L’audit Red Team, une technologie de défense des systèmes d’information

L’audit Red Team, une technologie de défense des systèmes d’information

Nous ne cessons de l’entendre dire, les pirates informatiques ont une longueur d’avance dans leurs techniques d’attaques par rapport aux technologies de protection. Dans ce cas, comment se maintenir au niveau des hackers ? Une question qui taraude les DSI (directeurs des systèmes d’information) qui cherchent à rivaliser d’idées pour protéger leurs infrastructures.

Dans un premier temps, les entreprises ont recours à des tests d’intrusion pour évaluer la sécurité des systèmes d’information ou des réseaux informatiques. Il consiste à se mettre dans la peau d’un attaquant souhaitant s’introduire dans le système d’information pour y effectuer des méfaits. Aujourd’hui il existe trois types de contexte pour l’exécution d’un test d’intrusion.

  • Mode Black box : dans le contexte Black Box, le pentester se met réellement dans la peau d’un attaquant externe et commence son test d’intrusion en ayant le moins d’information possible sur sa cible (sa cible étant alors l’entreprise ayant demandé un pentest). En effet, lorsqu’un assaillant  débute son attaque, il ne dispose pas de la cartographie complète du SI, de la liste des serveurs avec leurs IP, etc. Le contexte Black Box vise donc à trouver et à démontrer la présence d’un plan d’action exploitable par une personne externe permettant de prendre le contrôle du système d’information ou de mettre la main sur certains actifs critiques . Avec pour point de départ un ensemble très restreint d’informations , le pentester doit chercher depuis l’extérieur comment s’introduire dans le système cible ; il adopte alors la méthodologie et le comportement qu’aurait un pirate réel.

 

  • Mode White Box : ici, c’est exactement l’inverse. Le pentesteur travaille en proche collaboration avec le DSI, le RSSI et l’équipe technique du système d’information. Le but est alors d’obtenir 100% des informations sur le système d’information et d’accompagner la DSI/RSSI dans la détection de vulnérabilités. Un des avantages du mode White Box est que l’on peut alors détecter des failles de sécurité de façon plus large et que le mode Black Box n’aurait pas permis de déceler ; par exemple si le pentester n’avait pas atteint un certain stade de l’intrusion. De plus, le mode White Box s’intègre plus facilement dans le cycle de vie du SI, parfois à chaque stade de son évolution.

 

  • Mode Grey Box : Dans ce mode le pentester débute son test d’intrusion avec un nombre limité d’information, en étant par exemple dans la peau d’un utilisateur du SI. En tant que membre du service comptabilité par exemple, il débutera avec un poste dans le LAN, un compte utilisateur valide, l’accès à certaines applications métiers. En revanche il n’aura par exemple pas la permission de demander la version du serveur de mail à la DSI, information que la DSI ne donnerait pas à un utilisateur lambda.

 

Cependant ces méthodes ne sont plus suffisantes pour contrer les pirates informatiques. Il est aujourd’hui important d’évaluer comment les systèmes d’informations réagissent face à une attaque avancée. L’audit Red Team n’est pas là qu’un nouveau buzzword marketing  : il est important de comprendre en quoi consistent réellement ces interventions et dans quelle mesure elles diffèrent des tests d’intrusion traditionnels.

Les tests d’intrusion Red Team ont pour but d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection, qu’ils soient techniques, physiques ou humains, face à une attaque ciblée. L’intérêt est de refléter au plus près la réalité et de simuler une attaque externe dans laquelle les pirates auraient pris le temps d’étudier le SI ciblé et de dissimuler leur présence.

La prestation se déroule sur plusieurs semaines. Cette période large permet d’intervenir par phases d’actions avec des attaques informatiques ou des campagnes de phishing*, en passant par l’intrusion physique des locaux par exemple.

Les campagnes Red Team proposent d’évaluer d’une part le niveau de sécurité d’un système d’information de manière générale et d’évaluer d’autre part les actions de la Blue Team (l’équipe technique de l’entreprise ou de son SOC) en charge de réagir à l’intrusion, quelle qu’elle soit. Les attaques doivent être complexes et préparées de manière à ne pas être repérées par l’équipe interne à l’entreprise.

Quels sont les avantages pour une entreprise ?

Grâce à cette approche, l’entreprise pourra se concentrer sur les chemins critiques d’intrusion afin d’identifier un maximum de vulnérabilités  susceptibles d’être exploitées, ainsi que les scénarios probables menant à une compromission du système d’information.

Les missions Red Team permettent également de sensibiliser les collaborateurs aux risques cyber. En ce sens, elles sont un axe de travail prioritaire pour l’amélioration du niveau de sécurité de l’entreprise.

Le livrable de mission prend la forme d’un rapport complet articulé autour de différentes sections :

  • Une synthèse générale à destination de la direction et des responsables présentant un résumé de la mission, avec une analyse de risque globale et une évaluation des efforts nécessaires pour traiter les risques résiduels.
  • Un plan d’action recommandé, sous la forme d’un tableau d’actions classées par ordre de priorité (rapport difficulté/gain).
  • Les scénarios d’attaques ayant réussi et échoué y sont généralement présentés sous la forme de séquences chronologiques. Les auditeurs détaillent également les actions de l’entreprise le cas échéant.
  • L’ensemble des vulnérabilités découvertes pendant l’audit sont présentées, à destination du personnel opérationnel et technique. Chacune est évaluée en matière de risque et d’effort nécessaire à sa correction. Les étapes d’exploitation et les recommandations sont également détaillées dans cette section.

Ce type de mission s’inscrit donc directement dans le processus de gestion du risque et encourage les contre-mesures efficaces et pragmatiques afin d’abaisser rapidement le risque à un niveau acceptable par le client ou la règlementation.

(*envoi d’emails ayant pour but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance).