La sécurité doit être testée, testée et testée encore. Il est devenu plus facile que jamais pour les cybercriminels de trouver de nouveaux moyens furtifs d'accéder aux systèmes et d'y naviguer latéralement, d'exploiter les lacunes dans les flux de travail hybrides ou de détourner les comptes cloud pour accéder à une cible. Il est essentiel que chaque RSSI puisse offrir une image claire de la façon dont sa sécurité résiste réellement aux dernières tactiques, techniques et procédures. Cependant, j'ai trop souvent vu mes collègues RSSI tomber dans un cycle de préparation de tests de pénétration annuels de systèmes ponctuels pour être "conformes", ce qui en fait des cibles faciles attendant simplement qu'une brèche se produise.
L'analyse de la vulnérabilité ne suffit pas
En réalité, de nombreux RSSI ne vont tout simplement pas assez loin en optant uniquement pour un test de pénétration de base. Il s'agit d'un bref test technique d'un composant ou d'un système spécifique, dont l'objectif est de trouver et d'exploiter les vulnérabilités techniques. Souvent, cependant, il ne s'agit guère plus que d'un balayage automatisé, qui met en évidence des vulnérabilités exceptionnelles, mais sans aucun contexte concernant les menaces réelles auxquelles votre entreprise est confrontée - ou la manière dont les attaquants pourraient les exploiter.
En revanche, un exercice d'équipe rouge dirigé par une menace est plus complet, car il envisage de multiples scénarios couramment utilisés par de vrais attaquants, englobant les personnes, les processus et la technologie. Il permet de mieux comprendre comment les cybercriminels peuvent tenter d'identifier et d'exploiter les maillons les plus faibles de la chaîne pour atteindre leurs objectifs (par exemple, l'exfiltration des données des clients).
Un exercice de l'équipe rouge peut même ne pas nécessiter l'exploitation d'une vulnérabilité liée à la technologie ; les testeurs peuvent plutôt s'appuyer sur l'ingénierie sociale, l'hameçonnage ou l'identification de l'informatique fantôme comme point d'entrée. Les membres de l'équipe rouge peuvent même laisser des clés USB malveillantes à l'extérieur des bureaux et attendre que les employés les branchent.
Cette connaissance vaut son pesant d'or. Elle permet à l'organisation d'améliorer ses défenses de manière progressive, en s'attaquant à la voie d'accès la plus simple mais la plus probable pour pénétrer dans l'organisation du point de vue de l'attaquant. Pourquoi consacrer son temps et son attention à la correction d'une vulnérabilité technique complexe (mais théorique) alors qu'un pirate informatique choisit toujours l'option la plus facile ?
Après un exercice de l'équipe rouge
Grâce aux connaissances acquises lors d'un exercice en équipe rouge, le RSSI peut donner la priorité aux programmes d'amélioration afin d'agir efficacement contre les risques réels, en repérant les lacunes qui n'auraient pas été détectées lors d'un test d'intrusion standard. Bien entendu, le RSSI sera certainement soumis à une pression considérable pour atténuer rapidement les risques les plus graves, et la transformation de l'informatique ne se fait pas rapidement.
Les RSSI devraient d'abord s'attaquer aux solutions les plus simples pour renforcer immédiatement la sécurité, puis envisager d'ajouter des capacités préconfigurées de détection et d'atténuation des menaces sur le réseau. Cette approche renforce considérablement la capacité de détection des menaces pour la sécurité. Elle offre également un délai de rentabilité beaucoup plus court que la détection et la réponse sur endpoint , tout en améliorant immédiatement la visibilité, sans pour autant nécessiter un changement complet des environnements de postes de travail ou de serveurs. En outre, elle réduit le temps passé à examiner les nombreuses alertes, en les classant par ordre de priorité afin de repérer - et d'arrêter - les menaces les plus urgentes avant qu'elles ne se transforment en véritable brèche.
En testant jusqu'au dernier degré, les RSSI peuvent à la fois réduire leurs risques et identifier les moyens les plus efficaces d'améliorer leur sécurité. Cette procédure devrait figurer en tête de leur agenda dans les mois à venir.
Ce blog a été publié pour la première fois dans The Register.