TLPT / TIBER : transformer les exigences DORA en levier de résilience cyber

Avec l’entrée en application de DORA, les Threat-Led Penetration Tests (TLPT) s’inscrivent désormais parmi les exercices attendus pour les entités financières désignées comme critiques.

Bien plus qu’un simple test d’intrusion, un exercice TIBER (et, plus largement, les démarches TLPT) permet de produire des attaques réalistes, fondées sur le renseignement sur la menace, afin d’évaluer la capacité de détection, réponse et résilience sur un périmètre réellement critique.

Fort de son expérience sur des exercices TIBER (FR, BE, LU et EU), Intrinsec peut intervenir sur ce type de mission — dans le cadre d’un TLPT DORA ou via un exercice inspiré du framework TIBER — que ce soit pour la Threat Intelligence, l’exécution Red Team, ou l’accompagnement à la préparation de l’exercice.

1) TLPT / TIBER : de quoi parle-t-on ?

Un exercice TLPT / TIBER est un exercice Red Team piloté par le renseignement sur la menace (CTI) : les scénarios, objectifs et modes opératoires sont construits à partir de tactiques et techniques d’attaquants réels observés dans votre secteur, adaptés à votre contexte.

Contrairement à un pentest, un exercice TIBER est “threat-led” et orienté scénario : il s’appuie sur des menaces réelles susceptibles de cibler votre organisation pour simuler un attaquant réaliste et un chemin d’attaque de bout en bout vers des actifs critiques, dans un cadre fortement gouverné.

Il permet de tester toute la chaîne d’attaque, dans un cadre strictement maîtrisé :

• RECON : collecte et préparation (OSINT, empreinte externe, relations de confiance, tiers)
• IN : accès initial (identifiants, ingénierie sociale, exploitation, intrusion physique, etc.)
• THROUGH : progression contrôlée (mouvement latéral, élévation de privilèges, contournements)
• OUT : atteinte d’objectifs réalistes (exfiltration d’un flag, compromission d’un service critique, simulation d’impact)

Ce que l’exercice permet de mesurer

• La capacité du SOC/CSIRT à détecter, qualifier et répondre à une attaque discrète et prolongée
• La résilience des chaînes applicatives et processus métiers critiques en conditions réalistes
• Les faiblesses techniques, organisationnelles et humaines exploitables par un adversaire avancé

2) DORA : quelles implications pour les exercices “threat-led” ?

DORA renforce les exigences de tests de résilience opérationnelle numérique, et prévoit des exercices avancés de type TLPT pour certaines entités désignées, avec des attentes fortes en matière de réalisme, gouvernance et documentation.

Dans un cadre régulé, il est essentiel que l’exercice soit mené dans le respect du framework applicable : cela permet aux autorités compétentes de délivrer l’attestation, et d’assurer que l’exercice est correctement cadré, maîtrisé et documenté.

Les exercices TLPT intègrent également des phases de clôture structurantes :

• Un replay workshop, permettant de rejouer certaines actions réalisées pendant l’exercice afin de comprendre, lors d’échanges entre Red Team et Blue Team, pourquoi certaines actions n’ont pas été détectées et d’en tirer des actions concrètes (amélioration de la collecte, ajustement de règles/use cases de détection, etc.) ;
• Une phase de Purple Team, pour approfondir et compléter l’exercice (par exemple en testant des séquences qui n’ont pas pu être jouées pendant la phase Red Team, ou en impliquant davantage les équipes métiers).

Ces phases favorisent une démarche d’amélioration continue et encouragent à aller au bout des scénarios.

À retenir

• Les modalités peuvent varier selon les autorités compétentes et la déclinaison locale
• L’approche TIBER constitue une référence opérationnelle reconnue pour ce type d’exercices

3) L’approche Intrinsec : CTI & Red Team dédiées, distinctes et coordonnées

Nos exercices reposent sur deux équipes distinctes et dédiées à ces activités :

• Une équipe CTI (Cyber Threat Intelligence), chargée de produire le renseignement, de qualifier les scénarios et d’orienter l’exercice selon la menace réelle ;
• Une équipe Red Team dédiée, chargée de l’exécution opérationnelle de bout en bout (RECON → IN → THROUGH → OUT), dans le respect des règles d’engagement définies. Elle dispose en outre d’une forte expérience dans le contournement des mécanismes de détection et le travail en Purple Team avec les Blue Teams (qu’il s’agisse de notre SOC ou de dispositifs SOC/CSIRT externes) afin de transformer les constats en améliorations concrètes.

Cette séparation permet de respecter l’esprit “threat-led” : le renseignement pilote l’attaque, et l’attaque produit des enseignements concrets et actionnables.

4) Nos conseils pour se préparer à un exercice DORA TLPT

• Control Team (White Team) / équipe de pilotage : à rendre disponible sur toute la durée de l’exercice (le framework impose de nombreux points de suivi, typiquement une réunion quotidienne pendant la phase Red Team), avec des profils ayant une bonne connaissance du SI (notamment pour confirmer l’atteinte des flags), capables d’anticiper et d’obtenir des “leg-ups” si nécessaire, tout en préservant la confidentialité de l’exercice.
• Objectifs (“flags”) : à définir en cohérence avec les fonctions critiques.
• “Leg-ups” : à anticiper et être en mesure de les fournir rapidement, tout en maintenant la confidentialité de l’exercice.
• Préparation en amont : cadrage, règles d’engagement, conditions d’arrêt, gestion du risque, disponibilité des parties prenantes.
• S’appuyer sur une expertise éprouvée sur ces exercices : le pilotage d’un TLPT requiert une expérience spécifique pour répondre aux exigences du régulateur — à la fois sur la CTI, l’exécution Red Team et la conduite d’exercice — tout en maintenant un niveau de risque maîtrisé.

---

Vous souhaitez vous préparer à un TLPT (dans un cadre DORA ou via une démarche TIBER/TIBER-like), ou obtenir des renseignements sur nos offres CTI et Red Team ?

Organisons un échange avec nos experts CTI / Red Team pour qualifier votre contexte, vos objectifs et le format le plus adapté.