Search for:
Solutions

TLPT (Threat-Led Penetration Testing) : objectifs, méthodologie et enjeux

TLPT (Threat-Led Penetration Testing) : objectifs, méthodologie et enjeux pour les organisations

Dans un contexte où les cyberattaques deviennent à la fois plus sophistiquées, plus ciblées et plus persistantes, les approches de sécurité traditionnelles atteignent leurs limites.

Identifier des vulnérabilités techniques reste indispensable, mais cela ne permet pas, à lui seul, d’évaluer la capacité réelle d’une organisation à faire face à une attaque majeure.

En pratique, la question n’est plus seulement de savoir si une faille existe, mais si l’organisation est capable de détecter une intrusion, d’y répondre efficacement et de maintenir ses fonctions essentielles en conditions réelles.

C’est précisément pour répondre à cet enjeu qu’a émergé le Threat-Led Penetration Testing (TLPT). Cette approche avancée de test de sécurité vise à simuler des attaques réalistes sur les fonctions critiques d’une organisation, en s’appuyant sur le renseignement sur la menace.

Dans cet article, nous présentons les principes du TLPT, ses objectifs, son cadre réglementaire ainsi que sa méthodologie, afin de mieux comprendre en quoi il constitue aujourd’hui un pilier de la résilience opérationnelle.

Guide complet sur TLPT

Que-ce que le Threat-Led Penetration Testing (TLPT) ?

Le Threat-Led Penetration Testing est un test de sécurité avancé piloté par la Threat Intelligence. Il consiste à simuler des attaques réalistes ciblant les fonctions critiques ou importantes d’une organisation, afin d’évaluer sa capacité à détecter, contenir et répondre à des incidents de sécurité majeurs.

Contrairement aux tests d’intrusion traditionnels, principalement orientés vers l’identification de vulnérabilités techniques, le TLPT adopte une approche centrée sur la menace et l’impact métier. Son objectif est de mesurer la résilience opérationnelle réelle face à des scénarios d’attaque crédibles et représentatifs.

Les scénarios sont construits à partir de données de Threat Intelligence.
Ils prennent en compte les acteurs de la menace, leurs motivations ainsi que leurs tactiques, techniques et procédures, afin de reproduire des attaques proches de celles observées dans le monde réel.

Par ailleurs, le TLPT s’inscrit dans un cadre réglementaire et méthodologique européen. Dans le contexte de DORA, il constitue un exercice formalisé pour certaines entités financières critiques, tandis que le cadre TIBER-EU définit les principes opérationnels permettant de conduire ces tests de manière sécurisée et structurée.

Enfin, en évaluant simultanément les technologies, les processus et les équipes, le TLPT dépasse le simple test des systèmes. Il permet également d’apprécier l’efficacité des capacités de détection, de réponse aux incidents et de coordination interne.

Pourquoi le TLPT s’est imposé

Les menaces cyber contemporaines sont organisées, ciblées et persistantes. Groupes de ransomware, opérateurs de ransomware-as-a-service et autres acteurs malveillants combinent techniques avancées, ingénierie sociale et exploitation des processus métiers pour atteindre leurs objectifs.

Face à ces menaces, les tests d’intrusion classiques conservent leur utilité, mais montrent leurs limites. Ils permettent d’identifier des failles, sans pour autant évaluer la capacité d’une organisation à faire face à une attaque complète, depuis l’intrusion initiale jusqu’à l’impact métier.

C’est dans ce contexte que le TLPT marque un véritable changement de paradigme. Il abandonne une approche centrée sur les vulnérabilités au profit d’une approche pilotée par la menace, orientée vers les fonctions critiques et la résilience opérationnelle.

Les scénarios sont ainsi conçus en fonction du contexte spécifique de l’organisation et ciblent les actifs et processus les plus sensibles.
Cette focalisation permet de produire des enseignements concrets et actionnables, en concentrant les efforts là où le risque est réellement le plus élevé.

TLPT et DORA : obligations, périmètre et fréquence

Ce que dit DORA sur les tests fondés sur la menace (TLPT)

Avec l’entrée en application du règlement DORA le 17 janvier 2025, les tests fondés sur la menace prennent une dimension réglementaire majeure pour certaines entités financières.

