Article 11 Phase de test: test de l’équipe rouge

Summary What does Article 11 of the RTS on threat-led penetration testing say?

Article 11 governs the active red team testing phase of a TLPT — the phase where testers actually carry out simulated attacks.

Building directly on Article 10, which covers the threat intelligence and scenario selection process, this article picks up once the targeted threat intelligence report has been approved and takes the reader through everything from test plan preparation to the rules around running and managing the live testing phase itself.

It covers the dual approval requirement for the red team test plan, the minimum duration of testing, ongoing reporting obligations, the use of leg-ups to keep the test moving, and the procedures for handling unexpected situations such as detection of the test or risks of real disruption.

Important points:

Prepare a red team test plan based on the approved threat intelligence report, consult all relevant parties on it, and ensure it receives approval from both the control team and the TLPT authority before active testing begins.
The active red team testing phase must last at least 12 weeks, with testers reporting at least weekly to the control team and test managers throughout.
The control team lead may suspend the TLPT in exceptional circumstances where there is a risk of real disruption; as a last resort, and with prior TLPT authority validation, testing may continue through a limited purple teaming exercise.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Après l’approbation, par l’autorité TIFM, du rapport de renseignement sur les menaces ciblées, les testeurs élaborent le plan de test de l’équipe rouge, qui contient les informations prévues à l’annexe IV. Les testeurs utilisent le document de spécification du périmètre du test et le rapport de renseignement sur les menaces ciblées pour produire les scénarios d’attaque.
1. Les testeurs consultent l’équipe chargée du contrôle, le fournisseur de renseignements sur les menaces et les gestionnaires de test au sujet du plan de test de l’équipe rouge, en ce compris les modalités de communication, de procédure et de gestion de projet, la préparation et les cas d’utilisation pour l’activation des coups de pouce, ainsi que les arrangements relatifs aux rapports à présenter à l’équipe chargée du contrôle et aux gestionnaires de test.
1. Lorsque le plan de test de l’équipe rouge est complet et garantit la réalisation d’un TIFM efficace, l’équipe chargée du contrôle et l’autorité TIFM l’approuvent et en informent le chef de l’équipe chargée du contrôle.
1. Après approbation du plan de test de l’équipe rouge conformément au paragraphe 3, les testeurs effectuent le TIFM pendant la phase active de test de l’équipe rouge.
1. La durée de la phase active de test de l’équipe rouge est proportionnée au périmètre du TIFM ainsi qu’à l’échelle, à l’activité, à la complexité et au nombre des entités financières et des prestataires de services TIC tiers ou intra-groupe participant au TIFM et elle est, en tout état de cause, d’au moins 12 semaines. Les scénarios d’attaque peuvent être exécutés successivement ou simultanément. L’équipe chargée du contrôle, le fournisseur de renseignements sur les menaces, les testeurs et les gestionnaires de test conviennent de la fin de la phase active de test de l’équipe rouge.
1. À condition que le plan de test de l’équipe rouge reste complet et permette la réalisation d’un TIFM efficace, le chef de l’équipe chargée du contrôle et les gestionnaires de test approuvent toute modification apportée au plan de test de l’équipe rouge après son approbation, y compris en ce qui concerne son calendrier, son périmètre, ses systèmes cibles ou ses drapeaux.
1. Tout au long de la phase active de test de l’équipe rouge, les testeurs rendent compte au moins une fois par semaine à l’équipe chargée du contrôle et aux gestionnaires de test de l’état d’avancement du TIFM, et le fournisseur de renseignements sur les menaces reste disponible pour consultation et pour des renseignements supplémentaires sur les menaces lorsque l’équipe chargée du contrôle en fait la demande.
1. L’équipe chargée du contrôle fournit en temps utile des coups de pouce conçus sur la base du plan de test de l’équipe rouge. Des coups de pouce peuvent être ajoutés ou adaptés après approbation de l’équipe chargée du contrôle et des gestionnaires de test.
1. En cas de détection des activités de test par un membre du personnel de l’entité financière ou de ses prestataires tiers de services TIC ou de son prestataire de services TIC intra-groupe, le cas échéant, l’équipe chargée du contrôle, en concertation avec les testeurs et sans préjudice du paragraphe 10, propose et soumet, pour validation, aux gestionnaires de test des mesures permettant de poursuivre le TIFM tout en garantissant sa confidentialité.
1. Dans des circonstances exceptionnelles entraînant des risques d’incidence sur les données, de dommages aux actifs et de perturbation des fonctions, services ou opérations critiques ou importants de l’entité financière elle-même, de ses prestataires tiers de services TIC ou de ses prestataires de services TIC intra-groupe, ou de perturbations pour ses contreparties ou le secteur financier, le chef de l’équipe chargée du contrôle peut suspendre le TIFM ou, en dernier recours, si la poursuite du TIFM n’est pas possible autrement et sous réserve de validation préalable par l’autorité TIFM, poursuivre le TIFM dans le cadre d’un exercice restreint de collaboration violette. La durée de cet exercice restreint de collaboration violette est prise en compte dans le calcul de la durée minimale de 12 semaines de la phase active de test de l’équipe rouge visée au paragraphe 5.

