Tests d’intrusions, fuzzing, phishing : sécurisez vos infrastructures informatiques

Cyberforce Offensive Security : Simuler les attaques pour mieux se défendre
par EBRC 15/04/2022
Banque, Assurance & Fintech
Santé et Sciences de la Vie
Secteur public & Institutions européennes
Défense & Spatial
Technologie et Editeurs logiciels
Energie, Logistique & Industrie

Simuler les attaques pour mieux se défendre

Dans un environnement de plus en plus connecté, la sécurité des réseaux et des données des entreprises est quotidiennement menacée. Pour faire face à ce défi permanent, POST Telecom et EBRC ont organisé leurs forces et compétences pour créer CyberForce. Cette entité regroupe une cinquantaine d’experts répartis en cinq équipes. Jean-Marie Bourbon dirige l’une d’entre elles, la CyberForce Offensive Security.

Cyberforce - POST Luxembourg et EBRC

 

Sécuriser ses infrastructures grâce à l’Offensive Security

Jean-Marie Bourbon, Head of CyberForce Offensive Security, POST Luxembourg
Jean-Marie Bourbon, Head of CyberForce Offensive Security, POST Luxembourg

Notre mission principale consiste à vérifier que l’infrastructure informatique de nos clients est bien sécurisée. Nous proposons une série de services d’attaque contrôlée. Les plus connus sont les pentests (ou penetration tests).

Les tests d’intrusion ou pentest : anticiper pour mieux protéger

Ces tests d’intrusion visent à identifier et exploiter les faiblesses et ainsi anticiper les risques grâce à l’approche offensive sur un périmètre donné.

Une véritable mise à l’épreuve de la sécurité du système informatique qui met en lumière les vulnérabilités exploitables pour affiner la sécurité du SI.

Pour sécuriser ses infrastructures, aller au-delà du test d’intrusion

Cette gamme de services est très vaste. Elle touche toutes les couches de la cybersécurité : des applications Web classiques au pentesting interne en passant par l’intrusion physique, l’environnement mobile, les infrastructures réseau et l’ingénierie sociale (ou piratage psychologique).

Outre les tests d’intrusion informatique, quels sont les autres services que vous proposez pour assurer la protection du SI ?

Schématiquement, on peut les regrouper en cinq grandes catégories.

Vérifier la sécurité des infrastructures pour les applications avant son lancement

Il y a tout d’abord la recherche de vulnérabilités sur des applications dites « fermées ». En amont du lancement d’une application, nous allons tester leur niveau de sécurité grâce à des techniques comme la rétro-ingénierie (reverse engineering) ou le « fuzzing ». Cette technique a pour objectif d’étudier un logiciel sans avoir à sa disposition son code source pour découvrir ses vulnérabilités et ainsi permettre à l’éditeur d’apporter un correctif.

Simuler la menace pour renforcer votre préparation aux cyberattaques

Viennent ensuite les simulations d’attaque ciblée (adversary simulation). Avec cette approche plus réaliste, on définit avec le client un ou plusieurs vecteurs d’attaque et sur cette base nous définissons des objectifs adaptés à ses risques. En d’autres termes, nous agissons exactement comme le ferait un groupe d’attaquant professionnels. Ces simulations nous permettent de mettre à l’épreuve la partie technique mais aussi humaine et organisationnelle et vont bien au-delà du test d’intrusion standard. Les décisions prises suite aux attaques ont-elles été les bonnes ? Si non, comment éviter qu’elles ne se reproduisent à l’avenir ?

Tester le processus en place pour les tentatives de phishing

Nous proposons également à nos clients des approches pour tester leurs capacités de réponse et processus en place en cas de tentatives de phishing. Ces approches sont notamment axées sur des pratiques comme le vol d’identifiants ou l’exécution de programmes malveillants personnalisés.

