La question n'est pas de savoir si une organisation sera compromise, mais quand cela arrivera. Un pirate informatique compétent, bien équipé et expérimenté pourrait facilement devenir votre pire cauchemar en matière de cybermenaces. Heureusement, si votre organisation engage une équipe rouge ou « red team », un hacker éthique pourrait aussi devenir votre meilleur allié.
Réaliser des tests d'équipe rouge est le moyen le plus réaliste pour valider vos défenses, identifier les vulnérabilités et améliorer la posture de cybersécurité de votre organisation. Ces tests offrent à votre équipe bleue l'opportunité d'évaluer avec plus de précision l'efficacité de votre programme de sécurité et d'y apporter des améliorations. C’est aussi ainsi que de plus en plus d’organisations adoptent une approche résiliente face à leur posture de cybersécurité.
Pour en savoir plus sur les avantages du red teaming, les différences entre les équipes rouges et bleues, ainsi que la définition d’une équipe violette, consultez mon précédent article de blog, « Qu'est-ce que le red teaming ? »
Dans le cadre des tests de sécurité, les équipes rouges sont des experts en sécurité qui jouent le rôle des « méchants » pour tester les défenses de l'organisation face aux équipes bleues, les défenseurs.
Aussi qualifiées que de véritables acteurs de la menace, les équipes rouges analysent la surface d’attaque pour identifier les moyens d’obtenir un accès, de s’établir, de se déplacer latéralement et d’exfiltrer des données. Cette approche diffère des tests d'intrusion, qui consistent principalement à identifier des informations sensibles ou des vulnérabilités exploitables, et à tester les défenses de cybersécurité afin d'accéder aux contrôles de sécurité.
Contrairement aux cybercriminels, les membres de l'équipe rouge n'ont pas l'intention de causer de réels dégâts. Leur objectif est plutôt de mettre en lumière les faiblesses de vos défenses de cybersécurité, afin que les équipes puissent ajuster leur programme avant qu'une attaque réelle ne se produise.
Une citation bien connue dit : « En théorie, la théorie et la pratique sont les mêmes. En pratique, elles ne le sont pas. » La meilleure façon d’apprendre à prévenir et à se remettre d’une cyberattaque est de s’exercer en réalisant des activités de red teaming. Sans preuve tangible de l’efficacité de vos tactiques de sécurité, il est facile de gaspiller des ressources dans des technologies ou des programmes inefficaces.
Il est difficile de savoir ce qui fonctionne réellement, ce qui ne fonctionne pas, où des investissements supplémentaires sont nécessaires et lesquels ne valent pas la peine, tant que vous n’avez pas eu l’occasion de vous mesurer à un adversaire qui essaie de vous surpasser.
Lors des exercices de red teaming, les organisations confrontent leurs contrôles de sécurité, leurs défenses, leurs pratiques et leurs parties prenantes à un adversaire qui simule une attaque. C’est là que réside la véritable valeur des évaluations d'équipe rouge : elles offrent aux responsables de la sécurité une évaluation réaliste de la cybersécurité de leur organisation et une vision claire de la manière dont les pirates pourraient exploiter certaines failles. En effet, vous ne pouvez pas demander à un pirate informatique d'un État-nation ce que vous avez manqué ou ce qu'il a particulièrement bien fait. Il est donc difficile d'obtenir le retour nécessaire pour évaluer correctement votre programme de sécurité.
En outre, chaque opération menée par une équipe rouge offre une occasion de mesurer et d'améliorer la posture de sécurité. Cela permet d'avoir une vision d'ensemble sur l'efficacité des investissements, qu'il s'agisse d'outils de sécurité, de testeurs ou de formations de sensibilisation, pour atténuer les diverses menaces.
Les membres de l'équipe rouge aident également les entreprises à évoluer d'une approche qui consiste à trouver les failles et à les corriger vers une mentalité de défense proactive et catégorielle. Il peut être effrayant de laisser des attaquants s'attaquer à la sécurité de votre réseau, mais les cybercriminels testent déjà chaque point d'accès possible de votre infrastructure. Votre meilleur pari est de détecter les failles avant qu'ils ne le fassent.
