Getty Images/Fuse
Des exercices d’attaque riches d’enseignements
Une étude réalisée à l’occasion de l’événement Black Hat USA cet été tend à souligner l’importance des exercices impliquant des « red teams »… tant les assaillants apparaissent passer aisément entre les contrôles de sécurité.
Pour Stephen Moore cela ne fait pas de doute : « des exercices réguliers et pertinents entre red et blue team aident les entreprises à développer leurs capacités de sécurité ». Le responsable de la stratégie de sécurité d’Exabeam fait là référence à ces exercices impliquant une équipe de vrais-faux assaillants mettant à l’épreuve les équipes de sécurité du système d’information, au-delà des traditionnels tests d’intrusion.
Stephen Moore tire cette conclusion d’un sondage réalisé lors de la récente édition 2019 de la conférence Black Hat, auprès de 276 de ses participants. Les réponses de ceux-ci sont plutôt parlantes : ainsi, 35 % des répondants reconnaissent que leurs équipes de sécurité n’attrapent jamais, ou rarement, les assaillants ; 62 % revendiquent des victoires « occasionnellement ou souvent » contre ceux-ci ; et ils ne sont que 2 % à assurer piéger les attaquants à tous les coups.
Ces réponses sont d’autant plus éclairantes qu’elles viennent de professionnels qui, pour 72 % du total, conduisent ces exercices régulièrement. Ils sont 23 % à le faire mensuellement, 17 % trimestriellement, ou encore 17 % une fois pas an.
Accessoirement, les démonstrations des faiblesses des défenses à l’occasion d’exercices semblent aider à convaincre de la pertinence d’investissements. Ainsi, 74 % des sondés indiquent que leurs entreprises ont augmenté les investissements dans les infrastructures de sécurité à l’issue d’exercices, et même de manière significative pour 18 % des professionnels concernés.
Pour autant, les réponses des sondés soulignent que tout n’est pas question uniquement d’outils. Ainsi, les sondés estiment que la communication et le travail d’équipe sont les premières choses à développer du côté des défenseurs. Viennent ensuite la connaissance des attaques et des tactiques, la détection des menaces, et les délais de réponse à incident. Et s’il y a là des éléments techniques, les composantes organisationnelles s’avèrent particulièrement bien représentées.