L’article 26 de DORA définit le TLPT comme le niveau le plus avancé de test de résilience opérationnelle numérique. Il impose la simulation d’attaques cyber réalistes, construites à partir de scénarios crédibles et représentatifs des risques réels.

Contrairement aux exercices auto-gérés, le TLPT exigé par DORA est strictement encadré. Il est supervisé par les autorités compétentes via les TIBER Cyber Teams. En France, cette supervision est assurée par la Banque de France, l’ACPR et l’AMF.

DORA impose également que le TLPT soit réalisé sur des systèmes de production réels, afin d’évaluer l’organisation dans ses conditions opérationnelles effectives.

Le périmètre du test est clairement défini. Il doit couvrir les fonctions critiques ou importantes, ainsi que les prestataires tiers de services TIC qui y contribuent directement. L’objectif n’est pas d’auditer l’ensemble du système d’information, mais de démontrer la capacité à faire face à une cyberattaque majeure.

Enfin, DORA introduit un principe de proportionnalité. La fréquence minimale est fixée à un exercice tous les trois ans, avec la possibilité d’ajustement selon le profil de risque.

Le cadre TIBER-EU

Le framework TIBER-EU constitue le cadre méthodologique européen de référence pour la mise en œuvre des TLPT. S’il n’est pas imposé formellement par DORA, il s’est imposé comme un standard de facto au sein de l’Union européenne.

Conçu initialement par l’Eurosystème pour le secteur financier, il garantit des tests conduits avec rigueur, réalisme et une gouvernance homogène. Il repose sur un processus structuré couvrant la préparation, l’exécution et la clôture des tests, et facilite la reconnaissance mutuelle des exercices entre États membres.

Quand recourir au TLPT ?

Le TLPT s’adresse aux organisations pour lesquelles les enjeux opérationnels, métiers ou réglementaires sont élevés. Il devient pertinent lorsque l’objectif dépasse la seule robustesse technique et englobe l’ensemble du dispositif de sécurité.

Dans les cadres NIS2 et DORA, la capacité à détecter, contenir et gérer des incidents significatifs devient un critère central. Même lorsqu’il n’est pas explicitement requis, le TLPT constitue un moyen efficace de démontrer une maîtrise opérationnelle du risque cyber.

Le TLPT est également particulièrement adapté à l’évaluation des fonctions critiques ou importantes. Contrairement à un test purement technique, il simule des chaînes d’attaque complètes visant des objectifs métiers précis, en combinant plusieurs vecteurs simultanément.

TLPT, pentest et vulnerability assessment : l’approche par largeur/profondeur

La sécurité d’une organisation ne se limite pas à détecter des vulnérabilités techniques. Selon l’approche choisie, un test peut couvrir un large périmètre avec une profondeur limitée, ou se concentrer sur des fonctions critiques pour évaluer la résilience opérationnelle.

Cette logique peut être représentée par une pyramide inversée. A la base se trouve la couverture la plus large avec la profondeur minimale, tandis qu’au sommet se situent les exercices les plus ciblés et les plus approfondis.

Vulnerability Assessment (largeur maximale / profondeur minimale)

L’évaluation de vulnérabilités (Vulnerability Assessment) constitue le socle de toute démarche de sécurité. Il vise à analyser l’ensemble du parc informatique, qu’il s’agisse de postes de travail, serveurs ou applications, afin de recenser et cartographier les vulnérabilités connues.

Si le l’évaluation de vulnérabilités permet d’assurer une hygiène de sécurité minimale, il offre une faible contextualisation du risque. Identifier une faille ne permet pas de mesurer son impact potentiel sur les fonctions critiques ou sur la continuité des activités.

Pentest approfondi (largeur ciblée / profondeur modérée)

Le pentest approfondi permet de valider si certaines vulnérabilités peuvent être exploitées sur un périmètre ciblé, tel qu’une application ou un système spécifique.

Il permet de tester la robustesse technique et la sécurité des composants ciblés, mais ne reproduit pas les scénarios de menace complexes et réalistes auxquels l’organisation pourrait être confrontée, ni la coordination des équipes de défense. Il reste un outil essentiel pour mesurer la sécurité technique locale, mais ne fournit pas une vision complète de la résilience opérationnelle.

