Cybersécurité offensive : au-delà des tests d’intrusion

Afin de garantir la sécurité des données et des systèmes d’information, il est important de s’assurer que les mesures mises en œuvre sont efficaces. Pour cela, il est indispensable de recourir à une approche offensive. Au-delà des tests d’intrusion, il est recommandé de mettre l’ensemble du dispositif de sécurité à l’épreuve, en le confrontant à des exercices de simulation d’attaque réalistes.

Ces dernières années, les réglementations en matière de protection des données et de sécurité informatique se sont considérablement renforcées. Elles exigent notamment des organisations qu’elles prennent des mesures appropriées pour prévenir les risques et faire face aux incidents. Cela se traduit par la mise en place de politiques de sécurité claires, la sensibilisation des équipes, le déploiement de dispositifs de détection des menaces ou encore l’établissement de procédures pour répondre efficacement aux attaques.

Passer à l’offensive

Une fois les mesures de cybersécurité prises, il est important de les tester. Investir dans la protection de ses systèmes, c’est bien. S’assurer que les mesures prises sont efficaces et que les éléments mis en œuvre répondent bien aux objectifs fixés en cas d’attaque ou d’incident, c’est mieux. Pour cela, il faut adopter ce que l’on appelle une approche de sécurité offensive.

"Tout environnement présente des failles et des vulnérabilités. Il est donc important de mettre le dispositif de sécurité à l’épreuve en réalisant des tests. En la matière, plusieurs approches peuvent être envisagées par les organisations. Cela va du test d’intrusion standard à la simulation d’une attaque en conditions réelles", explique Thomas Pianezzola, membre de l’équipe Cyberforce Offensive Security. 

Les différentes approches sont complémentaires et répondent à des objectifs spécifiques. Il s’agit d’identifier les vulnérabilités exploitables afin de pouvoir les corriger.

Ne pas se limiter aux tests d’intrusion

Pour mettre à l’épreuve leur dispositif de sécurité, les acteurs du marché ont le plus souvent recours à des tests d’intrusion sur des périmètres bien déterminés.

"Il n’est pas rare que la réglementation à laquelle ils sont soumis les oblige à tester régulièrement des périmètres définis et restreints, comme des pare-feux, des VPNs ou d’autres éléments spécifiques du système informatique", commente Anthony Maestre, membre de l’équipe Cyberforce Offensive Security.

Cette approche vise avant tout à répondre aux exigences de conformité, dans le cadre d’un audit par exemple, mais parce qu’ils sont généralement très ciblés, ces tests ne permettent pas de vérifier la sécurité de l’ensemble d’un environnement, ni l’efficacité globale des mesures mises en œuvre. Se limiter à ces tests peut donner un faux sentiment de sécurité.

Ce genre de tests d’intrusion permettent principalement de s’assurer que les configurations répondent bien à la politique définie et que les mesures prises sont conformes à ce qui est attendu ou exigé. Ils peuvent même s'avérer inutiles en fonction du périmètre défini ou des résultats attendus.

Adversary Simulation : mettre l’ensemble du dispositif de sécurité à l’épreuve

Au-delà des tests d’intrusion, il est tout aussi essentiel d’identifier les failles potentielles en mettant à l’épreuve l’ensemble du dispositif de sécurité.

"Pour cela, on peut recourir à une approche dénommée Adversary Simulation", explique Anthony Maestre.

"Dans ce contexte, une équipe externe comme la nôtre reçoit le mandat d’essayer de s’introduire dans le système de l’organisation, en s’appuyant sur des vecteurs d’attaque plus larges tels que ceux utilisés par de véritables attaquants. Il s’agit d’une simulation d’attaque réelle."

Le premier objectif : obtenir des accès depuis l’extérieur

Dans le cadre d’un tel exercice (qui s’étend généralement sur deux semaines), l’équipe Cyberforce Offensive Security de POST cherche des failles directement exploitables, en recourant aux techniques utilisées par les attaquants. Elle peut pour cela mettre en œuvre des campagnes de phishing, recourir à des approches de social engineering, chercher à atteindre les serveurs exposés ou, au besoin, tenter d’accéder aux infrastructures physiques

"Le premier objectif est d’obtenir des éléments, comme des vulnérabilités, emails, identifiants ou des mots de passe, qui nous permettront de nous introduire dans les systèmes de l’entreprise", précise Thomas Pianezzola.

"Une fois ces accès obtenus, nous allons chercher à persister dans le système, puis à élever nos privilèges autant que possible, en exploitant les failles de sécurité existantes."

Cette approche offensive permet d’identifier les vulnérabilités qui permettent un accès depuis l’extérieur et de tester l’ensemble de l’infrastructure interne afin de trouver les points à corriger pour renforcer la posture globale de l’organisation.

Qu’est-ce qu’un Assume Breach ?

"Malgré nos efforts, il n’est pas toujours possible de s’introduire dans le système du client depuis l’extérieur", précise Thomas Pianezzola.

"Cela ne signifie cependant pas qu’un tiers n’y parviendrait pas. Si l’on se donne le temps et les moyens, tout système peut être corrompu."

Si, au bout de deux ou trois jours de tentatives, l’équipe de POST n’a pas réussi à accéder aux systèmes, elle peut proposer une alternative pour tout de même tester la robustesse du système d’information de l’entreprise.

"On peut alors effectuer un test selon une approche appelée Assume Breach. Dans ce cas, l’organisation nous donne un accès à ses systèmes, via une solution d’accès à distance tel que Citrix ou un VPN par exemple, qui permet de simuler une compromission via une attaque de phishing réussie, ou encore déploie une backdoor sur un serveur exposé, simulant ainsi la compromission de celui-ci," explique Anthony Maestre.

"Notre mission est alors d’essayer de progresser dans le système depuis cet accès, dans le but d’obtenir les plus hauts niveaux d’autorisation possible. Cet objectif nécessitant généralement de passer par différentes étapes telles que la reconnaissance, l’établissement d’une persistance ou encore la compromission de plusieurs systèmes via des attaques par mouvement latéral, cela permet de vérifier si les mesures de sécurité en place — comme la ségrégation, les systèmes de détection et de réponse aux incidents, la configuration des rôles et des autorisations etc.— garantissent une protection optimale."

Découvrir les failles pour y remédier

Chaque exercice de sécurité offensive donne lieu à un rapport documenté, démontrant comment l’équipe « attaquante » a pu s’introduire et progresser dans le système. L’objectif est de permettre à l’organisation de remédier aux failles identifiées.

Découvrir l'ensemble de nos solutions de cybersécurité