TLPT Threat-Led Penetration Testing.

Le TLPT est l'exercice red team supervisé par le régulateur, imposé par DORA aux entités financières significatives. Fondé sur le cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Exercice de plusieurs mois, piloté par le renseignement sur les menaces, supervisé par l'autorité nationale. Le test le plus exigeant qu'un CISO aura à affronter, et celui qui révèle ce que le SOC est vraiment.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La vision de Cyber Academy

Le TLPT est l'exercice red team supervisé par le régulateur, imposé par DORA aux entités financières significatives. Fondé sur le cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Exercice de plusieurs mois, piloté par le renseignement sur les menaces, supervisé par l'autorité nationale. Le test le plus exigeant qu'un CISO aura à affronter, et celui qui révèle ce que le SOC est vraiment.

Ce qu'est réellement le test d'intrusion fondé sur la menace

Le test d'intrusion fondé sur la menace est un exercice de red team contrôlé mené contre une organisation en pleine production, piloté par du renseignement sur la menace réel et supervisé par une autorité financière. Le Digital Operational Resilience Act, DORA, en fait une obligation périodique pour les entités financières qu'un régulateur juge suffisamment significatives pour le justifier, et l'exercice s'appuie sur TIBER-EU, le cadre publié par la Banque centrale européenne pour le Threat Intelligence-Based Ethical Red Teaming.

Le mot déterminant est fondé : le test n'est pas une liste générique de vulnérabilités, mais une campagne façonnée par l'identité réaliste de qui attaquerait cette entreprise et par quels moyens. Un fournisseur de renseignement sur la menace dresse le profil de l'entité, identifie les adversaires plausibles et leurs méthodes, et remet à la red team un ensemble de scénarios. La red team tente ensuite de compromettre des fonctions critiques en production à l'aide de ces scénarios, exactement comme le ferait un attaquant réel.

Deux propriétés distinguent le TLPT du test d'intrusion ordinaire. Premièrement, il cible le parc en production réelle ainsi que les personnes et les processus qui l'entourent, et non une copie ou un périmètre restreint, ce qui explique qu'il soit conduit sous des règles strictes et par une petite équipe de contrôle de confiance. Deuxièmement, il est supervisé. L'autorité nationale compétente et, le cas échéant, une équipe TIBER dédiée participent à la mission, en validant le périmètre, en accréditant les testeurs et en supervisant la manière dont l'exercice est conduit. C'est cette supervision qui rend le résultat crédible aux yeux d'un régulateur et non seulement de l'entreprise qui l'a commandité.

Comment se déroule une mission TLPT

Un TLPT est un programme s'étalant sur plusieurs mois, et non une évaluation d'une semaine, et il se déroule selon des phases définies que le cadre TIBER-EU expose. Dans la phase de préparation, l'entité, l'équipe de contrôle et l'autorité conviennent du périmètre, confirment quelles fonctions critiques entrent en jeu et engagent des fournisseurs accrédités de renseignement sur la menace et de red team.

Dans la phase de test, le fournisseur de renseignement produit un rapport de ciblage sur l'entité, et la red team s'en sert pour exécuter des scénarios d'attaque réalistes contre les fonctions en production, souvent sur de nombreuses semaines, en tentant d'atteindre des objectifs définis sans être arrêtée. Dans la phase de clôture, la red team, la blue team et l'équipe de contrôle se réunissent pour reconstituer ce qui s'est passé, valider les constats et bâtir un plan de remédiation.

Le détail crucial est que presque personne au sein de l'organisation ne sait que le test a lieu. Les défenseurs, le centre opérationnel de sécurité et les répondants à incident ne sont pas prévenus, car tout l'enjeu consiste à observer comment ils se comportent face à une véritable intrusion plutôt qu'à un exercice planifié. Seule une infime équipe de contrôle est au courant. C'est ce qui fait du TLPT la mesure la plus honnête de la résilience opérationnelle qu'un RSSI puisse commander, et celle qui révèle le plus sûrement l'écart entre ce que le SOC est censé faire et ce qu'il détecte réellement sous pression.

