De plus en plus exposés, leurs systèmes d’information se doivent de bénéficier d’un juste niveau de sécurisation qui passe bien sûr par la mise en place d’un dispositif industrialisé, mais pas uniquement. En effet, les menaces évoluent et l’imagination des hackers amène les RSSI et DSI à repenser en permanence leur gouvernance sécurité.
Dans ce contexte, il convient notamment de compléter les infrastructures de protection traditionnelles par la mise en place de dispositifs à très forte valeur ajoutée. Ainsi, tout comme les armées échafaudent des scénarios et plans d’attaque de leurs propres infrastructures pour anticiper leurs faiblesses et les consolider, il est utile de mettre en place une démarche dite "Red Team" qui vise à réaliser des scénarios d’attaques testant les équipes de défense, dites "Blue Team", afin de les renforcer.
L’objectif étant d’inventer des scénarios d’attaque que des hackers pourraient réaliser, basés sur les techniques du moment. Cette démarche nécessite une grande maturité en matière de cybersécurité avec des standards de durcissement, de la prévention, la capacité de détecter des incidents de sécurité et de réagir. On notera que les attaques "Red Team" sont moins contraintes en temps que des tests d’intrusion classiques et sont peu limitées vis-à-vis du périmètre.
Un premier travail tient à bien analyser le système d’information et l’organisation de l’entreprise pour comprendre son fonctionnement, les rôles de chacun et plus globalement avoir une vue d’ensemble de la cible. CLes scénarios d’attaque ne sont en effet pas uniquement technologiques et prennent en compte d’autres aspects comme :
une intrusion physique dans les locaux de l’entreprise (par exemple grâce à un faux entretien de recrutement) qui permettra de trouver un point d’accès au système d’information et d’y connecter un équipement actif sur le réseau, pour une prise de contrôle à distance.
une attaque de SpearPhishing usurpant une communication d’un comité d’entreprise permettant de compromettre les postes d’utilisateurs de l’entreprise
etc.
Loin d’être de la science-fiction, ces différents éléments doivent être pris au sérieux par les entreprises. En anticipant et en testant régulièrement différents scénarios d’intrusion, les DSI pourront alors fortement réduire le niveau d’exposition au risque de leur système d’information et se prémunir au mieux d’attaques toujours plus évoluées.