TIBER-EU / TIBER-FR : Cadre de Red Team fondé sur la menace pour le secteur financier
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) est le cadre européen développé par la Banque centrale européenne pour les exercices Red Team avancés dans le secteur financier. La France a décliné ce cadre en TIBER-FR, co-développé par la Banque de France et l'ACPR. Depuis l'entrée en application de DORA le 17 janvier 2025, TIBER-EU constitue le référentiel de référence pour les TLPT (Threat-Led Penetration Tests) imposés par l'Art. 26 DORA. Ce guide explique la structure de TIBER-FR, qui est concerné, comment se déroule un exercice et en quoi il diffère d'un test de pénétration standard.
Pourquoi TIBER-FR est désormais central pour la résilience financière
TIBER-EU n'est pas un audit de conformité : c'est une simulation d'attaque avancée et prolongée visant à tester la capacité réelle d'un établissement financier à résister à une cyberattaque menée par un adversaire sophistiqué. La Banque de France a adopté TIBER-FR comme programme national dès 2019, avant même DORA. L'ACPR supervise l'exécution des exercices pour les établissements de crédit et les assureurs français. Avec DORA Art. 26, les TLPT fondés sur TIBER-EU deviennent obligatoires pour les établissements désignés comme significatifs — en France, cela inclut les grandes banques systémiques (BNP Paribas, Société Générale, Crédit Agricole, etc.) et les grands assureurs (AXA, Allianz France). La valeur de TIBER-EU réside dans son approche unique : le Red Team reçoit une analyse de la menace personnalisée (Targeted Threat Intelligence) basée sur les acteurs de menace réels ciblant l'institution, et conduit l'attaque sans préavis à l'équipe défensive (Blue Team), sauf à un « white cell » restreint. Cela permet de tester la détection réelle, la réponse aux incidents et la résilience opérationnelle d'une manière qu'un pentest traditionnel annoncé ne peut pas reproduire.
- DORA Art. 26 §1 : obligation TLPT pour les établissements financiers significatifs — au moins tous les trois ans, test fondé sur la menace réalisé selon le cadre TIBER-EU ou équivalent national (TIBER-FR).
- TIBER-FR Phase 1 (Préparation) : définition du périmètre de l'exercice en concertation avec la Banque de France/ACPR, sélection et contrat avec le Threat Intelligence Provider (TIP) et le Red Team Provider (RTP), tous deux devant répondre aux critères d'accréditation TIBER-EU.
- TIBER-FR Phase 2 (Test) : le TIP produit la Targeted Threat Intelligence (TTI) — analyse personnalisée des acteurs de menace, TTPs (MITRE ATT&CK), vecteurs d'attaque probables pour l'institution spécifique. Le RTP conduit l'attaque sur la base de cette TTI, ciblant les fonctions critiques définies en Phase 1.
- TIBER-FR Phase 3 (Clôture) : rapport complet de l'exercice, session de « purple team » avec la Blue Team pour analyser les résultats, plan de remédiation, attestation délivrée par l'autorité compétente (Banque de France/ACPR) — valide pour DORA Art. 26.
- Réciprocité TIBER-EU (Art. 26 §5 DORA) : un exercice TIBER réalisé dans un pays membre et validé par l'autorité compétente locale est reconnu par les autres autorités compétentes de l'UE, évitant la duplication des tests pour les groupes transfrontaliers.
- Critères d'accréditation TIBER-EU : les prestataires Red Team (RTP) et Threat Intelligence (TIP) doivent répondre à des critères stricts de compétences, d'indépendance et de couverture assurantielle — l'autorité compétente nationale (Banque de France/ACPR en France) tient la liste des prestataires qualifiés.
- Différence fondamentale avec un pentest standard : TIBER-EU est un exercice prolongé (3-12 mois), basé sur de vraies TTI personnalisées, ciblant des fonctions critiques spécifiques, avec une Blue Team non informée — coût typique : 150 000 € à 500 000 €.
Ce que couvre un exercice TIBER-EU/TIBER-FR
- Fonctions critiques désignées (TIBER-EU §3) : les systèmes et processus soutenant les services financiers essentiels — systèmes de paiement, trading, gestion des actifs, services aux clients, infrastructure de règlement.
- Vecteurs d'attaque issus de la Targeted Threat Intelligence : phishing ciblé (spear phishing) sur les cadres dirigeants, attaques de la chaîne d'approvisionnement logicielle, exploitation de vulnérabilités 0-day ou N-day récentes (ex. CVE-2023-23397 Microsoft Outlook, CVE-2023-4966 Citrix Bleed).