TLPT, TIBER-EU et test d'intrusion ordinaire

Où se situe le TLPT par rapport aux exercices voisins
DimensionTest d'intrusion standardTest d'intrusion fondé sur la menace (TLPT)
MoteurPérimètre prédéfini et liste de contrôle du testeurRenseignement sur la menace sur mesure, propre à l'entité concernée
CibleSouvent une copie de préproduction ou une application au périmètre restreintFonctions critiques en production réelle et les personnes qui les entourent
Connaissance par les défenseursGénéralement informés, parfois en appuiNon informés, seule une petite équipe de contrôle sait
DuréeDe quelques jours à quelques semainesPlusieurs mois répartis sur des phases définies
SupervisionInterne, commandité par l'entrepriseSupervisé par l'autorité nationale selon TIBER-EU
DéclencheurDiscrétionnaire ou contractuelUne obligation DORA pour les entités significatives désignées

Il est utile de garder claire la relation entre ces termes. TIBER-EU est le cadre, la méthodologie et les phases. Le TLPT est l'obligation réglementaire au titre de DORA qui adopte et référence ce cadre pour les entités financières concernées. Le test d'intrusion standard reste une activité précieuse et bien plus fréquente, mais il répond à une question plus étroite : existe-t-il des faiblesses exploitables dans ce système.

Un TLPT répond à une question plus difficile : si un adversaire réaliste s'en prenait aujourd'hui à nos fonctions les plus importantes, le remarquerions-nous seulement, et saurions-nous y répondre. Les deux sont complémentaires, et une organisation qui s'attend à un TLPT ne cesse pas de mener des tests ordinaires : elle s'en sert pour combler les lacunes évidentes afin que l'exercice fondé sur la menace puisse sonder les plus subtiles.

Ce que les praticiens font réellement pour se préparer relève rarement de l'achat d'un outil supplémentaire. Ils construisent un inventaire exact des fonctions critiques et des systèmes qui les soutiennent, afin que le périmètre puisse être convenu honnêtement. Ils s'assurent que les cas d'usage de détection sont réglés et que le SOC a répété l'escalade face à des scénarios réalistes plutôt qu'à des exercices sur table.

Ils confirment la structure de l'équipe de contrôle et les validations juridiques et de risque nécessaires pour mener en toute sécurité une intrusion contre la production. Et ils traitent les constats comme une donnée d'entrée pour la résilience opérationnelle et la planification de la continuité, car sous DORA la remédiation n'est pas un rapport privé : c'est une preuve dont le régulateur attend qu'elle donne lieu à des actions.

Frequently asked questions

01Quelle est la différence entre un TLPT et un test d'intrusion classique ?

Un test d'intrusion standard opère selon un périmètre prédéfini, souvent contre un système de préproduction, les défenseurs étant généralement avertis. Un TLPT est piloté par du renseignement sur la menace sur mesure, s'exécute contre des fonctions critiques en production réelle sur plusieurs mois, maintient les défenseurs dans l'ignorance et est supervisé par une autorité financière. Il teste la détection et la réponse, et non seulement les vulnérabilités.

02Qui doit réaliser un TLPT au titre de DORA ?

DORA l'exige des entités financières qu'une autorité nationale désigne comme suffisamment significatives pour justifier des tests avancés, sur la base de leur profil de risque et de leur importance systémique. Les entités plus petites restent soumises à des tests de résilience opérationnelle numérique proportionnés, mais l'exercice complet fondé sur la menace est réservé à celles que le régulateur identifie.

03Quelle est la relation entre le TLPT et TIBER-EU ?

TIBER-EU est le cadre de la Banque centrale européenne qui définit la méthodologie, les phases et les rôles du red teaming fondé sur le renseignement. Le TLPT est l'obligation DORA qui adopte ce cadre. En pratique, un TLPT au titre de DORA est conduit selon les principes de TIBER-EU et supervisé par l'autorité compétente.

04Pourquoi ne dit-on pas aux défenseurs qu'un TLPT a lieu ?

L'objectif est de mesurer la détection et la réponse réelles, et non un exercice planifié. Si le SOC le savait, il guetterait le test et le résultat n'aurait aucun sens. Seule une petite équipe de contrôle de confiance est au courant, de sorte que l'exercice reflète la manière dont l'organisation se comporte réellement lors d'une intrusion en conditions réelles.

05Combien de temps dure un TLPT ?

C'est un programme de plusieurs mois plutôt qu'une évaluation courte, couvrant les phases de préparation, de test et de clôture de TIBER-EU. Le travail de renseignement sur la menace, la campagne de red team contre les fonctions en production et la reconstitution conjointe avec la blue team prennent chacun un temps réel, totalisant souvent plusieurs mois de bout en bout.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.