TLPT (largeur restreinte / profondeur maximale)

Au sommet de la pyramide se situe le TLPT et les exercices de Red Teaming avancés. Ces tests ciblent les fonctions critiques ou importantes et simulent des scénarios réalistes fondés sur la menace pour mesurer la capacité des équipes de défense à détecter et réagir à des intrusions complexes.

L’objectif n’est pas de trouver toutes les vulnérabilités techniques, mais de comprendre l’impact opérationnel d’une attaque et d’évaluer simultanément technologies, processus et équipes (PPT). Le TLPT transforme ainsi un exercice technique en un outil de résilience organisationnelle, complémentaire aux pentests.

Les fondations d’un TLPT réussi, préparation et conception

Threat Intelligence : identifier les menaces pertinentes

La Threat Intelligence constitue le point de départ de tout TLPT. Elle ne débute jamais de zéro. Elle s’appuie d’abord sur le Generic Threat Landscape (GTL), un corpus de référence élaboré par les autorités compétentes, décrivant les menaces pesant sur un secteur donné.

Ce socle permet d’identifier les grandes catégories d’adversaires susceptibles de cibler l’organisation. Il peut s’agir de groupes de ransomware à motivation financière, d’acteurs spécialisés dans la fraude complexe ou d’acteurs à visée idéologique, géopolitique ou étatique.

À partir de cette base générique, l’analyse est affinée pour produire un Targeted Threat Intelligence Report (TTIR). Ce livrable est central dans la démarche TLPT. Il contextualise les menaces en fonction du profil de l’organisation : secteur, taille, exposition, localisation et rôle dans l’écosystème.

L’objectif est d’écarter les scénarios irréalistes pour se concentrer sur des attaques crédibles et plausibles.

Chaque menace identifiée est ensuite traduite en Tactiques, Techniques et Procédures (TTP). Cette étape permet de relier directement l’analyse stratégique aux actions techniques mises en œuvre par la Red Team.

Sur cette base, plusieurs scénarios d’attaque de bout en bout sont élaborés. Ils couvrent impérativement la confidentialité, l’intégrité et la disponibilité. Un Scénario X peut compléter ce dispositif afin d’explorer des menaces émergentes ou atypiques.

La modélisation des menaces

La modélisation des menaces prolonge la Threat Intelligence en traduisant les scénarios stratégiques en objectifs opérationnels concrets.

Conformément à DORA, cette phase débute par l’identification des Fonctions Critiques ou Importantes (CIF).

Une fois les CIF définies, l’analyse descend vers les processus, les actifs sensibles et les technologies qui les supportent. Cette approche garantit un lien direct entre enjeux métiers et scénarios d’attaque, en évitant des tests purement techniques et déconnectés de la réalité opérationnelle.

La modélisation intègre également l’analyse de l’empreinte numérique de l’organisation. Elle inclut notamment l’identification des actifs exposés, des domaines similaires, des tentatives de typosquatting ou des fuites d’informations exploitables. Ces éléments constituent souvent des points d’entrée réalistes pour des attaques initiales.

Un point clé réside dans la définition des flags. Ces objectifs matérialisent le succès d’une attaque sur une CIF. Ils permettent de mesurer l’impact réel en termes de confidentialité, d’intégrité ou de disponibilité, et de relier les actions techniques aux conséquences métiers.

Les prestataires tiers de services TIC sont également intégrés dès lors qu’ils contribuent au fonctionnement d’une CIF. Cette prise en compte est indispensable pour refléter la réalité des chaînes d’attaque modernes.

Définition de scénarios d’attaque réalistes

La conception des scénarios constitue le cœur du TLPT. Chaque scénario est défini de bout en bout, depuis le point d’entrée initial jusqu’à l’atteinte d’un flag. Il combine simultanément dimensions humaines, organisationnelles et techniques.

Conformément aux exigences DORA et TIBER-EU, au moins trois scénarios distincts sont retenus. Ils couvrent obligatoirement la triade Confidentialité, Intégrité et Disponibilité.

Un scénario vise l’exfiltration de données sensibles. Un autre teste l’altération de données critiques. Le troisième simule l’interruption d’un service essentiel. Ces scénarios sont validés par l’équipe de contrôle (Control Team) et, le cas échéant, par l’autorité de supervision.

