Auditez la sécurité de votre système d’information
Objectifs : Evaluer la fiabilité de vos infrastructures systèmes/réseaux et des mesures de sécurité associées.
Par la définition d’un « Périmètre » : via cette méthodologie, un périmètre précis est défini (surface externe, réseau invité, réseau collaborateur, accès Wi-Fi, VoIP, contrôle d’accès, IoT, terminaux mobiles…) et ce périmètre précis est audité à la recherche de chemins de compromission avec ou sans accès.
Par la définition d’un « Scénario » : via cette méthodologie, nous définissons ensemble un scénario d’attaque soit en se mettant dans la peau d’une
partie prenante (Ex : collaborateur, stagiaire, chauffeur, prestataire, fournisseur, client…) soit en définissant un objectif (Ex : récupérer la liste des itinéraires des chauffeurs, récupérer la liste des clients, usurper l’identité d’un chauffeur pour se servir en carburant…), ce sont des prestations de type «
Redteam »
Chaque démarche peut être abordée de différente manière, c’est ce que nous appelons la boite blanche, grise ou noire, détaillée sur la feuille suivante.
Boite Blanche (White Box) :
- Niveau d’information : le testeur a une connaissance complète de l’infrastructure, des systèmes, des applications, du code source etc. Il a accès à toutes les ressources utiles et dispose des informations d’authentification nécessaires au test en boite blanche.
- Objectif : Identifier des vulnérabilités qui ne pourraient pas être évidentes sans une connaissance approfondie du système. Les tests de boîte blanche peuvent aider à détecter des problèmes dans le code, des configurations incorrectes, et d’autres vulnérabilités qui nécessitent une connaissance intime du système.
Boite Grise (Gray Box) :
- Niveau d’information : le testeur a une connaissance partielle du système. C’est un mélange des approches de boîte blanche et de boîte noire. Par exemple, le testeur pourrait avoir accès à certains détails de conception, à certains schémas de la base de données, etc., mais pas à l’intégralité du système.
- Objectif : Simuler une attaque d’un adversaire qui aurait une connaissance limitée ou interne du système. Cela aide à identifier des vulnérabilités qui pourraient être exploitées par des utilisateurs malveillants ayant un certain degré d’accès ou d’information.
Boite Noire (Black Box) :
- Niveau d’information : Le testeur n’a aucune connaissance préalable du système ou de l’infrastructure. Il n’a pas accès au code source, aux schémas de la base de données, ou à toute autre information interne.
- Objectif : Simuler une attaque d’un adversaire externe qui n’a aucune connaissance du système. Les tests de boîte noire se concentrent souvent sur l’exploitation des vulnérabilités visibles de l’extérieur sans connaissance préalable de la structure ou du fonctionnement interne du système.
Chaque approche a ses avantages et inconvénients, et le choix dépend souvent de l’objectif ou du scénario défini au préalable.
Enfin, si la démarche s’oriente vers un « Scénario », c’est ce que nous appelons une prestation « Redteam », c’est une approche qui va au-delà des tests d’intrusions traditionnels. L’objectif principal de la Red Team est de simuler des adversaires réels et sophistiqués pour évaluer comment une organisation résisterait à une attaque ciblée.
- Simulation Réaliste : La Red Team imite le comportement d’attaquants réels, utilisant toutes les techniques, tactiques et procédures (TTP) qu’un véritable adversaire pourrait employer. Cela peut inclure tout, des campagnes de phishing à l’ingénierie sociale, en passant par les attaques physiques.
- Objectif Spécifique : Contrairement aux tests d’intrusion traditionnels qui peuvent se concentrer sur un large éventail de vulnérabilités, la Red Team a généralement un ou plusieurs objectifs spécifiques. Par exemple, « accéder à la base de données des clients » ou « obtenir un accès administrateur au réseau principal ».
- Scénarios Multiples : Les tests de Red Team combinent souvent plusieurs vecteurs d’attaque, tels que le cyber, le physique et l’humain, pour atteindre leurs objectifs.
