Red Team s'efforce d'être aussi discret que possible pour ne pas être détecté par la Blue Team, c'est-à-dire les défenseurs. Il va sans dire qu'ils vont aussi éviter de casser quoi que ce soit dans le système d'information. Car dans le cas d'un crash suspicieux, il y aura forcément des investigations. Cela constitue une différence majeure par rapport aux pen-tests classiques. Généralement, les tests sont annoncés et les testeurs peuvent opérer sans se soucier de la discrétion. Il peut arriver que, malgré leurs efforts, la red team se trouve bloquée à un certain stade. Dans ce cas, la white team, responsable de la supervision du test, peut accorder un joker en fournissant un léger coup de pouce. L'objectif n'est pas de tricher, mais d'admettre que la posture de sécurité en place est solide et que progresser nécessite un temps bien plus long que prévu. En autorisant un joker, la White Team optimise le temps consacré au test tout en validant l'efficacité des protections existantes. La Red Team va progresser de plus en plus dans le système d'information pour atteindre les différents flags, jusqu'à ce qu'elles soient finalement détectées par la Blue Team. Ce moment marque le début d'une phase cruciale du test, la réaction de l'organisation en cas de compromission. Il s'agit d'évaluer concrètement comment l'organisation réagit après avoir découvert une intrusion. La Blue Team va alors tenter d'identifier ce qu'on appelle les IOC, ou Indicators of Compromissions. Ces indicateurs permettent de déterminer les chemins empruntés par les attaquants pour pénétrer le système. Dans le film Ocean's Eleven, Cela correspond au moment où les directeurs du casino découvrent que les images qu'ils voient sur les caramérats de surveillance sont en réalité des leurs. De la même manière, l'organisation doit être capable de reconnaître les signes d'une attaque, et cela pour comprendre comment elle a été menée et où l'intrusion s'est produite. Cette phase de réponse à l'incident est suivie de l'analyse des IOC et marque généralement la fin de la première phase de l'exercice. Elle permet d'évaluer non seulement la détection, mais aussi la capacité de l'organisation à réagir efficacement à une compromission réelle, renforçant ainsi sa posture de sécurité. A l'issue de cette première phase, la Blue Team est informée de l'exercice. Vient ensuite la phase de Purple Team. Le terme Purple symbolise la fusion des couleurs rouge, à Team, et bleu, Blue Team, marquant le moment où les deux équipes collaborent pour analyser ensemble les failles, les tactiques et les procédures utilisées lors de l'exercice. Cette collaboration permet une compréhension approfondie des vulnérabilités identifiées et des stratégies employées par la Red Team pour les exploiter. Et à partir de ces discussions, un plan de remédiation est élaboré pour renforcer la posture de cybersécurité et améliorer la résilience de l'organisation face aux cybermenaces. Ainsi, un TLPT diffère fondamentalement d'un pentest classique. La Red Team attaque l'organisation en utilisant tous les moyens à ses dispositions, sans se limiter aux failles non documentées. Contrairement aux pentests traditionnels, où il est souvent convenu de ne pas exploiter des vulnérabilités déjà connues par l'organisation, les TLTP visent à simuler une attaque aussi réaliste que possible, utilisant toutes les failles, qu'elles soient connues ou non. Certains d'entre vous qui travaillent dans le secteur financier ont peut-être déjà entendu parler du framework européen Tiber. Le framework Tiber-EU, développé par la Banque Centrale Européenne en 2018, est un cadre de référence européen destiné à renforcer la résilience cyber des institutions financières. Le nom Tiber signifie Threat Intelligence-Based Ethical Red Teaming, ce qui indique que le framework combine l'utilisation de renseignements sur les menaces, Threat Intelligence, avec des tests d'intrusion éthique, Red Teaming. L'objectif de Tiber EU est d'aider les institutions financières à évaluer leur capacité à résister aux cyberattaquants en simulant des menaces réalistes et sophistiquées. Le principal objectif de Tiber EU est de créer un standard harmonisé pour les tests de résilience dans le secteur financier au niveau européen. Ce framework permet aux banques et aux autres institutions financières de tester de manière réaliste leurs capacités de détection et de réponse face aux cybermenaces. Tiber EU repose sur plusieurs principes fondamentaux. Le framework exige l'utilisation de renseignements concrets et actualisés sur les cybermenaces auxquelles une organisation spécifique pourrait faire face. Ces renseignements permettent de concevoir des scénarios d'attaque réalistes et adaptés aux risques réels de l'organisation.