On dit qu'il n'y a que deux types d'entreprises : celles qui ont déjà été piratées et celles qui le seront. Malheureusement, cette affirmation n'est pas très éloignée de la réalité. Quelle que soit leur taille, toutes les entreprises peuvent bénéficier d'une évaluation par une équipe rouge. Cependant, pour tirer pleinement parti d'un engagement d'équipe rouge, une organisation doit disposer de deux éléments clés :
Le meilleur moment pour solliciter une équipe rouge est lorsque vous souhaitez répondre à des questions de type programme, telles que : « Jusqu'où un pirate cherchant à exfiltrer des données sensibles pourrait-il pénétrer dans mon réseau avant de déclencher une alerte ? »
Le red teaming est également un excellent choix si vous cherchez à tester votre plan de réponse aux incidents ou à former les membres de votre équipe de sécurité.
Le red teaming est l'un des meilleurs moyens de tester la sécurité d'une organisation et sa capacité à résister à une attaque potentielle. Alors, pourquoi toutes les entreprises n'y ont-elles pas recours ?
Bien que très utile, dans les environnements rapides et en constante évolution d'aujourd'hui, un engagement ponctuel de red teaming peut manquer la détection des changements importants lorsqu'ils surviennent. Un programme de sécurité est uniquement aussi efficace que la dernière fois qu'il a été testé, ce qui peut entraîner des failles de visibilité et un affaiblissement de la posture de risque.
Mettre en place une équipe rouge interne est coûteux, et peu d'organisations ont les ressources nécessaires pour le faire. Pour être véritablement efficace, une équipe rouge doit disposer de suffisamment de personnel pour imiter les menaces persistantes et bien financées des cybercriminels modernes et des attaques d'État-nation. Elle doit inclure des membres dédiés aux opérations de sécurité, ou des sous-équipes spécialisées dans le piratage éthique, pour effectuer des exercices de ciblage, de recherche et d'attaque.
De nombreux prestataires tiers offrent des services d'équipe rouge, allant des grandes entreprises aux opérateurs spécialisés dans des secteurs d'activité ou des environnements informatiques spécifiques. Bien que la sous-traitance de ces services soit plus simple que l'embauche de personnel à temps plein, elle peut s'avérer plus coûteuse si elle est réalisée régulièrement. Par conséquent, seules quelques organisations font appel au red teaming de manière suffisamment fréquente pour en tirer des enseignements concrets.
Le red teaming automatisé et continu (CART) utilise l'automatisation pour découvrir des actifs, hiérarchiser les découvertes et, une fois autorisé, mener des attaques réelles à l'aide d'outils et d'exploits développés et maintenus par des experts du secteur.
En se concentrant sur l'automatisation, le CART vous permet de vous focaliser sur des tests innovants et intéressants, tout en libérant vos équipes des tâches répétitives et sujettes aux erreurs, souvent sources de frustration et d'épuisement.
CART vous offre la possibilité d'évaluer de manière proactive et continue votre posture de sécurité globale à une fraction du coût. Il rend le red teaming plus accessible et vous fournit une visibilité en temps réel des performances de vos défenses.
IBM Security Randori propose une solution CART appelée IBM Security Randori Attack Target, qui vous aide à clarifier votre risque cyber en testant et en validant de manière proactive votre programme de sécurité global de façon continue.
Selon une étude Total Economic Impact™ d’IBM Security Randori commandée par IBM à Forrester Consulting en 2023, il a été constaté une réduction de 75 % des coûts de main-d'œuvre grâce à l'optimisation des activités de l'équipe rouge.
Les fonctionnalités de la solution s'intègrent parfaitement, que vous disposiez ou non d'une équipe rouge interne. Randori Attack Targeted offre également des informations précieuses sur l'efficacité de vos défenses, rendant la sécurité avancée accessible même aux organisations de taille moyenne.
Cet article de blog fait partie de la série « Tout ce que vous devez savoir sur Red Teaming»» de l'équipe IBM Security Randori.