Relevant recitals

Considérant 7 Skills and capabilities of test managers

Conformément à la méthodologie du cadre TIBER-EU, les gestionnaires de test devraient disposer des compétences et des capacités nécessaires pour fournir des conseils et remettre en question les propositions des testeurs. L’expérience acquise avec le cadre TIBER-EU a démontré qu’il est utile qu’une équipe d’au moins deux gestionnaires soit affectée à chaque test. Afin de tenir compte du fait que le TIFM est utilisé pour encourager l’expérience d’apprentissage, en vue de préserver la confidentialité des tests, et à moins qu’elles n’aient des problèmes de ressources ou d’expertise, les autorités TIFM sont vivement encouragées à considérer que, pendant la durée d’un TIFM, les gestionnaires de test ne doivent pas exercer d’activités de surveillance sur l’entité financière faisant l’objet de ce TIFM.

Considérant 8 Involvement of TLPT authorities in the phases

Il importe, dans un souci de cohérence avec le cadre TIBER-EU, que l’autorité TIFM suive de près le processus de test à chacun de ses stades. Compte tenu de la nature des tests et des risques qui y sont associés, il est fondamental que l’autorité TIFM intervienne à chaque phase spécifique des tests. L’autorité TIFM devrait ainsi être consultée et valider les évaluations ou décisions des entités financières susceptibles, d’une part, d’influer sur l’efficacité des tests et, d’autre part, d’avoir une incidence sur les risques associés à ceux-ci. Les étapes fondamentales pour lesquelles une intervention spécifique de l’autorité TIFM est nécessaire comprennent la validation de certains documents essentiels relatifs aux tests, et la sélection de fournisseurs de renseignements sur les menaces et de testeurs et de mesures de gestion des risques. L’intervention des autorités TIFM, en particulier pour les validations, ne devrait pas entraîner de charge excessive pour ces autorités et devrait donc se limiter aux documents et décisions qui ont une incidence directe sur la conduite des TIFM. Grâce à leur participation active à chaque phase des tests, les autorités TIFM peuvent effectivement évaluer le respect, par les entités financières, des exigences applicables, ce qui devrait permettre à ces autorités de délivrer des attestations conformément à l’article 26, paragraphe 7, du règlement (UE) 2022/2554.

Considérant 9 Secrecy of the TLPT

La confidentialité du TIFM est de la plus haute importance pour garantir que les conditions du test soient réalistes. Pour cette raison, les tests devraient être effectués en secret, et des précautions devraient être prises pour en préserver la confidentialité, notamment grâce au choix de noms de code conçus pour empêcher l’identification des TIFM par des tiers. Si les membres du personnel chargés de la sécurité de l’équipe financière devaient apprendre qu’un TIFM est prévu ou en cours, il est probable qu’ils seraient plus attentifs et plus vigilants que dans des conditions de travail normales, ce qui altérerait les résultats des tests. Les membres du personnel de l’entité financière qui ne font pas partie de l’équipe chargée du contrôle ne devraient donc être informés qu’un TIFM est prévu ou en cours que s’il existe des raisons valables de le faire, et moyennant l’accord préalable des gestionnaires de test, notamment pour garantir la confidentialité du test dans l’hypothèse où un membre de l’équipe bleue l’aurait détecté.

Considérant 15 Regular meetings involving all stakeholders

Comme en témoigne l’expérience acquise dans la mise en œuvre du cadre TIBER-EU, la tenue de réunions en présentiel ou virtuelles avec toutes les parties prenantes concernées (entités financières, autorités, testeurs et fournisseurs de renseignements sur les menaces) est le moyen le plus efficace de garantir la bonne conduite des tests. Des réunions en présentiel et des réunions virtuelles devraient donc avoir lieu à différentes étapes du processus, et notamment: pendant la phase de préparation lors du lancement du TIFM pour en finaliser le périmètre; pendant la phase de test pour finaliser le rapport du renseignement sur les menaces et le plan de test de l’équipe rouge et pour les mises à jour hebdomadaires; ainsi que pendant la phase de clôture pour rejouer les actions des testeurs et de l’équipe bleue, la collaboration violette et l’échange de retours d’information sur le TIFM.

