Cybersécurité : Qu’est-ce qu’une mission Red Team ?
Notre expérience nous montre que de plus en plus d’entreprises souhaitent évaluer leur niveau de sécurité de manière globale. Les missions Red Team sont demandées par des entreprises qui ont déjà réalisé plusieurs audits de sécurité, notamment des tests d’intrusion sur leur système d’information.
Il s’agit d’entreprises qui sont donc plutôt matures sur les aspects de la sécurité. Une mission Red Team peut être assimilée à un test d’intrusion grandeur nature au sein d’une entreprise.
En quoi consiste une mission Red Team ?
Les tests d’intrusion Red Team ont pour but d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection, qu’ils soient techniques, physiques ou humains.
La prestation se déroule sur plusieurs semaines. Cette période large permet d’intervenir par phase d’actions avec des attaques cyber ou encore des campagnes de phishing*,en passant par l’intrusion physique des locaux par exemple.
Les campagnes Red Team proposent d’évaluer d’une part le niveau de sécurité d’un système d’information de manière générale. D’autre part, elles permettent d’évaluer les actions de la Blue Team (l’équipe technique de l’entreprise ou de son SOC) face à la détection d’intrusions, quelle qu’elle soit. Les attaques doivent être complexes et préparées de manière à ne pas être repérées par l’équipe interne à l’entreprise.
Les entreprises clientes missionnent les équipes Red Team sur des enjeux divers et variés et parfois très sensibles, tels que la protection du droit d’auteur dans le secteur des médias, ou encore la sécurité des locaux et du système d’information dans le domaine de la presse (notamment dans le contexte des attaques terroristes). En fonction de l’objectif fourni par l’entreprise, des scénarios d’attaques réalistes sont mis en place afin de suivre les différentes méthodes qu’un attaquant ou qu’un groupe d’attaquants pourraient élaborer afin d’obtenir des informations sensibles.
Le retour d’expérience sur ces prestations a permis de révéler que le niveau de sécurité lié aux accès physiques et à la sensibilisation des employés est souvent faible. Ainsi, il est constaté que les attaques par ingénierie sociale (ou « social engineering » en anglais fait référence à des pratiques de manipulation psychologique à des fins d’escroquerie) ont systématiquement permis aux équipes Red Team d’accéder aux bureaux de l’entreprise.
Quels sont les avantages pour une entreprise ?
Grâce à cette approche, l’entreprise identifie un maximum de vulnérabilités susceptibles d’être exploitées, ainsi que les scénarios probables menant à une compromission du système d’information.
Les missions Red Team permettent également de sensibiliser les collaborateurs aux risques cyber. En ce sens, elles sont un axe de travail prioritaire pour l’amélioration du niveau de sécurité de l’entreprise.
Le livrable de mission prend la forme d’un rapport complet articulé autour de différentes sections :
- Une synthèse générale à destination de la direction et des responsables présentant un résumé de la mission, avec une analyse de risque globale et une évaluation des efforts nécessaires pour traiter les risques résiduels.
- Un plan d’action recommandé, sous la forme d’un tableau d’actions classées par ordre de priorité (rapport difficulté/gain).
- Les scénarios d’attaques ayant réussi et échoué y sont généralement présentés sous la forme de séquences chronologiques. Les auditeurs détaillent également les actions de l’entreprise le cas échéant.
- L’ensemble des vulnérabilités découvertes pendant l’audit sont présentées, à destination du personnel opérationnel et technique. Chacune est évaluée en matière de risque et d’effort nécessaire à sa correction. Les étapes d’exploitation et les recommandations sont également détaillées dans cette section.
Ce type de mission s’inscrit donc directement dans le processus de gestion du risque et encourage les contre-mesures efficaces et pragmatiques afin d’abaisser rapidement le risque à un niveau acceptable par le client ou la réglementation.
(*envoi d’emails ayant pour but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance).