Points de vue

Opérations en Red Teaming

Une approche holistique pour évaluer la sécurité de l’information

Les organisations partent souvent de l'hypothèse selon laquelle la sécurité de leurs systèmes informatiques garantit celle de leurs informations. Afin de renforcer la sécurité de leurs systèmes informatiques, elles effectuent souvent des tests d'intrusion – des attaques simulées sur les systèmes informatiques pour identifier les vulnérabilités conduisant à des risques réels. Cependant, dans la réalité, les pirates ne se limitent pas à porter atteinte aux systèmes ayant subi des tests d'intrusion ou à un système informatique en général. Aujourd'hui, les pirates utilisent des méthodes beaucoup plus sophistiquées. Ils combinent différents éléments qui vont au-delà des systèmes informatiques, avec l'objectif de trouver le chemin de moindre résistance. En conséquence, en raison de leur portée limitée et fixe, les tests d'intrusion seuls ne répondent pas adéquatement au risque posé par les pirates, laissant ainsi les organisations vulnérables à des attaques réelles.

En général, une attaque réelle porte sur trois éléments de sécurité de l’information qui sont reliés entre eux :

  • L'environnement physique: les bâtiments, les bureaux, les coffres forts et les éléments physiques de l'infrastructure informatique. 
  • Le cyber environnement: le monde en ligne, Internet, ainsi que les intranets d'entreprise et leur interconnectivité avec d'autres réseaux de fournisseurs et de partenaires commerciaux. 
  • L'environnement humain: les employés, les clients et les tiers qui gèrent l'information au sein d'une organisation.
Opérations en Red Teaming

Trouver le maillon le plus faible

Au cours des dernières années, la grande majorité des incidents de cyber sécurité ont été causés par des problèmes de comportement humain – l'un des maillons les plus faibles et inidentifiables par les tests d'intrusion. Un test par Red Teaming permet non seulement de tester les contrôles préventifs techniques, mais également les capacités de défense humaines, qui ne sont pas testées par les tests d'intrusion traditionnels.

Un aspect important d'une attaque réelle est la reconnaissance. Au cours de cette phase, un pirate utilise divers outils et techniques pour recueillir le plus de renseignements possible au sujet de la victime. Par exemple, un pirate pourrait utiliser des renseignements de sources publiques, en recherchant des informations pertinentes sur une organisation (p. ex. noms d'utilisateur, mots de passe, règles opérationnelles, etc.) sur le Web et le Web caché (Dark Web). En raison de leur portée limitée et prédéfinie, les tests d'intrusion traditionnels les prennent rarement en compte, ce qui pourrait rendre une organisation vulnérable à des attaques.

Les opérations en Red teaming permettent aux organisations d'évaluer leur état de préparation et leur sensibilisation à l'égard d'attaques réalistes, au travers d'incidents contrôlés basés sur des scénarios prenant en compte tous les éléments d'une organisation (environnement humain, physique et cyber).

Les facteurs de réussite et notre recommandation

Le succès des opérations en Red teaming dépend d'une planification minutieuse qui crée des simulations d'attaques réalistes pour une organisation. Les attaques aléatoires aux objectifs aléatoires ne seront pas suffisantes. La meilleure planification repose sur une connaissance approfondie des processus et de l’organisation d’une entreprise. Lors de la phase de planification, il est important d'identifier les principaux risques d'une organisation. Ceux-ci sont propres à chacune d’elles et servent de base à la création d'incidents contrôlés basés sur des scénarios réalistes.

D'après notre expérience, le succès des opérations en Red Teaming repose sur trois principes.

  1. Un mélange de connaissances: Les exercices en Red Teaming doivent combiner connaissances techniques et une bonne compréhension du fonctionnement des processus métiers pour être utiles et représentatifs. 
  2. La compréhension de l'adversaire: Le succès d'un exercice en Red Teaming dépend d'une compréhension approfondie du profil d'un pirate potentiel. En plus de posséder les compétences et les connaissances d'un pirate, l'équipe doit être capable de penser en tant que tel. En bref, les objectifs du pirate doivent être identifiés comme l’un des risques pesant sur l'organisation et doivent être intégrés dans les scénarios suivis par l'exercice en Red Teaming.
  3. Des équipes mixtes: La collaboration est essentielle. Pour que l'exercice soit efficace, il faut travailler ensemble et conjuguer à la fois les efforts et l'expertise de l'équipe de Red Teaming et de l'équipe de défense. Travailler dans un tel cadre de collaboration permet de dérouler des exercices en Red Teaming qui sont utiles, ciblés, agiles, rentables et, par conséquent, améliorent les capacités de défense.

Voici le déroulement d'une cyberattaque

Combien de fois avons-nous l'occasion d'assister au déroulement d'une cyberattaque réelle, et d'en voir en direct les conséquences sous nos yeux? Espérons jamais. Nous avons créé deux vidéos pour vous donner un aperçu de ce à quoi vous pourriez faire face. Faites l'expérience de la rapidité et de l'intensité d'une cyberattaque ; en suivant son déroulement, découvrez comment les entreprises peuvent se défendre, maîtriser la situation, et y répondre efficacement.

Regardez:

Si vous souhaitez participer à une première discussion concernant les opérations en Red Teaming ainsi que l’approche de Deloitte permettant d’assurer le succès de la démarche, nous vous invitons à prendre contact avec notre équipe.

Auteur

Gianni Crameri, Assistant Manager

+41 58 279 6413
Email

Spécialiste de la cyber-sécurité chez Deloitte en Suisse, Gianni dirige les offres de sécurité des produits. Il a aidé des clients à concevoir et à mettre en œuvre des contrôles de sécurité à travers différents secteurs, en particulier dans les domaines de l’industrie manufacturière et des sciences de la vie. Il est notamment spécialisé dans la sécurité de l’Internet des objets et des systèmes de contrôle industriel, l'architecture de sécurité, la protection des données et la transformation stratégique de la sécurité.

Cela vous a-t-il été utile ?