Pourquoi il est temps d’aller vers la cyber offensive
Comment s’assurer que les mesures de protection cyber mises en œuvre sont réellement efficaces ? En les confrontant aux hackers et aux méthodes de la cyber offensive. Une approche qui regroupe de multiples facettes.
Dans l’imaginaire collectif, la cyber offensive fait penser à l’action des services secrets et surtout à la cybercriminalité. Le vocabulaire même de la cyber offensive avec sa « Blue Team contre la Red Team » a des airs de guerre froide.
Pour une entreprise, la cyber offensive consiste essentiellement à recourir à des hackers éthiques pour éprouver la sécurité de son système d’information. Le terme « cyber offensive » regroupe en fait de multiples techniques complémentaires.
Au sommet de la liste des risques figure l’attaque par phishing, point d’entrée de nombreux ransomwares. Plusieurs solutions du marché, dont Microsoft Defender pour Office 365 Plan 2 ou Microsoft 365 E5 permettent de mener des simulations d’attaque et envoyer des emails de phishing inoffensifs afin d’identifier les collaborateurs les plus enclins à cliquer sur les liens et de leur proposer des formations.
Mouloud Aït-Kaci, fondateur de la société de conseil Hackyom prévient : « Ces opérations sont difficiles à mettre en œuvre pour les entreprises même s’il existe des solutions automatisées ou des prestataires spécialisés. En effet, il faut concevoir des campagnes de phishing pertinentes qui permettent de sensibiliser par étapes des populations de collaborateurs sur des risques spécifiques liés au vecteur d’attaque phishing. »
1 Pentest : l’approche cyber offensive la plus usitée
Avec l’audit de code source, de configuration, d’architecture, l’audit organisationnel et l’audit de sécurité physique, le pentest est le moyen pour le concepteur d’une application de s’assurer de la sécurité d’une application. Le principe est simple : demander à des auditeurs de lister toutes les vulnérabilités sur un périmètre bien précis.
« Le test d’intrusion intervient en général lorsqu’on arrive au stade de l’avant mise en production puis lors de l’exploitation de l’application » précise Mouloud Aït-Kaci. « Il faut bien avoir en tête qu’un test d’intrusion n’est pas exhaustif et ne peut être complet : on ne peut jamais tout tester dans le délai et le budget imparti et les tests dépendent aussi de la séniorité de l’auditeur. »
Rémi Gascou, hacker éthique, Pentest Team Leader & Consultant Cybersécurité offensive chez Capgemini ajoute : « Il est nécessaire de bien définir le périmètre des tests et de ne pas hésiter à auditer des applications critiques. Souvent, on a tendance à ne pas vouloir toucher aux applications trop sensibles tant qu’elles fonctionnent, mais c’est également très important de les auditer et de les protéger, car ce sera les cibles prioritaires des attaquants. »
2 Red Team : les commandos de la cyber
Alors qu’un pentest est horizontal, avec un attaquant qui cherche toutes les vulnérabilités sur un périmètre précis, le rôle d’une Red Team cherche à rentrer dans le système d’information le plus profondément possible dans le cadre des règles d’engagement préalablement établies.
La Red Team fonctionne très souvent en boite noire avec quasiment aucune information sur sa cible. Et le SOC peut être prévenu au préalable… ou pas. Une Red Team évalue les mécanismes de défense techniques ou organisationnels, mais peut aussi entraîner les équipes chargées de les mettre en œuvre. C’est ce que l’on appelle un fonctionnement en Purple Team.
A ces prestations généralement commandées auprès de cabinets de conseil ou d’entreprises de services numériques aux process bien industrialisés et standards, certaines entreprises très matures dans leurs processus DevSecOps s’intéresse à une approche un peu différente, le Bug Bounty.
« Mettre en œuvre un programme de Bug Bounty revient à se doter d’une armée virtuelle d’experts très qualifiés qui peuvent individuellement et potentiellement être pertinents sur LE maillon faible de votre sécurité. » explique Mouloud Aït-Kaci.
L’expert souligne que se lancer dans le Bug Bounty n’est pertinent que si on est déjà très mature sur les process de pentest et que l’on est capable de corriger très rapidement les failles remontées par les hackers, ce qui est encore loin d’être le cas de toutes les entreprises.
Pour aller plus loin :
> Témoignage : Cloud, Darknet, Pen tests … Comment j’ai transformé mon approche de la cybersécurité
> Les compétences à attendre d’un prestataire cyber
Sur le même thème
Voir tous les articles Cybersécurité