Secu
SPECIAL FIC : 6 actions pour résister aux cybermenaces de 2030
Par La rédaction, publié le 28 mars 2023
Pratiquer une sécurité plus offensive avec une red team
Le principe d’une sécurité offensive est simple : il est préférable que ce soit une red team qui trouve une faille dans votre SI, plutôt que des cybercriminels. Une red team participera également à une diffusion plus rapide des bonnes pratiques de cybersécurité au sein des équipes métiers.
De notre côté de l’Atlantique, les équipes dédiées à la sécurité informatique tendent à appliquer une stratégie plutôt défensive, avec parfois quelques tests de pénétration effectués par des prestataires externes. Ce mode de fonctionnement tranche avec celui des États-Unis, où la sécurité se répartit généralement en deux équipes : une red team, chargée de mettre à l’épreuve le SI par tous les moyens possibles, et une blue team, qui conçoit et déploie des mesures défensives pour répondre aux succès de la red team. Une approche nettement plus offensive.
« Avec une sécurité uniquement défensive, on se heurte rapidement à un mur, lié en grande partie à l’incapacité des équipes à maîtriser totalement la stack technique utilisée dans le SI, tant elle est complexe et évolue rapidement, constate Roni Carta, senior security engineer chez ManoMano, en charge des opérations de red team. Depuis mi-2019, ManoMano a adopté une approche offensive qui permet de mieux répondre aux évolutions technologiques et aux nouvelles pratiques des utilisateurs, mais aussi des pirates. »
S’appuyer sur la communauté des hackers éthiques
« Être ancré au sein de la communauté des hackers éthiques est essentiel. Ils apportent un regard extérieur, une expérience et une créativité uniques. Chez ManoMano, nous voulons faire des bug hunters une extension de notre équipe. Nous avons sélectionné les profils qui nous semblaient les plus intéressants, et avons partagé avec eux des informations sur nos méthodes de travail et de sécurisation des systèmes IT. Nous leur proposons alors de partir à la chasse aux bugs. Nous les aidons parfois à finaliser leurs “exploits” de sécurité, lorsqu’ils sont sur la bonne voie. Il est de notre intérêt que les hackers éthiques avec lesquels nous travaillons trouvent les failles de notre SI avant que des personnes moins bien intentionnées le fassent. Notez que ces bug hunters peuvent à leur tour recruter des profils, ce qui permet de faire grandir notre communauté. »
L’intérêt d’organiser des bug bounties et de travailler avec la communauté des hackers éthiques, c’est de pouvoir accéder à des profils qu’il serait impossible de recruter en interne. « Les meilleurs bug hunters vivent des bug bounties et tiennent à rester indépendants, confirme Roni Carta. D’autres sont des spécialistes de certains types d’attaques spécifiques et ne nous sont donc pas toujours utiles. Souvent, il est préférable de laisser les bug hunters libres d’exprimer leur créativité en toute indépendance. »
Et les collaborateurs piégés par la red team, comment le vivent-ils ? « Nous adoptons une attitude positive. Après tout, un piège qui fonctionne, c’est une réussite pour notre équipe. Mais aussi une occasion pour les collaborateurs de ManoMano de renforcer leur expertise en cybersécurité, nous obligeant ainsi à placer la barre toujours plus haut. » DAVID FEUGEY
senior security engineer chez ManoMano
« Il est de notre intérêt que les hackers éthiques avec lesquels nous travaillons trouvent les failles de notre SI avant que des personnes moins bien intentionnées le fassent. »
4 ACTIONS MENÉES PAR UNE RED TEAM
1 – Apporter un regard critique sur chaque projet de développement ou de transformation.
2 – Réaliser des tests de pénétration réguliers, afin de confronter le SI aux dernières techniques d’intrusion.
3 – Mener des campagnes de test et de sensibilisation des utilisateurs métiers, en utilisant diverses techniques d’ingénierie sociale.
4 – Participer à la création et à l’animation d’une communauté de hackers capables de l’aider dans sa mission.
