beebright - stock.adobe.com
Améliorer sa posture de sécurité en engageant une red team
Evaluer la maturité de son organisation en matière de sécurité est essentiel pour pouvoir améliorer sa posture. La sollicitation d’équipes offensives, des red teams, peut aider considérablement.
Parler d’engagement de red team est la façon aujourd’hui à la mode de décrire les mesures offensives qui mettent à l'épreuve la maturité d'une organisation en matière de sécurité. Mais il n’y a pas là qu’un nouveau buzzword marketing : il est important de comprendre en quoi consistent réellement ces interventions et dans quelle mesure elles diffèrent des tests d’intrusion traditionnels.
Commençons par le commencement : les tests d’intrusion ne sont pas des engagements de red team. Il existe certainement des zones de recouvrement entre les deux, mais un test d'intrusion est une évaluation conçue pour découvrir les risques techniques au sein d'une organisation, induits notamment par des défauts de configuration ou la présence de vulnérabilités logicielles.
Le périmètre d'application d'un test d'intrusion est normalement plus étendu qu’un engagement de red team : l'objectif du premier est de mettre en évidence les risques exploitables au sein d'une entreprise, souvent dans un délai assez court.
L’engagement de la red team permet de positionner un adversaire qui devra avancer vers des objectifs et des buts préalablement établis, suivant une approche scénarisée. La démarche est plus ciblée qu'un test d’intrusion et vise à résoudre quelque chose de différent.
Ce type d’exercice permet ainsi à l’entreprise de gagner une meilleure compréhension de la façon dont les adversaires parviennent à accéder à la fois à l'environnement et aux données sensibles grâce à la collecte de renseignements, à la reconnaissance, ainsi qu’à une combinaison d'ingénierie sociale et d'attaques physiques et cybernétiques.
Un engagement de red team peut durer plusieurs mois : les attaquants ont le temps pour eux et persisteront lorsqu'ils chercheront à compromettre les systèmes. Ils ne cherchent pas seulement à percer des trous dans le réseau pour déterminer si des vulnérabilités peuvent y être exploitées.
En amont d’un engagement de red team, l’organisation doit déterminer des objectifs précis en fonction de ce qu'elle juge critique. La red team peut être amenée à créer des attaques personnalisées, à accéder physiquement à un emplacement pour installer du matériel, à nouer des relations avec des collaborateurs pour mieux les leurrer.
Tout le monde n'est pas prêt pour un engagement de red team
Ces opérations ne sont généralement considérées qu'après le développement d’une solide compréhension des risques, la mise en œuvre d’un programme de gestion des vulnérabilités fonctionnelles, et l’organisation de tests d’intrusion. Et cela concerne donc des entreprises disposant de politiques et de procédures de sécurité bien formalisées, ainsi que d’une équipe de sécurité surveillant continuellement l’environnement – c’est tout cela qui est en fait mis à l’épreuve.
Le principal intérêt d’un engagement de red team est d'être directement visé par une équipe d'individus qui cherchent à compromettre un domaine particulier de son environnement. Bien sûr, tout le monde peut gagner à une telle opération. Mais les organisations qui en bénéficieront le plus sont celles qui ont déjà atteint un niveau de maturité élevé.
En effet, les rapports d’intervention donnent des clés d’amélioration. Les livrables recouvrent les résultats des tests des personnes, des processus et des technologies, et des enseignements sur la façon dont ils défendent les données sensibles. Cela touche également à la capacité de l'organisation à détecter une attaque, la façon dont elle y réagit et si l'intervention a contribué à décourager l'engagement.