- Intrusion initiale et persistance : compromission du point d'entrée, établissement de la persistance (backdoors, tâches planifiées, registre Windows), évasion des outils EDR/XDR, mouvements latéraux dans l'Active Directory.
- Escalade de privilèges et accès aux systèmes critiques : Kerberoasting, Golden Ticket, Pass-the-Hash, exploitation de mauvaises configurations Active Directory — évaluation de la résilience des systèmes PAM.
- Exfiltration de données : test de la capacité à extraire des données sensibles (données clients, transactions, données de trading) sans déclenchement des DLP et SIEM, test des canaux d'exfiltration (DNS, HTTPS steganography).
- Résistance aux attaques sur la chaîne d'approvisionnement : compromission simulée d'un fournisseur TIC critique, test des contrôles de vérification des mises à jour logicielles, CVE dans les composants tiers.
- Infrastructure OT/SCADA (si applicable) : pour les entités des secteurs de l'énergie et des transports soumises à la fois à NIS2 et à des cadres de test Red Team — isolation réseau IT/OT, protocoles industriels exposés.
- Réponse aux incidents et détection (Blue Team) : évaluation du délai de détection de l'intrusion initiale, temps de réponse de l'équipe SOC, efficacité des playbooks de réponse aux incidents, simulation de notification à l'ACPR/ANSSI.
- Résilience du point de vue de l'impact métier : simulation de l'impact opérationnel d'une compromission — indisponibilité des systèmes de paiement, corruption des données de trading, accès non autorisé aux comptes clients.
Exemple de finding
Persistance via Golden Ticket Kerberos sur le domaine Active Directory principal
Lors de la phase d'escalade de privilèges, le Red Team a obtenu les hash NTLM du compte KRBTGT via une technique DCSync (CVE-2021-36934 — accès non autorisé aux fichiers SAM/NTDS). Avec ces informations, un Golden Ticket Kerberos a été forgé, accordant un accès administrateur de domaine illimité et persistant à l'ensemble de l'infrastructure Active Directory, y compris aux systèmes de paiement SWIFT et aux interfaces de trading. La Blue Team n'a pas détecté la compromission initiale (T1003.006 MITRE ATT&CK) dans les 72 heures suivant l'intrusion. L'accès persistant a été maintenu pendant 15 jours sans déclenchement d'alertes dans le SIEM.
Correction : Réinitialiser immédiatement le mot de passe KRBTGT (deux fois, en raison du fonctionnement du cache Kerberos), invalider tous les tickets Kerberos existants. Mettre en place une surveillance renforcée des opérations DCSync (journalisation des réplications de répertoire, alerte sur toute demande de réplication hors des contrôleurs de domaine légitimes). Déployer Microsoft Defender for Identity ou équivalent pour détecter les techniques d'escalade de privilèges Kerberos. Segmenter les comptes à hauts privilèges dans des zones isolées (Tier 0/1/2 Active Directory). Conduire une session Purple Team pour ajuster les règles de détection du SIEM. Documenter conformément aux exigences de rapport TIBER-EU Phase 3.
Référence : CVE-2021-36934 (HiveNightmare/SeriousSAM) · MITRE ATT&CK T1558.001 (Golden Ticket) · T1003.006 (DCSync) · TIBER-EU §4.3 Rapport de test · DORA Art. 26 §3 rapport TLPT
TIBER-FR vs Pentest standard : comparaison
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Préparation à TIBER-FR avec Matproof
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur TIBER-EU et TIBER-FR
Qu'est-ce que TIBER-FR et qui est concerné ?
TIBER-FR est la déclinaison française du cadre TIBER-EU, développé par la Banque de France et l'ACPR. Il est obligatoire pour les établissements financiers désignés comme « significatifs » par l'ACPR ou la Banque de France — principalement les grandes banques systémiques (BNPP, SocGen, Crédit Agricole, BPCE, Crédit Mutuel) et les grands assureurs. Avec DORA Art. 26 en vigueur depuis janvier 2025, TIBER-FR est le référentiel officiel pour les TLPT obligatoires.
Quelle est la durée d'un exercice TIBER-EU/TIBER-FR ?
Un exercice TIBER-EU complet dure généralement entre 3 et 12 mois selon la complexité de l'établissement, la taille du périmètre et les contraintes opérationnelles. La Phase 1 (préparation, sélection des prestataires, définition du périmètre) dure 1 à 3 mois ; la Phase 2 (test effectif) dure 2 à 6 mois ; la Phase 3 (clôture, rapport, purple team) dure 1 à 3 mois. Matproof Sentinel peut être utilisé pour la préparation (baseline des vulnérabilités) avant l'exercice TIBER-FR.
Matproof peut-il réaliser un exercice TIBER-EU/TIBER-FR complet ?
Non — les exercices TIBER-EU/TIBER-FR requièrent des prestataires Red Team et Threat Intelligence accrédités selon des critères stricts établis par la Banque de France et l'ACPR. Matproof Sentinel est une plateforme de pentest automatisée idéale pour le pentest DORA Art. 24 standard, la préparation au TIBER (analyse des lacunes de sécurité, baseline des vulnérabilités) et les tests continus entre les cycles TIBER. Pour un exercice TIBER-FR complet, nous vous orientons vers des partenaires accrédités.
Comment TIBER-EU s'articule-t-il avec DORA Art. 26 ?
DORA Art. 26 impose des TLPT (Threat-Led Penetration Tests) pour les établissements significatifs, au moins tous les trois ans. Le cadre TIBER-EU est explicitement cité dans les considérants de DORA et dans les RTS associés (Règlement délégué (UE) 2024/1774) comme le référentiel de référence pour les TLPT. Un exercice TIBER-EU/TIBER-FR validé par l'autorité compétente satisfait directement à l'obligation DORA Art. 26.
Quelle est la différence entre un pentest DORA Art. 24 et un exercice TIBER-EU ?
Le pentest DORA Art. 24 est un test de pénétration standard — périmètre défini, équipe défensive informée, durée de quelques jours à quelques semaines, coût de quelques milliers à quelques dizaines de milliers d'euros. TIBER-EU est un exercice Red Team avancé de plusieurs mois, basé sur une analyse personnalisée de la menace (TTI), avec une Blue Team non informée, ciblant des fonctions critiques spécifiques — coût entre 150 000 € et 500 000 €. TIBER-EU s'applique uniquement aux établissements désignés ; DORA Art. 24 s'applique à toutes les entités financières dans le champ d'application de DORA.
Que contient le rapport final d'un exercice TIBER-EU ?
Le rapport TIBER-EU (TIBER-EU Test Report) inclut : la Targeted Threat Intelligence produite par le TIP, le récit détaillé de l'exercice Red Team (chronologie, techniques utilisées, vulnérabilités exploitées), les résultats de la Blue Team (détections, non-détections, temps de réponse), les constats clés avec niveaux de risque, le plan de remédiation et les recommandations stratégiques. Ce rapport est confidentiel et partagé avec l'autorité compétente (Banque de France/ACPR) pour validation et délivrance de l'attestation DORA Art. 26.
La réciprocité TIBER-EU fonctionne-t-elle vraiment en pratique ?
Oui — l'Art. 26 §5 DORA et le cadre TIBER-EU prévoient explicitement la reconnaissance mutuelle des attestations entre autorités compétentes de l'UE. Un groupe bancaire franco-allemand qui réalise un exercice TIBER-DE peut faire reconnaître ce test par l'ACPR pour ses entités françaises, et vice versa. Cette réciprocité est particulièrement précieuse pour les groupes transfrontaliers qui évitent ainsi des exercices redondants coûteux.
Comment se préparer à un exercice TIBER-FR ?
Une préparation sérieuse à TIBER-FR comprend : la réalisation d'un pentest de reconnaissance préalable (Matproof Sentinel) pour identifier et corriger les vulnérabilités évidentes avant l'exercice Red Team, la mise en place d'une architecture de détection robuste (EDR, SIEM, NDR), la formation de l'équipe SOC aux techniques d'attaque avancées (MITRE ATT&CK), la définition des fonctions critiques à protéger, et la sélection anticipée des prestataires TIP et RTP accrédités (6 à 12 mois avant l'exercice).
Approfondir — articles de blog associés
Préparez votre établissement pour TIBER-FR
Avant un exercice TIBER-FR, identifiez et corrigez les vulnérabilités les plus exposées avec Matproof Sentinel. Un pentest de baseline réduit la surface d'attaque avant que le Red Team accrédité n'intervienne — et optimise votre budget TIBER.
Démarrer la préparation TIBER-FR