- Pas de Restrictions : Dans de nombreux tests de Red Team, il y a peu ou pas de restrictions sur les méthodes que l’équipe peut utiliser, tant qu’elles restent légales et éthiques. Cela les différencie des tests d’intrusion plus traditionnels qui pourraient avoir des périmètres ou des règles clairement définis.
- Analyse de la Défense : Une autre caractéristique importante des exercices de Red Team est qu’ils sont souvent couplés avec une « Blue Team », l’équipe de défense de l’organisation. Cela permet de mesurer non seulement si la Red Team peut réussir, mais aussi comment la Blue Team détecte et répond à l’attaque.
- Rétroaction Complète : À la fin d’un exercice de Red Team, une rétroaction complète est généralement fournie, couvrant non seulement les vulnérabilités exploitées, mais aussi les recommandations pour améliorer la posture de sécurité de l’organisation.
- Approche Holistique : Les tests de Red Team ont une approche globale de la sécurité, abordant à la fois les faiblesses technologiques, humaines et physiques.
L’évaluation de la fiabilité de vos infrastructures systèmes et réseaux ce n’est pas que des tests d’intrusions, de nombreuses autres prestations sont envisageables tels que :
- Audit d’architecture et de configuration : Cette revue technique s’attache à évaluer la conception globale d’un système ou d’un réseau et à vérifier si les configurations en place sont sécurisées et conformes aux bonnes pratiques et aux normes.
- Audit projet : Évaluation de la gestion de la sécurité dans un projet spécifique, en s’assurant que les considérations de sécurité sont intégrées tout au long du cycle de vie du projet.
- Audit fournisseur : Évaluation de la posture de sécurité d’un fournisseur ou d’un partenaire pour s’assurer qu’il respecte les normes et les exigences de sécurité requises, minimisant ainsi les risques associés à l’externalisation ou à la collaboration.
Chaque type d’audit ou de test d’intrusion a son propre ensemble de méthodologies, d’outils et d’objectifs, mais tous visent à améliorer la posture de sécurité d’une organisation en identifiant et en atténuant les risques.
Que l’on soit sur un test d’intrusion scénarisé ou non, ou sur de l’audit traditionnel, la méthodologie peut être adaptée pour être soit en adéquation avec un standard universel tel que PTES permettant de couvrir un large panel de chemins de compromission potentiels soit plus restreint en recherchant les vulnérabilités les plus classiques ( OWASP par exemple).
- Infrastructures réseaux :
Routeurs, commutateurs et pare-feu, points d’accès Wi-Fi, VPNs (réseaux privés virtuels) et gateways.
- Systèmes d’exploitation :
Windows (y compris Active Directory), linux/unix.
- Applications cloud et plateformes :
Office 365, AWS (Amazon Web Services), Azure, Google Cloud Platform.
- Applications web et mobiles :
Sites web et applications d’entreprise, applications mobiles (iOS, Android), API (interfaces de programmation d’applications).
- Bases de données :
SQL Server, Oracle, MySQL, PostgreSQL, MongoDB, etc.
- Environnements de virtualisation :
Vmware, Hyper-V, Proxmox.
- IoT (Internet des objets) :
Appareils connectés, allant des thermostats intelligents aux caméras de sécurité, véhicules connectés et systèmes embarqués.
- Messagerie et communication :
Microsoft Exchange, Solutions de messagerie instantanée comme Slack ou Teams.
- Systèmes de contrôle d’accès :
Solutions d’authentification multifactorielle, Systèmes de gestion des identités.
Cartes d’accès NFC/RFID, applications monétaires, étiquettes RFID pour la gestion d’inventaire et logistique.
- Systèmes industriels et SCADA :
Contrôleurs logiques programmables (PLC)., Systèmes de supervision et d’acquisition de données (SCADA), DCS (Distributed Control Systems)
systèmes de contrôle distribués, Interfaces homme-machine (IHM), Systèmes d’automatisation de bâtiments.