Pour renforcer la protection de son environnement informatique, de ses données comme de ses applications critiques, il est important de les mettre régulièrement à l’épreuve du feu. Les attaquants, on le sait, cherchent à exploiter la moindre faille. Pour peu qu’ils disposent de moyens suffisants et de temps, il est probable qu’ils parviennent à pénétrer n’importe quel système.
« Pour les équipes de cybersécurité, il est dès lors important de chercher à identifier les failles directement exploitables afin de limiter les possibilités d’intrusion ou, dans l’hypothèse où celle-ci aurait lieu, de garantir la meilleure protection des systèmes considérés comme critiques. Pour cela, il est essentiel de recourir à des approches réalistes de sécurité offensives », explique Thomas Pianezzola, membre de l’équipe Cyberforce Offensive Security.
Simulations d'attaques en temps réel
Comment cela fonctionne-t-il ? L’équipe Cyberforce Offensive Security, au sein de DEEP, propose un ensemble de services d’accompagnement aux organisations désireuses de mettre à l’épreuve leur dispositif de sécurité dans sa globalité. Dans le domaine de la cybersécurité, on parle souvent de « red team » : une équipe chargée de tenter de pénétrer les systèmes informatiques d’une entreprise afin d’en révéler les failles.
« À cette fin, nous pouvons agir de diverses manières. Cependant, pour que l’exercice soit le plus concluant possible, le mieux est de simuler les conditions réelles d’une attaque », explique Anthony Maestre, autre membre de l’équipe. On parle alors d’Adversary Simulation. « Selon la volonté du client, nous avons la possibilité d’agir avec une grande liberté ou encore de cibler un vecteur d’attaque bien précis, comme le phishing, l’ingénierie sociale ou l’attaque des serveurs exposés », poursuit l’expert.
Tous les moyens sont bons
Si elle dispose d’une grande liberté, l’équipe en charge de l’attaque agira comme le feraient de réels attaquants, en mettant en place des campagnes de phishing pour récupérer des identifiants ou délivrer des malwares, ou encore en cherchant à pénétrer les infrastructures physiques. « Afin de nous introduire dans le système, tous les moyens sont bons. Nous procédons comme le feraient ceux qui chercheraient réellement à atteindre l’entreprise. Nous pouvons recourir à des approches informatiques, mais aussi essayer de nous introduire dans les bâtiments, quitte à crocheter des serrures », assure Thomas Pianezzola.
Progresser sous les radars
Une fois à l’intérieur du système, la Red Team a pour mission de tester la robustesse du dispositif de sécurité. Si celui-ci est suffisamment costaud, avec des contrôles renforcés et des éléments bien ségrégués, la liberté de mouvement des attaquants devrait être limitée. « Au-delà de l’obtention d’un accès initial, le plus complexe est de parvenir à le conserver. L’enjeu est alors d’effectuer un mouvement latéral — autrement dit, de progresser plus profondément dans l’infrastructure, le tout sans se faire détecter. L’objectif, le plus souvent, est d’obtenir le plus haut niveau de privilèges », précise Anthony Maestre.
Tester la capacité de détection et de réaction
L’équipe chargée d’attaquer les systèmes de l’organisation ne doit pas seulement révéler les failles, mais aussi tester les capacités de détection et de gestion des alertes des personnes chargées de la protection (la « Blue Team », dans le jargon). Dans cette optique, l’équipe offensive n’hésite pas à intervenir en dehors des horaires de bureau : en soirée, la nuit ou le week-end, à des moments où la vigilance retombe.
Si elle parvient à passer sous les radars et à s’introduire, l’enjeu est alors de démontrer — en documentant ses actions — sa capacité à compromettre les systèmes de l’entreprise, jusqu’à l’infrastructure, depuis le vol de credentials jusqu’à la mise en place potentielle d’un malware persistent. « Ce type d’exercice vise non seulement à évaluer la capacité de détection d’une entreprise, mais surtout à mesurer l’efficacité de sa réponse face à des scénarios proches de conditions réelles.», explique Thomas Pianezzola.
La fin justifie les moyens
La grande différence entre l’équipe en charge de la simulation et de réels attaquants réside essentiellement dans les moyens dont chacun dispose. Un exercice offensif est évidemment limité par le temps et le budget que l’organisation y consacre. De manière générale, la simulation se déroule sur deux semaines. « Tenter de pénétrer un système depuis l’extérieur est une chose. Cependant, si au bout de quelques jours nous n’y parvenons pas, nous proposons au client d’adopter une autre approche, ajoute Anthony Maestre. Par exemple, le client peut nous accorder un accès à ses systèmes via un assume breach (faille assumée), comme la compromission d’un accès VPN, de l’ordinateur d’un employé ou encore d’un serveur Web, dans le but de tester la sécurité du système d’information une fois l’attaquant à l’intérieur. Il faut toutefois partir du principe que si un réel attaquant souhaite vraiment pénétrer un système et qu’il en a le temps, il y parviendra. »