Analyser en profondeur la résilience de l’entreprise

Nous pouvons également organiser des exercices Red Team pour des tests de résilience face à des attaques ciblées tels que ceux proposés au travers du cadre TIBER -LU1 adopté conjointement par la Banque centrale du Luxembourg (BCL) et la Commission de surveillance du secteur financier (CSSF) depuis novembre 2021. Ce cadre, qui fait suite à la publication en 2018 de TIBER-EU par la Banque centrale européenne (BCE), a pour objectif de tester la résilience des entités du secteur financier (mais peut être appliqué à d’autres contextes) à Luxembourg. L’avantage de ces exercices est qu’ils sont étalés dans le temps – de six mois à un an - et permettent d’analyser en profondeur l’efficacité des personnes, des processus et des technologies utilisées par l’entreprise pour se défendre.

Comprendre comment agissent les pirates informatiques

Nous pouvons conjuguer nos ressources avec celles de la Blue Team – en charge de la sécurité défensive – et proposer des exercices Purple Team. Ceux-ci permettent à nos clients de mieux comprendre les tactiques, techniques et procédures des pirates informatiques et d’améliorer leurs capacités de détection des intrusions en adaptant leurs scénarios (use-cases)

L’écoute active : pierre angulaire de notre accompagnement à la sécurisation des infrastructures.

Nous ne nous contentons pas de fournir au client ce qu’il demande. Au contraire, nous l’écoutons attentivement et lui posons des questions afin de bien comprendre ses attentes. Ensuite, sur base de ces entretiens, nous lui fournissons des conseils adaptés, pratiques et concrets. Ce rôle de conseiller – auquel il faut ajouter nos compétences techniques très pointues – est particulièrement apprécié par nos clients. Notre transparence aussi : il nous est souvent arrivé de déconseiller un client d’opter pour telle ou telle solution parce qu’elle ne lui convenait pas.

La sécurité des infrastructures est-elle mise à mal face à la démocratisation du télétravail

A sa mise en place lors du confinement oui, parce que de nombreuses entreprises se sont lancées dans le télétravail sans tenir compte de l’aspect sécuritaire. Personnellement, je pense que le principal danger se situe aujourd’hui au niveau des téléphones mobiles. Ceux-ci contiennent des informations critiques, ne disposent pas d’antivirus et sont de plus en plus la cible des attaquants. Ainsi, chez un client, nous avons réalisé un test d’intrusion via le téléphone mobile d’un de ses collaborateurs et avons réussi à prendre la main sur toute son infrastructure en seulement trois jours !

Quelles sont vos ambitions pour l’avenir ?

POST-CyberForce est actuellement l’une des seules entreprises éligibles au Luxembourg à pouvoir proposer les exercices Red Team dans le cadre de TIBER-LU grâce notamment à nos certifications OSEP (Offensive Security Experienced Penetration Tester) et OSCE (Offensive Security Certified Expert) ainsi que par nos divers travaux de recherches. Nous allons donc développer ce service dans le temps. Forts de ce savoir-faire, nous avons l’ambition de développer nos activités à l’international. Notre équipe a tous les atouts pour percer à cette échelle.

Test d’intrusion, organisation, expertise : 5 recommandations pour sécuriser son infrastructure informatique

  1. Faites le bon choix. Le pentesting est UNE des nombreuses approches pour affronter les cybermenaces et ne couvre pas tous les risques.
  2. La conformité n’implique pas de réaliser des tests inutiles. Utilisez ce levier pour augmenter la maturité au lieu de créer d’autres projets dédiés à cela.
  3. Ouvrez-vous de nouvelles perspectives. Orientez votre choix non pas en fonction d’un risque mais sur l’introspection, l’alerting, la réponse à incident, etc.
  4. Ne vous concentrez pas uniquement sur la détection. Ce n’est que le point de départ et vous devez être prêt. Sinon, vous échouerez face aux acteurs malveillants.
  5. Chacun a une expertise différente. Faites confiance à votre équipe Offensive Security.

1  Threat Intelligence-based Ethical Red Team