Adoptée par l'Union Européenne en décembre 2022, DORA (Digital Operational Resilience Act) est une réglementation sur la résilience opérationnelle numérique du secteur financier.
Cette article a pour objectif de vous présenter les grandes lignes de cette réglementation qui rentrera en vigueur le 17 janvier 2025.
Qui doit se conformer à la réglementation DORA ?
La réglementation sur la résilience opérationnelle (DORA) définit dans son Article 2, les 21 types de corps de métier de la finance devant s'y conformer :
- Les établissements de crédit ;
- Les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
- Les prestataires de services d’information sur les comptes ;
- Les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE ;
- Les entreprises d’investissement ;
- Les prestataires de services sur crypto-actifs agréés en vertu du règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs, et modifiant les règlements (UE) n° 1093/2010 et (UE) n° 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (ci-après dénommé «règlement sur les marchés de crypto-actifs») et les émetteurs de jetons se référant à un ou des actifs ;
- Les dépositaires centraux de titres ;
- Les contreparties centrales ;
- Les plates-formes de négociation ;
- Les référentiels centraux ;
- Les gestionnaires de fonds d’investissement alternatifs ;
- Les sociétés de gestion;
- Les prestataires de services de communication de données ;
- Les entreprises d’assurance et de réassurance ;
- Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance
à titre accessoire ; - Les institutions de retraite professionnelle ;
- Les agences de notation de crédit ;
- Les administrateurs d’indices de référence d’importance critique ;
- Les prestataires de services de financement participatif ;
- Les référentiels des titrisations ;
- Les prestataires tiers de services TIC.
Qu'impose la réglementation DORA à ces entités ?
La réglementation DORA impose aux entreprises de ces 21 corps de métier de réaliser régulièrement des tests de type Threat-Led Penetration Test (TLPT). Cette prestation doit permettre de mesurer la résilience de l'entreprise face à un attaquant avancé en permettant à une équipe de test de mener des actions en se basant sur les Tactiques,Techniques et Procédures (TTP) d'un Advanced Persistent Threat (APT).
L'article 26 de la réglementation définit les conditions nécessaires à la réalisation d'un TLPT :
- Le test doit couvrir plusieurs ou toutes les fonctions importantes ou critiques de l'entité financière ;
- Le périmètre est défini par l'audité mais doit être approuvé par les autorités compétentes. Si des fournisseurs tiers de service de Technologies d'Information et de Communication (TIC) sont inclus dans le périmètre, l'audité doit prendre les mesures et garanties nécessaires pour assurer la participation du prestataire de services concerné ;
- Le test doit porter sur les systèmes en production ;
- Le test doit être réalisé au minimum tous les 3 ans (dépendamment de la sensibilité de l'entité les autorités compétentes peuvent réduire ce délai) ;
- Au terme du test, l'entité financière doit fournir aux autorités compétentes un résumé des découvertes identifiées durant le test, le plan d'action de remédiation et la documentation démontrant que le test a été réalisé en suivant les critères de la réglementation.
Quel est le détail technique d'un Threat-Led Penetration Test (TLPT) ?
Bien que la réglementation DORA ne fournisse pas de détails techniques concernant la réalisation d'un TLPT, un framework européen a été dessiné afin de permettre la réalisation des tests: TIBER-EU. TIBER-EU est l'acronyme de Threat Intelligence-Based Ethical Red-Teaming. Ce framework européen a pu être adapté par chaque pays. Il est alors possible de retrouver le framework TIBER-BE pour la Belgique, TIBER-DK pour le Danemark, TIBER-DE pour l'Allemagne et donc TIBER-FR pour la France détaillé par la Banque de France.
Les acteurs d'un TLPT
TIBER-FR définit 6 acteurs qui interviennent au cours de la prestation.
L'audité
L'audité est l'entité subissant le test. Il est le propriétaire du test suivant le TIBER-FR. Le TIBER-FR nécessite des ressources humaines et financières fournies par l'audité.
TIBER Cyber Team (TCT-FR) & Team Test Manager (TTM)
Le TCT-FR assure que le test est réalisé en accordance avec le guide d'implémentation du TIBER-FR. Le TTM, quant à lui, est le point de contact principal entre l'audité et collabore étroitement avec le responsable de la White Team au cours du test.
White Team (WT) & WhiteTeam Leader (WTL)
L'audité crée une White Team, dirigée par le White Team Leader, qui est chargé de mener le test de bout en bout et de veiller à ce que tous les contrôles de gestion des risques soient mis en place pour faciliter un test contrôlé.
Prestataire de Threat Intelligence (TI)
Le prestataire externe chargé de définir des scénarios de menace visant à reproduire les attaques d'acteurs potentiels contre les systèmes réels qui sous-tendent les fonctions critiques de l'audité. Cette équipe fournit alors :
- Les détails techniques des attaques (indicateurs de compromission, c'est à dire le "quoi", le"quand" et le "où") ;
- Les TTPs derrière l'attaque (les modus operandi, le "comment") ;
- Les détails sur les attaquants eux-mêmes ainsi que leurs motivations (le qui et le pourquoi).
Prestataire Red Team (RT)
Le prestataire externe chargé de simuler une attaque réelle et réaliste sur les systèmes actifs de l'audité sur la base des scénarios de menace définis par l'équipe TI. Cette équipe réalise les attaques définies par l'équipe TI et détaillées dans le Plan de Test RedTeam. Un rapport de test Red Team découle alors de la réalisation de ces scénarios.
Le schéma suivant permet de récapituler le rôle de chaque acteur :
Le déroulé d'un TLPT
Le framework propose un TLPT réalisé durant 34 à 42 semaines et s'articule autour de 4 phases :
- La phase de préparation ;
- La phase de Threat-Intelligence ;
- La phase de Red-Team ;
- La phase de clôture.
La phase de préparation (entre 12 et 14 semaines)
Durant la phase de préparation, le test TIBER-FR est formellement lancé. Le périmètre est établi et les prestataires Threat-Intelligence et Red-Team sont choisis. La durée de la phase de préparation dépend principalement de la durée de passation de marché et peut varier d'une entité testée à l'autre.
La phase de Threat Intelligence (de 4 à 6 semaines)
Le prestataire de Threat Intelligence prépare un rapport de Threat Intelligence. Ciblée sur l'entité, ce rapport dresse par la suite les scénarios de menace pour le test TIBER.
Durant cette phase, l'équipe Threat Intelligence passe par les 4 étapes suivantes :
La phase de Red Teaming (de 12 à 14 semaines)
L'équipe Red Team s'appuie sur le travail réalisé par l'équipe Threat Intelligence et le rapport produit. Elle exécute par la suite les scénarios proposés et ainsi documentés. Ces tests ciblent les processus, systèmes en production et personnels de l'audité. A la fin de la réalisation des scénarios, l'équipe Red Team produit un rapport de Red Teaming présentant la chronologie détaillée en incluant les différents TTPs ainsi qu'une description des mesures à prendre en cas d'exploitation.
La phase de clôture (de 4 à 8 semaines)
Au cours de cette phase, des ateliers sont organisés et des rapports sont rédigés par les différents participants au test. L'objectif de la phase de clôture est d'effectuer un retour sur expérience pour l'ensemble de la mission TIBER-FR et ses résultats, d'élaborer un plan de remédiation et de fournir un retour d'information sur les performances de toutes les parties impliquées dans la mission.
Votre organisation est concernée par cette réglementation et vous souhaitez être accompagné(e) sur les Threat-Led Penetration Test (TLPT) ? Contactez-nous.