Un Scénario X peut compléter cette sélection. Il permet de tester la capacité d’adaptation de l’organisation face à des modes opératoires inattendus, sans créer de complexité artificielle.

La sélection suit généralement un processus longlist / shortlist.
Une liste étendue de scénarios est d’abord proposée, puis réduite à un périmètre final validé. Si une CIF dépend d’un prestataire tiers de services TIC, au moins un scénario doit intégrer ce tiers.

Avant le lancement du test, une analyse de risques est réalisée afin de maîtriser les impacts potentiels sur les environnements critiques. L’ensemble est formalisé dans un document de cadrage (Scoping & Specification Document – SSD), approuvé par la direction et validé par l’autorité compétente.

Exploitation et restitution d’un TLPT : phases, durée et modalités

Phase de test offensif

La phase de test offensif correspond à l’exécution opérationnelle du TLPT par l’équipe Red Team. Contrairement à un pentest classique, elle s’inscrit dans la durée afin de reproduire la persistance et la discrétion d’un attaquant réel.

Elle débute par une phase de préparation de deux à trois semaines. Cette étape permet d’élaborer le Red Team Test Plan (RTTP), qui définit les scénarios, les règles d’engagement et les mécanismes de contrôle des risques.

Le test actif s’étend ensuite sur une durée minimale de douze semaines.
Les attaques sont menées de manière furtive, sans notification préalable de la Blue Team, afin d’évaluer les capacités réelles de détection et de réponse.
Les scénarios suivent une logique « In – Through – Out » : reconnaissance, intrusion initiale, mouvement latéral, persistance, puis atteinte des objectifs ou exfiltration.

Tout au long de cette phase, la gouvernance est strictement encadrée.
Des points de suivi réguliers réunissent la Red Team, la Control Team et, le cas échéant, l’autorité de supervision. Ils permettent de suivre l’avancement du test et de maîtriser les risques opérationnels.

Mené exclusivement sur des systèmes de production, ce test constitue le cœur de l’évaluation de la résilience. Il mesure avant tout la capacité de l’organisation à détecter, contenir et gérer une attaque crédible et prolongée, bien au-delà de la simple découverte de vulnérabilités.

Le concept de « Leg-ups »

Les leg-ups sont un mécanisme clé du TLPT. Ils permettent de poursuivre un scénario lorsque la Red Team est bloquée trop tôt ou détectée prématurément.

L’objectif n’est pas de fausser le test, mais de maximiser sa valeur pédagogique. Les leg-ups permettent de comprimer le temps tout en conservant le réalisme de l’attaque.

Le cadre TIBER-EU distingue trois types de leg-ups :

  • des leg-ups de gain de temps,
  • des leg-ups d’information,
  • et des leg-ups d’accès contrôlé.

Leur activation est strictement encadrée. Elle est décidée avec la Control Team et soumise à la non-objection de l’autorité de supervision. Les leg-ups sont anticipés et documentés dès la phase de préparation afin d’éviter un arrêt prématuré du test.

Phase de restitution et remédiation

La phase de restitution marque la transition entre l’exercice offensif et l’amélioration concrète de la posture de sécurité. Elle repose sur des livrables structurés couvrant les dimensions techniques, organisationnelles et stratégiques.

Trois rapports principaux sont produits :

  • le Red Team Test Report (RTTR), décrivant les attaques et les chemins d’attaque,
  • le Blue Team Report (BTR), analysant la détection, la réponse et les délais de réaction,
  • et le Test Summary Report (TSR), destiné aux instances dirigeantes.

Conformément à DORA, une analyse des causes racines est systématiquement réalisée. Elle permet d’identifier les faiblesses structurelles, qu’elles concernent les personnes, les processus ou les technologies.

Cette analyse alimente un plan de remédiation formalisé. Les actions sont priorisées, assignées et assorties d’échéances claires.

Les résultats sont présentés au plus haut niveau de gouvernance, incluant la direction générale et le conseil d’administration, afin d’assurer un engagement durable et mesurable.