Et l'autre truc qui fait vraiment peur, c'est la manière dont on est surveillé et tout, traqué sur Internet, ça, ça fait flipper. Bon, moi, ça me fait pas trop peur. Enfin, si, j'ai peur que le gars qui soit payé à me surveiller se fasse bien chier. Il doit regarder ce que je fais et dire, ça fait 12 fois qu'il regarde la vidéo du Coréen qui joue la trompette avec son cul, je pense que c'est bon, là. Ce qui est magique avec Internet, c'est que je sais même pas s'il y a une vidéo d'un Coréen qui joue la trompette avec son cul, mais on est d'accord qu'il y a sûrement beaucoup de chances que ça existe. Ça me fait plaisir de savoir qu'il y a des gens ce soir qui vont aller vérifier si c'est vrai.
Contrairement au pen-test traditionnel, Tiber.eu couvre tous les aspects d'une cyberattaque, de la reconnaissance jusqu'à l'exfiltration des données, pour évaluer la capacité complète de défense de l'organisation. Seules quelques personnes clés au sein de l'organisation sont informées du test afin d'assurer un contexte réaliste et d'observer les réactions réelles des équipes de défense, la fameuse Blue Team. A la fin de chaque exercice, des discussions similaires à la phase de Purple Team permettent de créer un plan de remédiation pour corriger les failles détectées et renforcer les mesures de sécurité de l'institution. Tiber EU se décompose en plusieurs phases bien définies. D'abord la préparation. Cette étape initiale constitue à établir les paramètres du test, à obtenir l'approbation des autorités régulatrices et à sélectionner des prestataires qualifiés pour les renseignements sur les menaces et le red teaming. Ensuite vient la phase de renseignement sur les menaces, la fameuse Threats Intelligence. Une fois le cadre défini, l'étape suivante constitue à collecter des informations détaillées et à actualiser sur les menaces spécifiques auxquelles l'organisation est exposée. Ces informations permettent de définir un scénario d'attaque réaliste basé sur les TTP, techniques, tactiques et procédures, utilisés par le groupe de cybercriminels. Vient ensuite l'exécution du red teaming. La red team met en œuvre le scénario élaboré en tentant de compromettre les systèmes avec l'objectif d'atteindre les flags ou objectifs définis en amont, comme le ferait un véritable attaquant. Pendant cette phase, l'organisation est testée pour sa capacité de défense sans connaître précisément la nature de l'exercice pour simuler au mieux une attaque réelle. Ensuite vient la phase de remédiation et d'évaluation, la fameuse purple team. Après l'exercice, la Red Team et la Blue Team se réunissent pour analyser les résultats et les failles identifiées. C'est une phase d'échange qui permet de développer un plan d'action pour améliorer la posture de sécurité de l'institution et combler les lacunes détectées. Enfin, un rapport complet est élaboré pour documenter les résultats du test et les améliorations nécessaires. Ce rapport est généralement soumis au régulateur et peut servir de référence pour des outils futurs ou pour des tests de conformité. T'es belle, you ! présentent plusieurs avantages significatifs pour les institutions financières et leurs régulateurs. Tiber EU offre une norme européenne qui permet aux institutions financières de bénéficier de tests uniformes et comparables d'un pays à l'autre, facilitant ainsi la coopération et la compréhension des risques au niveau européen. Cela offre aussi une approche ciblée et contextuelle. Grâce aux renseignements basés sur les menaces, les tests sont pertinents et axés sur les risques réels auxquels chaque institution est confrontée. Il y a aussi le renforcement de la résilience. En permettant de détecter des failles et de simuler des attaques réelles, Tiber EU favorise une résilience accrue des institutions financières face aux cyberattaques. Cela permet aussi la collaboration avec les régulateurs. Tiber EU établit une passerelle entre les régulateurs et les institutions financières, ce qui favorise la transparence et la gestion proactive des risques. En somme, Tiber EU est un cadre stratégique et opérationnel qui permet aux institutions financières européennes de tester leur résilience aux cyberattaques dans des conditions réalistes et de manière structurée. En appliquant ce framework, les institutions bénéficient d'une vision claire de leur faiblesse, renforcent leur sécurité et contribuent à la stabilité du système financier européen. Mais vous allez me dire, quelle est la différence entre TELTP et Tiber EU ? En fait, il n'y a que quelques différences minimes entre les deux approches. Et le régulateur est en train de travailler sur ces différences pour faire un alignement parfait entre TLTP et Tiber. Pour finir, voilà une anecdote tirée du film qui illustre bien la réutilisation des concepts différents. Dans le film Ocean Eleven, Brad Pitt se fait passer pour un médecin. Et pour ne pas être reconnu, il porte une perruque. Cette perruque est en réalité la même que celle qu'utilisait Mike Myers dans le film Austin Powers. Ainsi, une même perruque apparaît dans deux films aux univers totalement distincts. Tout comme les tests TLTP et Tiber. Ce sont essentiellement les mêmes tests mais appliquées dans des contextes différents. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus sérieux que ça. Merci.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)