Il suffirait d’un seul employé aux compétences aussi aiguisées que sa loyauté à l’entreprise qui l’emploie pour que l’exercice lancé conjointement par la Commission de surveillance du secteur financier (CSSF) et la Banque centrale du Luxembourg (BCL) déraille. Qu’il détecte une intrusion de hackers dans les systèmes informatiques de sa banque, qu’il avertisse la direction (comme devraient le prévoir les procédures) et les autorités dans le même mouvement. Le premier Tiber-LU se terminerait devant la police et la justice.

En théorie, cela ne peut pas arriver.

La CSSF et la BCL ont adopté le canevas de la «Threat intelligence-based ethical red teaming» (Tiber) en novembre dernier. Ce dispositif européen permet de lancer de vraies-fausses cyberattaques contre des institutions financières ou bancaires, pour tester la résilience du marché, pour permettre de tester des entités qui ont des activités sur plusieurs juridictions et, surtout, pour aider ces mêmes entités à mesurer combien elles sont prêtes, ou pas, à faire face à la réalité d’un monde numérique violent, où les cyberattaques font de plus en plus parler d’elles.

Une cyberattaque qui peut durer jusqu’à un an

«Tiber-LU n’est pas un exercice auquel vous échouez ou que vous réussissez, sinon les institutions échoueraient à chaque fois: il y aura toujours quelque chose à trouver», a indiqué l’IT inspector and supervisor de la CSSF, Jean de Chillou, ce jeudi matin, sur la scène du 7^e Cybersecurity & Privacy Day de PwC. «Ce n’est pas non plus un outil de supervision et c’est sur une base volontaire.»

Le premier test, qui «a commencé il y a quelques mois», sera suivi de quatre autres tests l’an prochain. Une quinzaine d’institutions financières critiques du pays sont déjà volontaires, dans le monde de la banque de détail, des services de paiement, de l’infrastructure de marché et d’autres secteurs non spécifiés. Ces attaques peuvent durer jusqu’à un an, parce qu’elles sont menées selon un long processus de préparation et de mise en place du scénario d’attaque, de l’attaque elle-même, confiée à des partenaires externes, et au débriefing et au partage d’expériences.

Dans l’entreprise concernée, seule la direction est prévenue et impliquée, afin d’éviter «l’escalade» comme on l’appelle. Soit le moment où cet exercice peut passer pour une vraie cyberattaque pour les autorités judiciaires ou policières. Soit le moment où les ethical hackers vont tomber sur une faille critique à laquelle il faudra remédier illico avant que de vrais hackers avides de rançons ne s’attaquent à l’entreprise. L’équilibre est fragile: on imagine mal l’avenir d’une équipe informatique qui ne s’apercevrait de rien… Toute une série de risques a été envisagée par Tiber pour éviter tout débordement, du partage non sécurisé de documents entre différentes parties prenantes de l’institution financière, l’arrivée d’informations à l’extérieur de l’entreprise, etc.

Un test bientôt à effectuer tous les trois ans

Les hackers tenus à un strict secret, qui n’ont pas le droit de toucher à l’intégrité d’une banque ou de ses données, ont des «drapeaux» à poser à des endroits stratégiques, pour montrer qu’ils ont réussi à s’introduire jusque-là. Ils ne peuvent pas mener d’ingénierie sociale (social engineering en anglais) pendant le test, ni même s’en prendre à un employé pour l’obliger à favoriser leur intrusion dans les systèmes informatiques de la société.

Les institutions qui auront bouclé la procédure recevront une attestation qu’un test a été mené selon les standards de Tiber. Autrement dit qu’elles ont bien été engagées dans cet exercice de préparation en situation réelle… Dans quelques années – deux ou trois ans –, Tiber deviendra obligatoire pour les institutions financières critiques et devra être renouvelé tous les trois ans.

Le pire, reconnaît Jean de Chillou, serait peut-être qu’une vraie attaque survienne en même temps que la vraie-fausse attaque. Une probabilité impossible à évaluer et qui nécessitera une belle agilité pour répondre… à la vraie-vraie attaque.