Inspirés par la pratique du pen-test ou du bug bounty, de plus en plus de DSI mettent en place des exercices de simulation de cyberattaques pour mieux sensibiliser leurs équipes, dans un contexte où la menace cyber explose. Que ce soit pour vérifier les mesures de sécurité d’un côté et les réflexes numériques des collaborateurs de l'autre, et s’il fallait simuler des cyberattaques pour mieux sensibiliser ?
Jeremy de l’équipe marketing, vous voyez ? Le nouveau, celui qui vient de rejoindre l’équipe au premier étage. Vous le pensiez inoffensif ? Et bien il se trouve que Jeremy est en réalité un hacker très expérimenté, recruté par le dirigeant de l’entreprise pour réaliser un test de pénétration in situ. Il a carte blanche, et ses collègues vont bientôt le découvrir à leur insu. Une histoire, digne d’un scénario de thriller, à retrouver dans l’épisode 36 du podcast dédié à la cybersécurité Darknet Diaries, Jeremy from marketing. Elle illustre un scénario d’attaque interne de type Red Team dans lequel une entreprise cherche à révéler le plus de failles possibles, de manière à situer le niveau de sécurité de ses infrastructures et de ses réseaux.
Darknet Diaries Ep 36: Jeremy from Marketing.
Special thanks to guest @TinkerSec.
Listen on @ApplePodcasts or at https://t.co/9zl8mnPKiV pic.twitter.com/OxDXMabqad
— DarknetDiaries (@DarknetDiaries) April 16, 2019
Aujourd’hui, de plus en plus d’entreprises proposent des services de pen-test (version raccourcie du penetration testing, ou test d'intrusion) ainsi que des mises en situation à destination des collaborateurs. Jeux de rôle, « vis-ma-vie », simulations de cyberattaques : le caractère immersif est en passe de devenir mainstream dans le développement de la culture cyber des entreprises. Pour certains DSI, la question se pose en ces termes : que ce soit pour vérifier les mesures de sécurité d’un côté et les réflexes numériques des collaborateurs de l'autre, et s’il fallait simuler des cyberattaques pour mieux sensibiliser ?
50 nuances de test d’intrusion
Via du pen-testing ou des offres de bug bounty, la démarche qui consiste à attaquer un produit ou une infrastructure réseau pour en éprouver la stabilité ou la sécurité est courante dans le monde cyber. Il est même fréquent que les entreprises matures en matière de cybersécurité fassent appel à des prestataires externes pour éprouver leurs protections. « Dans un cas de pen-testing en ‘boite noire’, la personne mandatée va avoir accès aux mêmes données qu’en situation réelle et va chercher à attaquer le réseau depuis l’extérieur », explique Adrien Brochot, Product Manager chez Stormshield. « L’autre possibilité est de lui donner accès au code et aux règles de flux, de manière à ce qu’il essaye de contourner les protections en relisant le code. On parle alors de pen-testing en ‘boîte blanche’ ».
Pour les entreprises ou organisations les plus conséquentes, à la maturité cyber plus importante, il est également possible de mettre sur pied des exercices de simulation de type Red Team / Blue Team. La Red Team vient ici tester le niveau de sécurité d’une entreprise, d’un réseau informatique ou d’un équipement via des techniques de hack tandis que la Blue Team tente de se défendre. En juin 2019 par exemple, c’est le ministère des Armées françaises qui se prêtait à un tel exercice de simulation, dont l’objectif était d’« anticiper le mode d’action ennemi ». Cet exemple de simulation de cyberattaque vise ainsi à identifier les points faibles d’une entreprise. Pour une plus grande efficacité dans l’exercice, il faut imaginer une Purple Team, chargée d’échanger régulièrement avec les équipes de défense et d’attaque. Et pour les puristes et définir un périmètre plus complet, il faut aussi mentionner les Yellow Team, Green Team et Orange Team – toutes regroupées dans la pyramide BAD.
Dans le cadre des tests d’intrusion, la surface d’attaque est définie en amont entre l’entreprise qui choisit de tester son infrastructure et le prestataire qui effectue le pen-test. « On va par exemple essayer d’attaquer un serveur web en ligne, ou bien envoyer un email de phishing, poursuit Paul Fariello, Expert Sécurité chez Synacktiv. Il nous arrive également de créer des scénarios sur mesure dans lesquels on envoie une personne physique sur place, pour essayer de pénétrer dans les locaux de l’entreprise et brancher un périphérique externe, comme une clé USB ». Pour cela, une première phase de social engineering est souvent nécessaire. Et malheureusement efficace.
