Groupe ADP pilote son MCS avec MITRE ATT&CK

Clément Bohic,
Linkedin
Groupe ADP MITRE ATT&CK

Groupe ADP fonde le pilotage de son maintien en condition de sécurité (MCS) sur le framework MITRE ATT&CK. Aperçu avec le responsable sécurité pour la DSI.

Quelle(s) matrice(s) pour quel(s) périmètre(s) ? Cette question jalonne la démarche d’adoption de MITRE ATT&CK par Groupe ADP.

Voilà trois ans que l’entreprise publique s’est orientée vers ce framework. Aurélien Jolly, responsable sécurité informatique pour la DSI, a fait le point lors des Assises de la sécurité 2023.

Inventé en 2013, ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) permet l’analyse combinée – et de bout en bout – de vulnérabilités. Ayant d’abord couvert Windows, il englobe aujourd’hui Linux, macOS, le cloud (Office 365, Azure AD, Google Workspace, SaaS et IaaS), le réseau, les conteneurs, le mobile (Android, iOS) et les systèmes industriels.

Chacun de ces environnements a sa matrice. Avec, en abscisse, des « tactiques » d’attaque (reconnaissance, accès initial, persistance, etc. ; plus on va vers la droite, plus on avance dans le SI). Et en ordonnée, les « techniques » qui permettent d’exécuter les attaques.

ATT&CK gère un autre type d’objet : les mitigations (« atténuations »). Elles correspondent aux classes de technologies qu’on peut mettre en œuvre pour endiguer l’exécution d’une technique d’attaque.

Un outil pour la phase run

Groupe ADP utilise aujourd’hui le framework pour piloter son maintien en condition de sécurité. À travers son scanner Cyberwatch, il fait le lien entre les vulnérabilités et les techniques MITRE associées. Les données d’exposition aux CVE sont agrégées et projetées – par API – sur la matrice pour chaque périmètre du SI. On détermine ainsi les techniques les plus impactantes (la somme des vulnérabilités se traduit par un code couleur).

Pour réaliser le suivi du MCS (maintien en condition de sécurité), Groupe ADP génère des indicateurs – au maximum de manière automatisée – sous la forme de scores de 0 à 100. Il en partage le mode de calcul « écrit de façon littérale » pour s’assurer de sa compréhension par toutes les parties prenantes. Les indicateurs sont reliés aux mitigations. On peut donc calculer la performance sur chaque technique.

Aurélien Jolly l’a constaté : une telle approche donne une « vision 2D » du SI. Par exemple, on bien couvrir l’énumération de comptes Windows sans avoir vu qu’il y a l’énumération de comptes Linux sur certaines machines. « On commence à essayer de générer les priorisations en fonction des périmètres, avance-t-il. On a différentes matrices, pour les indicateurs de performance, pour les indicateurs de maturité et éventuellement aussi pour les différents périmètres du SI ».

Pour les détails d’architecture SI, on repassera. « Deux grandes tendances » se dégagent, néanmoins. D’un côté, une partie bureautique. De l’autre, une partie métier aéroportuaire. C’est celle sur laquelle Groupe ADP découpe le référentiel ATT&CK.

« Shift left » sur la matrice ATT&CK

Quant aux « indicateurs de maturité », ils permettent de noter les processus liés aux mitigations. Groupe ADP s’est fondé sur le CMMI (Capability Maturity Model Integration). Celui-ci établit une notation à cinq échelons :

– Au niveau 0, absence de processus
– Niveau 1 : le résultat du processus se base sur l’humain (pas d’évaluation d’efficacité, pas de documentation, aucune vision)
– Au niveau 2 : processus discipliné, acteurs définis et connus, actions contrôlées
– Au niveau 3 : boucle d’amélioration, gestion de risque
– Et au niveau 4 : processus mis sous surveillance, avec des indicateurs qualitatifs et quantitatifs, ainsi que des actions correctives en cas de dérive

La formule utilisée pour prioriser les mitigations tient compte de deux éléments. D’une part, la complexité de leur mise en œuvre. De l’autre, la position des techniques qu’elles adressent au sein du framework (on privilégie une correction le plus en amont possible).

L’évolution rapide d’ATT&CK (deux releases par an) peut poser des problèmes. « Le MITRE, de temps en temps décide de changer les formats de fichiers. Ce qui fait que tout ce que vous aviez automatisé pour mettre en place votre MCS n’est plus forcément valable », signale Aurélien Jolly.

Nombre d’outils de sécurité ont intégré une pise en charge du framework. Du côté de Cyberwatch, on a poussé, notamment, un dispositif de priorisation des vulnérabilités en fonction de catalogues réglementaires comme celui du CERT-FR et avec des combinaisons calculées à partir des scores CVSS et EPSS.

Illustration © pinkeyes – Adobe Stock