Avec la prévalence des cyberattaques dans le monde d’aujourd’hui(plus de 467 000 plaintes ont été reçues par l’Internet Crime Complaint Center du FBI pour la seule année 2019), il n’est pas surprenant que les organisations investissent de plus en plus de ressources dans des mesures de sécurité efficaces. Leurs activités quotidiennes reposent de plus en plus sur les technologies numériques et un nombre croissant de systèmes critiques sont déployés sur l’internet. Les organisations devenant dépendantes de ces technologies, les dépenses mondiales en produits et services de sécurité de l’information ont augmenté pour atteindre 114 milliards de dollars en 2018, et devraient dépasser 133 milliards de dollars d’ici 2022.
Ces organisations utilisent trois tests essentiels pour tester et valider l’infrastructure du réseau de leur entreprise : les tests d’intrusion, les évaluations de vulnérabilité (ou scans ) et le ” red teaming” . Nombre d’entre elles ne comprennent pas bien la différence entre ces trois techniques, car elles présentent certaines similitudes. Dans cet article, nous discuterons de l’objectif principal de chaque test, de leurs différences et du moment où il convient de les utiliser.
Évaluation de la vulnérabilité
Contrairement aux test d’intrusion, qui nécessitent une intervention humaine à tous les niveaux, l’évaluation des vulnérabilités (ou analyse) est largement automatisée. Il est conçu pour vérifier les vulnérabilités courantes et connues associées à des technologies spécifiques utilisées par une entreprise. Par exemple, les analyses de vulnérabilité sont souvent utilisées par les équipes informatiques pour identifier les mauvaises configurations et les systèmes non corrigés présentant des vulnérabilités. Ils ont tendance à être confondus avec les tests d’intrusion, car ils effectuent tous deux diverses vérifications basées sur le cadre CVE, mais les analyses automatisées fournissent une évaluation beaucoup moins détaillée qui ne contextualise pas l’existence des vulnérabilités dans l’environnement ciblé. Les analyses de vulnérabilité ne sont généralement utilisées que pour les réseaux, y compris les pare-feu, les routeurs, les commutateurs et les serveurs, mais certains types d’analyses sont également utilisés pour les applications, bien qu’ils soient beaucoup moins efficaces.
En raison de leur nature automatisée, ils créent souvent des faux positifs ou fournissent des niveaux de risque inexacts, qui devraient toujours être validés par un spécialiste expérimenté, car ils pourraient entraîner un gaspillage important de ressources. Ces faux positifs peuvent conduire votre équipe informatique à passer du temps à corriger des vulnérabilités qui n’existent pas ou qui ne représentent pas une menace importante pour votre entreprise. Il est également important de noter que cette validation par un spécialiste n’augmente pas la profondeur de l’analyse et ne vise pas à valider leur existence dans l’environnement par leur exploitation. Pour plus d’informations sur la profondeur d’une analyse de vulnérabilité, cliquez ici.
Des analyses de vulnérabilité peuvent être effectuées régulièrement sur un certain nombre d’actifs afin d’identifier périodiquement les mauvaises configurations et les mises en œuvre non sécurisées. Dans la plupart des cas, ce sont des administrateurs de réseau ou des spécialistes de la sécurité ayant une bonne connaissance des réseaux qui effectuent ces évaluations. Le coût d’une analyse de vulnérabilité est nettement inférieur à celui d’un test d’intrusion, car elle ne nécessite pas autant d’expérience et peut être réalisée beaucoup plus rapidement. Bien qu’il ne faille pas les négliger et qu’il soit toujours recommandé d’effectuer des analyses périodiques, les entreprises ne devraient pas se fier uniquement à ce type d’évaluation si leur objectif est de protéger leurs systèmes contre des incidents potentiels.
Test d’Intrusion
L’objectif principal d’un test d’intrusion est d’identifier et de fournir des preuves pour chaque vulnérabilité existant dans l’infrastructure de sécurité d’une entreprise et l’impact tangible qu’elles pourraient avoir sur l’organisation ou ses utilisateurs. Contrairement aux analyses de vulnérabilité, les test d’intrusion font toujours intervenir un facteur humain. Les testeurs de pénétration agissent comme des “hackers” de facto dans le but de découvrir des faiblesses systémiques dans un périmètre ciblé, de reproduire les techniques utilisées par les hackers et d’exploiter les vulnérabilités en toute sécurité afin de déterminer exactement ce qui pourrait se produire si un hacker utilisait chaque vulnérabilité. Par exemple, un testeur peut exploiter des failles dans la logique d’entreprise (la manière dont une application traite une action donnée) pour contourner les mécanismes d’autorisation, ce qui lui permet de déterminer ce à quoi un attaquant pourrait potentiellement accéder en tirant parti de cette faille spécifique. En exploitant chaque vulnérabilité, le spécialiste du test d’intrusion sera en mesure d’attribuer un niveau de risque en fonction de la facilité avec laquelle les pirates peuvent les exploiter et de leur impact potentiel sur l’entreprise.
Les tests de pénétration aident les organisations à définir les grandes lignes et à répondre à des questions clés, telles que
- Où un attaquant pourrait-il nous cibler ?
- Quelles sont les failles et les lacunes de sécurité qu’ils pourraient exploiter ?
- Que pourrait faire l’attaquant en exploitant chaque vulnérabilité ?
- Pourraient-ils accéder à des données sensibles ?
Pour l’essentiel, les tests d’intrusion sont conçus pour découvrir de nouvelles vulnérabilités ou celles propres à l’environnement de l’entreprise, tout en veillant à ce qu’il n’y ait pas de “faux positifs”. Les organisations peuvent s’appuyer sur les recommandations fournies par les spécialistes du test d’intrusion pour allouer efficacement leurs ressources tout en mettant en œuvre des mesures qui sécurisent correctement leurs systèmes. Par rapport aux évaluations de vulnérabilité, ce type de test est beaucoup plus approfondi et fournit un point de référence précis sur les risques de cybersécurité auxquels l’organisation est confrontée. Il s’appuie sur des techniques manuelles combinées à des outils spécialisés pour optimiser leur temps, offrant ainsi la perspective réelle d’un attaquant.
Les tests de pénétration peuvent durer de quelques jours à plusieurs semaines, en fonction de l’étendue de l’évaluation. Compte tenu du facteur humain derrière le test d’intrusion, celui-ci ne devrait pas avoir d’effet sur l’intégrité ou la disponibilité des systèmes ciblés, étant donné que l’utilisation d’outils automatisés est limitée et bien configurée pour éviter tout inconvénient. En outre, les spécialistes en test d’intrusion sont des professionnels de l’informatique hautement qualifiés et expérimentés. Par conséquent, les test d’intrusion sont généralement plus coûteux qu’une évaluation de la vulnérabilité, mais ils fournissent une représentation beaucoup plus détaillée de votre cybersécurité telle qu’elle est.
Red Team
Le red teaming est très similaire aux test d’intrusion en ce sens qu’il fait largement appel à “l’élément humain” pour découvrir les faiblesses en matière de sécurité. Cependant, contrairement à un test d’intrusion conçu pour identifier et exploiter les vulnérabilités architecturales, l’objectif principal d’une évaluation de l’équipe rouge est de tester les capacités globales de détection et de réponse de l’organisation, ainsi que l’ensemble des mesures de sécurité en place. En d’autres termes, les simulations d’attaques de l’équipe rouge ne se contentent pas de tester les contrôles informatiques d’une entreprise, mais déterminent également l’état de préparation à la sécurité de son personnel, de ses processus et de ses installations. Elle cible tous les actifs que le spécialiste peut trouver au cours de l’évaluation et reproduit une cyberattaque réelle complète.
Le red teaming est généralement coordonné avec un seul acteur clé de l’entreprise, tel que le directeur informatique ou un vice-président, sans que cet acteur n’informe son équipe informatique qu’un exercice est en cours. N’ayant pas le temps de se préparer à une attaque, l’équipe informatique doit réagir à la simulation comme elle le ferait lors d’un événement réel. Cela permet aux dirigeants de l’entreprise de déterminer la solidité de leurs mesures et pratiques de sécurité actuelles. Un cas d’utilisation courant d’une simulation d’équipe rouge est celui d’une fusion d’entreprises, lorsque l’entreprise acheteuse souhaite évaluer la cybersécurité de la nouvelle filiale à l’insu de son équipe informatique.
Alors que les tests d’intrusion sont généralement mieux adaptés aux organisations qui en sont encore aux balbutiements de leur programme de sécurité, le red teaming est souvent initié par des entreprises qui disposent depuis longtemps de processus et d’une infrastructure de sécurité matures. Ces entreprises peuvent déjà avoir des résultats positifs aux test d’intrusion et une culture de vigilance à l’égard des cyberattaques potentielles. Toutefois, une simulation d’attaque en équipe rouge permet de déterminer la solidité de ces mesures de sécurité dans une situation réelle.
Conclusion
En résumé, les trois tests mentionnés ci-dessus jouent un rôle crucial dans la protection de votre infrastructure informatique contre les attaques malveillantes, mais ils doivent être utilisés dans des contextes différents. Par exemple :
- Les tests de pénétration permettent de découvrir les vulnérabilités que les pirates informatiques pourraient exploiter dans le monde réel et de prouver leur impact à l’aide de preuves concrètes.
- Les analyses de vulnérabilité fournissent une vue d’ensemble de vos systèmes mal configurés et non corrigés, avec les vulnérabilités courantes associées à leurs technologies.
- Les simulations en équipe rouge permettent de déterminer dans quelle mesure vos systèmes, les membres de votre personnel informatique et vos mesures de sécurité répondront efficacement à une attaque réelle.
Chacune de ces évaluations s’inscrit dans le processus holistique d’analyse des cyberrisques et peut vous aider à déterminer les contrôles les mieux adaptés à votre entreprise ou à votre service, ainsi que les meilleures politiques et pratiques à mettre en œuvre. Il est donc essentiel de comprendre les différences entre ces techniques et de les combiner dans une stratégie consolidée de gestion des risques afin d’utiliser chacune d’entre elles de manière efficace. Vous réduirez ainsi considérablement les risques qu’un pirate compromette votre système tout en optimisant votre budget de cybersécurité.