Piéger pour mieux sensibiliser
Une récente étude IBM citée par le blog Usecure souligne que l’erreur humaine serait la source de 95% des brèches de sécurité en entreprise. En d’autres termes, la gestion du facteur humain pourrait conduire à la disparition de la majorité des brèches, dans un contexte où la sécurité périmétrique seule est insuffisante et où chaque individu peut devenir un vecteur d’attaque. En 2017, 30 000 agents du ministère de l’économie et des finances sont ainsi tombés dans le piège… tendu par leur propre service de sécurité des systèmes d’information. L’objectif du service était de sensibiliser ces opérateurs sensibles aux risques du phishing. Mission réussie !
Conséquence directe, de plus en plus de DSI semblent s’appuyer sur du pen-testing pour sensibiliser les collaborateurs au risque cyber. L’enjeu ? Les confronter à un contexte de cyberattaque pour mieux les éduquer et leur apprendre à gérer les dégâts potentiels. En juin 2019, à l’occasion du G7, 24 autorités financières des sept pays membres étaient ainsi conviées à un exercice de grande ampleur pour mieux cerner l’étendue de la menace cyber transfrontalière sur le secteur de la finance.
« N’oublions pas que ces opérations sont longues et coûteuses à mettre en place », rappelle Adrien Brochot. Mais si n’importe quelle PME ne peut pas se permettre de mettre en œuvre de tels exercices de crise cyber, les RSSI peuvent toutefois décider de s’inspirer du principe du jeu de rôle entre Red/Blue/Purple Team, dans une version allégée. Pour une meilleure mise en condition, il est même préférable que les services représentant la défense ne soient pas au courant de l’exercice. « On peut imaginer des mises en situation différentes en fonction des services. Une personne des RH pourrait être testée à son insu pour vérifier qu’elle a bien mis en place les protections nécessaires autour d’un fichier rempli de données personnelles. D’autres services tenteraient alors d’accéder à ce fichier par diverses méthodes, qu’elles soient techniques ou sociales », explique Adrien Brochot. Tout l’enjeu pour le RSSI est alors de parvenir à faire des parallèles entre la situation de cyberattaque simulée et les grands principes de la sécurité informatique, comme la protection des mots de passe ou les règles de protection de base à respecter face à des emails suspects. Dans le cadre de la mise en situation réalisée à Bercy, les agents piégés par l’email de phishing avaient ainsi vu s'afficher une page Web comprenant les recommandations d'usage sur les emails et les précautions à prendre, comme le raconte Yuksel Aydin, le RSSI qui pilotait l’exercice, dans les colonnes du Figaro.
La simulation en plein boom
« Une bonne mise en situation vaut certainement mille PowerPoint de formation », abonde Paul Fariello. Le challenge est de parvenir à articuler les exercices de pen-test ou de jeu de rôle avec un discours de sensibilisation cyber efficace. « Il est donc fondamental de prendre le temps de re-situer l’exercice dans un contexte plus général, de re-dérouler la cyberattaque point par point pour en tirer tous les enseignements », poursuit ce dernier. « Voire de réitérer la mise en situation plusieurs mois plus tard, de manière à mesurer si les comportements des collaborateurs ont changé et si les mesures de précautions à prendre face à de telles attaques ont bien été comprises », complète Adrien Brochot.
Une bonne mise en situation vaut certainement mille PowerPoint de formation
Paul Fariello, Expert Sécurité chez Synacktiv
L’entreprise IBM a par exemple bien saisi l’intérêt de miser sur la sensibilisation des entreprises. À l’été 2019, le fournisseur a ainsi sillonné l’Europe et donné (gratuitement) des sueurs froides aux responsables d’entreprise en les confrontant à des scénarios de cyberattaques, en partie pour les inciter à suivre par la suite des formations payantes, expliquait Gilbert Kallenborn dans les colonnes de 01.net. Et de rappeler que les prestataires de services de simulation se multiplient à mesure que la menace cyber devient une réalité quotidienne pour toutes les entreprises.
Nous évoquions dans de précédents articles plusieurs pistes pour parvenir à installer une culture de la cybersécurité efficace et résiliente dans les entreprises : depuis l’enseignement de la cybersécurité dès l’école jusqu’au fait de mettre en jeu la responsabilité des collaborateurs. Alors, si en 2020, la majorité des DSI cherchent encore la bonne manière de sensibiliser, gageons que les mises en situation et autres exercices de simulation de cyberattaques pourraient rapidement entrer dans leur arsenal.