Rôle du Purple Teaming

Le Purple Teaming est un levier central du TLPT. Il transforme l’exercice en une démarche d’apprentissage collectif.

Deux formes sont distinguées par les cadres TIBER.

  • Un Limited Purple Teaming peut être utilisé ponctuellement pendant le test actif.
  • Un Purple Teaming de clôture, obligatoire, intervient après la phase offensive, conformément aux exigences de DORA.

Cette phase repose notamment sur un Replay Workshop. La Red Team rejoue les attaques étape par étape, tandis que la Blue Team analyse ce qui a été détecté, manqué ou détecté trop tard. Ce dialogue permet d’identifier précisément les angles morts et les axes d’amélioration.

L’objectif n’est jamais de juger les équipes. Le Purple Teaming vise à renforcer durablement les capacités de détection, de réponse et de coordination, et à faire progresser la maturité globale de l’organisation face aux menaces avancées.

Réaliser un TLPT hors TIBER

Bien que le TLPT soit souvent associé au cadre TIBER-EU, cette approche ne se limite pas au secteur financier. Elle peut être appliquée efficacement dans d’autres secteurs et pour des organisations de tailles variées.

Toute entité exploitant des fonctions critiques peut tirer parti d’un TLPT.
L’objectif est de démontrer une maîtrise concrète du risque cyber, au-delà des audits et tests traditionnels.

Pour les organisations hors périmètre TIBER, il est possible de mettre en œuvre un TLPT allégé. Il prend la forme d’un exercice de Red Team inspiré des bonnes pratiques TIBER-EU.

Le processus reste structuré — préparation, Threat Intelligence, test offensif et restitution avec Purple Teaming — tout en adaptant le périmètre et l’intensité aux enjeux réels de l’organisation.

Cette approche conserve la valeur stratégique et pédagogique du TLPT.
Elle offre une solution pragmatique et proportionnée pour les entités de taille intermédiaire ou évoluant dans des environnements moins réglementés.

Comment choisir un prestataire TLPT ?

Le choix du prestataire est déterminant pour la réussite d’un TLPT. Il doit reposer sur des critères stricts, couvrant à la fois l’expertise technique, la contextualisation métier, la gouvernance et l’éthique.

Un prestataire compétent doit démontrer sa capacité à comprendre le secteur d’activité, les enjeux opérationnels et les contraintes réglementaires de l’organisation. Cette contextualisation est essentielle pour concevoir des scénarios réalistes et pertinents.

Les certifications reconnues, telles que CREST, constituent un prérequis pour les tests avancés. Des certifications spécialisées Red Team (CRTP, CRTE, CRTM, etc.) renforcent également la crédibilité des équipes.

La gouvernance des tests est un autre critère clé. Le prestataire doit disposer de processus documentés et traçables, ainsi que d’un système de management de la sécurité de l’information robuste, idéalement certifié ISO 27001. Les livrables doivent être clairs et distincts, afin d’adresser à la fois les équipes techniques et les instances dirigeantes.

Enfin, l’indépendance du prestataire est indispensable. Il ne doit pas être en situation de conflit d’intérêts et doit garantir la confidentialité, l’intégrité et la destruction sécurisée des données après l’exercice.

Réaliser un TLPT avec Vaadata

Vaadata accompagne les organisations dans la réalisation de TLPT encadrés par DORA et TIBER-EU, ainsi que dans la conduite d’exercices de Red Teaming avancés hors cadre réglementaire.

Ces exercices poursuivent un objectif commun : mesurer de manière réaliste les capacités de détection, de réponse et de coordination face à des attaques ciblées.

Spécialiste de la sécurité offensive, Vaadata intervient auprès d’organisations de toutes tailles et de tous secteurs. Notre approche couvre l’ensemble du cycle Threat-Led et Red Team : Threat Intelligence, modélisation des menaces, conception de scénarios réalistes, exécution des attaques et restitution approfondie.

Vaadata s’appuie sur des certifications et accréditations reconnues, notamment CREST, ISO 27001 et ISO 27701. Elles garantissent des prestations rigoureuses, proportionnées et alignées sur les meilleures pratiques internationales, avec un haut niveau de sécurité et de confidentialité.

Auteur : Elric PALLOT – Chef de Projet Marketing

Articles en lien