Les organisations partent souvent du principe que tant que leurs systèmes informatiques sont sécurisés, les informations le sont également. Afin de renforcer la sécurité de leurs systèmes informatiques, elles effectuent souvent des tests de pénétration, c'est-à-dire des attaques simulées sur des systèmes informatiques visant à identifier les vulnérabilités qui pourraient se matérialiser en risques réels. Cependant, en réalité, les attaquants ne se limitent pas à abuser des systèmes choisis pour les tests de pénétration ou même de tout système informatique en général. Les attaquants sont aujourd'hui beaucoup plus sophistiqués. Ils combinent différents éléments qui vont au-delà des systèmes informatiques, dans le but de trouver le chemin de moindre résistance. Par conséquent, en raison de leur portée limitée et fixe, les tests de pénétration ne permettent pas à eux seuls d'aborder de manière adéquate le risque posé par les attaquants et laissent les organisations vulnérables à des attaques réalistes.
Une attaque réaliste porte généralement sur trois éléments de la sécurité de l'information qui sont liés entre eux.
Il s'agit de
La grande majorité des cyber-attaques de ces dernières années ont été causées par des problèmes de comportement humain - l'un des maillons les plus faibles que les tests de pénétration ne permettent pas d'identifier. Le red teaming ne teste pas seulement les contrôles techniques préventifs, mais aussi les capacités de défense humaine, qui ne sont pas testées par les tests de pénétration traditionnels.
Un aspect important d'une attaque réelle est la reconnaissance. Au cours de cette phase, un attaquant utilise divers outils et techniques pour recueillir autant d'informations que possible sur une victime, afin de rendre l'attaque plus fructueuse. Par exemple, un attaquant peut utiliser des renseignements provenant de sources ouvertes, en recherchant sur le web et le dark web des informations pertinentes sur une organisation (par exemple, noms d'utilisateurs, mots de passe, règles de gestion, etc.) Souvent, les tests de pénétration traditionnels n'en tiennent pas compte, en raison de leur champ d'application limité et prédéfini, et peuvent donc laisser une organisation vulnérable.
Les opérations Red Teaming permettent aux organisations d'évaluer leur niveau de préparation et de sensibilisation face à des attaques réalistes par le biais d'incidents contrôlés basés sur des scénarios qui prennent en compte tous les éléments (humains, physiques & cyber) au sein d'une organisation.
La réussite des opérations de Red Teaming nécessite une planification minutieuse afin de créer des simulations adverses réalistes pour une organisation. Des attaques aléatoires avec des objectifs aléatoires n'apporteront pas les bénéfices escomptés. La meilleure planification découle d'une compréhension approfondie de l'activité et de l'organisation, qui se traduit ensuite par des scénarios réalistes, combinant des approches de gestion des risques et des menaces. Dans le cadre de la phase de planification, il est important d'identifier les risques clés d'une organisation. Ceux-ci sont propres à chaque organisation et servent de base à la création d'incidents contrôlés basés sur des scénarios réalistes.
Notre expérience montre que les opérations de Red Teaming réussies reposent sur trois principes.
Combien de fois avons-nous l'occasion d'assister à une cyberattaque réelle et d'en voir les conséquences se dérouler sous nos yeux en temps réel ? J'espère que ce n'est jamais le cas. Nous avons conçu deux vidéos pour vous donner un aperçu de ce à quoi vous pourriez être confronté. Découvrez la vitesse et l'intensité d'une cyber-attaque ; au fur et à mesure que l'intrigue se déroule, apprenez comment les entreprises peuvent se défendre, prendre le contrôle de la situation et riposter efficacement.
Si vous souhaitez avoir une première conversation sur les opérations de Red Teaming et l'approche de Deloitte pour en faire un succès, n'hésitez pas à contacter notre équipe.