Penetration Testing, Red Teaming… Les tests d’intrusion sont nécessaires. Pour Ben Van Erck, rien ne vaut l’œil humain pour détecter les anomalies.  

« En combinant des tests d’intrusion à des tentatives de hacking, auxquels les entreprises sont associées, nous pouvons proposer des services de guidance plus appropriés », souligne d’emblée Ben Van Erck, promoteur de l’offre CSM Refracted. Dans la boucle ISO 27001, la proposition s’inscrit dans la phase « Check » du PDCA. « Bien que la technologie ait considérablement évolué, rien ne vaut l’œil humain pour détecter les anomalies. Nous identifions les failles de sécurité, vérifions l’efficacité de chaque mesure de sécurité. Nous nous assurons que toutes les mesures de sécurité resteront efficaces après la mise en œuvre. »

L’accompagnement humain est essentiel pour expliquer aux clients quel sera l’impact de ces actions sur le business. Si 95 % des attaques sont dues à des failles humaines, la complexité technique joue également un rôle. Il faut démocratiser la sécurité online, la rendre accessible. Elle doit rester un droit et ne pas devenir un privilège.  

La démarche passe par du hacking éthique, avec des tests d’intrusion.  « On vise à identifier les failles au niveau de la couche applicative, des réseaux et des systèmes, ainsi que les possibilités de compromettre les barrières de sécurité physiques », expliquait Ben Van Erck au cours d’un événement axé sur les services de Cyber Security Management au Queens Brussels (*)

Penser comme un hacker

Il s’agit, pour commencer de Penetration Testing. Le rôle du pentester est strictement délimité. Son travail est organisé en quatre grandes phases : planification, découverte d’informations, attaque et rapport. Il ne se contente pas de rechercher les vulnérabilités des logiciels. Il pense comme les hackers : c’est après avoir pénétré le système que débute son véritable travail.

Il continuera à faire des découvertes. Puis basera ses nouvelles attaques sur ce qu’il a appris en parcourant les arborescences de dossiers. Et c’est ce qui différencie le pentester d’une personne engagée uniquement pour trouver des vulnérabilités, par exemple à l’aide d’un logiciel de balayage de ports ou d’un renifleur de virus. Un pentester expérimenté peut identifier :

• les cibles potentielles d’un pirate informatique ;
• la manière dont il attaquerait ;
• la qualité de la réponse apportée par votre sécurité ;
• l’ampleur possible de la violation.

Attaques simulées

Dans son offre de prestations, CSM Refracted propose également un service de Red Teaming. Concrètement, des hackers indépendants et éthiques évaluent la sécurité du système de manière objective. « Ils utilisent toutes les techniques disponibles pour trouver les faiblesses des personnes, des processus et des technologies. Mission : obtenir un accès non autorisé aux biens. À l’issue de ces attaques simulées, la Red Team fait des recommandations. Elle propose des plans sur la manière de renforcer la posture de sécurité de l’organisation. »

Le principe du Red Teaming repose sur un point clé : nul ne peut vraiment savoir à quel point ses systèmes sont sécurisés tant qu’ils n’ont pas été attaqués !

L’équipe de piratage éthique parviendra probablement à compromettre l’environnement avec une telle facilité et rapidité qu’il y aura peu de leçons à en tirer. Pour être réellement utiles, les informations générées par la Red Team doivent être contextualisées sur la base des tests d’intrusion et de l’évaluation des vulnérabilités réalisés précédemment.

Bien connaitre son infrastructure

« Pour tirer le meilleur parti d’un exercice de Red Teaming, vous devez soigneusement vous préparer, conseille Ben Van Erck. Peut-être avez-vous dans l’idée de tester des applications Web, mais vous ne savez pas exactement ce que cela signifie réellement pour vous, ni quels autres systèmes sont intégrés avec vos applications Web. Il est donc important que vous connaissiez suffisamment vos propres systèmes. Important, aussi, de corriger toute vulnérabilité évidente avant de commencer l’exercice. »

Ensuite, connaître son réseau. Ce conseil est lié au précédent, mais davantage axé sur les spécifications techniques du réseau. Plus on est capable de quantifier un environnement de test, plus la Red Team peut agir de manière précise et spécifique. Enfin, connaître son niveau de risque. Certaines organisations peuvent tolérer un niveau de risque assez élevé. D’autres, en particulier celles qui opèrent dans des secteurs où il existe des exigences de conformité précises et complexes, devront limiter bien davantage leur niveau de risque. « Un exercice de Red Teaming exige donc de se concentrer sur les risques qui présentent réellement des conséquences pour votre activité. »

Faire de l’humain le point fort !

Pour CSM Refracted, l’humain reste le premier rôle de la démarche ! Sans lui, impossible de mettre en place une démarche de sécurité qui apporte de la valeur aux organisations qu’il faut protéger.

« Ne perdez jamais de vue que c’est avant tout l’humain qui permet de faire le lien avec le métier, avec le contexte, avec les autres humains à protéger. On considère souvent à tort que l’humain est le maillon faible de la sécurité… Il faut en faire le maillon fort ! »