Considérant 16 Communication between test manager and control team

Afin de garantir la bonne exécution du test d’intrusion fondé sur la menace, l’autorité TIFM devrait présenter clairement à l’entité financière ses attentes en ce qui concerne le test. À cet égard, les gestionnaires de test devraient veiller à ce qu’un flux approprié d’informations soit établi avec l’équipe chargée du contrôle au sein de l’entité financière et avec les prestataires de TIFM.

Considérant 20 Duration of the red team test phase

Afin de permettre aux testeurs de réaliser un test réaliste et exhaustif, dans le cadre duquel toutes les phases d’attaque sont exécutées et tous les drapeaux atteints, il convient d’allouer un temps suffisant à la phase active de test de l’équipe rouge. D’après l’expérience acquise avec le cadre TIBER-EU, le délai alloué devrait être d’au moins 12 semaines et devrait être fixé en tenant compte du nombre de parties concernées, du périmètre du TIFM, des ressources de la ou des entités financières impliquées, de toute exigence externe éventuelle et de la disponibilité d’informations complémentaires fournies par l’entité financière.

Considérant 21 Range of TTPs throughout kill chain

Au cours de la phase active de test de l’équipe rouge, les testeurs devraient déployer une série de tactiques, de techniques et de procédures pour tester de manière adéquate les systèmes en environnement de production de l’entité financière. Ces tactiques, techniques et procédures devraient inclure, le cas échéant, la reconnaissance (c’est-à-dire la collecte du plus grand nombre possible d’informations sur une cible), l’instrumentalisation (c’est-à-dire l’analyse des informations sur l’infrastructure, les installations et les employés et la préparation des opérations spécifiques à la cible), la réalisation (c’est-à-dire le lancement actif de l’opération complète sur la cible), l’exploitation (où l’objectif des testeurs est de compromettre les serveurs et les réseaux de l’entité financière et de se servir de son personnel au moyen de l’ingénierie sociale), le contrôle et le mouvement (c’est-à-dire les tentatives de passer des systèmes compromis à d’autres systèmes vulnérables ou de grande valeur) et des actions sur la cible (par exemple l’obtention d’un accès plus large aux systèmes compromis et l’obtention d’un accès à des informations et données cibles préalablement convenues, comme prévu dans le plan de test de l’équipe rouge).

Considérant 22 Leg-ups

Lors de la réalisation d’un TIFM, les testeurs devraient agir en tenant compte du temps et des ressources dont ils disposent pour mener l’attaque, ainsi que des limites éthiques et juridiques. Si les testeurs ne sont pas en mesure de passer à l’étape suivante de l’attaque, telle que programmée, une assistance occasionnelle devrait leur être fournie par l’équipe chargée du contrôle, avec l’accord de l’autorité TIFM, sous la forme de «coups de pouce» (ou «leg-ups»). Ces coups de pouce peuvent être subdivisés grosso modo en deux catégories: «informations» et «accès». Ils peuvent ainsi consister en la fourniture d’un accès à des systèmes de TIC ou à des réseaux internes afin de permettre la poursuite du test et la préparation des étapes suivantes de l’attaque.

Considérant 23 Limited purple teaming as alternative to continued testing

Durant la phase active de test de l’équipe rouge, si cela est nécessaire pour permettre la poursuite du TIFM, il y a lieu de recourir à une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue. Cela ne doit toutefois se faire qu’en dernier recours, dans des circonstances exceptionnelles et une fois toutes les autres options épuisées. Dans le cadre d’un tel exercice restreint de collaboration violette, les méthodes suivantes peuvent être utilisées: le «catch-and-release» (attraper et relâcher), où les testeurs tentent de poursuivre les scénarios, se font détecter puis reprennent les tests, le «war gaming» (jeu de guerre), qui permet de mettre en œuvre des scénarios plus complexes pour tester la prise de décision stratégique, ou le «collaborative proof-of-concept» (la validation de concept collaborative), qui permet aux testeurs et aux membres de l’équipe bleue de valider conjointement des mesures, outils ou techniques de sécurité spécifiques dans un environnement contrôlé et coopératif.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.