Red teams, les as de la mise à l'épreuve des cyberdéfenses des entreprises

Face à la multiplication des cybermenaces, des équipes d'informaticiens sont spécialisées dans les simulations d'attaques pour préparer et protéger les organisations. On les appelle les red teams.

Toute personne âgée de plus de trente ans se souvient très certainement de la populaire série de livres pour enfants Où est Charlie ? ou encore des livres d’images 3D – ou autostéréogrammes – Magic Eye, qui ont fait fureur dans les années 90. Le principe de base de ces deux jeux est de repérer une personne ou un objet caché dans un puzzle plus vaste. Mais parfois, plus on regarde, moins on trouve. Puis, quelqu'un jette un coup d'œil par-dessus notre épaule et nous indique Charlie qui se cache derrière un arbre, et d'une certaine manière, cette image magique insaisissable devient réalité. C'est ce qu'une red team de cybersécurité, c’est-à-dire une équipe de tests d’intrusions, peut faire : remettre en question notre façon de penser en nous aidant à voir des choses qu’il était auparavant impossible de voir.

Les êtres humains, par nature, traitent tous les informations et résolvent les problèmes différemment. Leurs connaissances et leurs expériences personnelles influencent leur façon de voir le monde et ont un impact considérable sur leurs prises de décisions. Ils forment ainsi des biais cognitifs, c'est-à-dire des défauts inconscients dans leur façon de penser. Cela est dû au fait que le cerveau essaie de simplifier des idées et des situations complexes.

Introduit en 1972 par les psychologues israéliens Amos Tversky and Daniel Kahneman, le concept de biais cognitif peut prendre plusieurs formes : le biais attentionnel, la fixité fonctionnelle et le biais de l’optimisme.

  • Le biais attentionnel consiste, par exemple, à donner la priorité à certaines choses et à en ignorer d'autres. A titre d'exemple, cela équivaut à tomber amoureux d'une maison de style colonial des années 1800 pour son charme et son quartier scolaire de premier ordre, mais sans tenir compte du système électrique vieillissant et de la ligne de toit affaissée ;
  • La fixité fonctionnelle entrave, quant à elle, la capacité d’un individu à sortir des sentiers battus et à trouver de nouvelles façons de résoudre les problèmes. C'est notamment l'idée qu’un trombone ne servirait qu’à maintenir des pages ensemble, sans envisager qu’il puisse remplir d'autres fonctions telles que réparer une fermeture éclair ou crocheter une serrure ;
  • Enfin, le biais de l'optimisme – ou « illusion d'invulnérabilité » - pousse, pour sa part, un individu à croire que les expériences négatives ne lui arriveront pas.

Les préjugés cognitifs inhérents sont la raison pour laquelle les individus ont besoin que d'autres personnes leur offrent un deuxième regard, ou se fassent l'avocat du diable, pour les aider à réfléchir de manière critique à l'envers d'une question, à élargir leur vision du monde et, in fine, à éviter des erreurs préjudiciables. Les red teams ont été créées sur la base de ces mêmes idées : défier les hypothèses et les plans pour renforcer les équipes.

L'art de l'analyse alternative

Le concept de red team a été introduit par l'armée pour aider à éliminer ces biais cognitifs et à tester les stratégies d'un point de vue externe. Dans une simulation de jeu de guerre, la red team joue le rôle de l'adversaire et utilise diverses techniques et outils pour tenter de pénétrer les défenses de son opposant. En résumé, il s’agit d’une fonction, exécutée par des membres d'équipe formés, éduqués et entraînés, qui fournit aux commandants une capacité indépendante d'explorer pleinement les alternatives en matière de plans, d'opérations, de concepts, d'organisations et de capacités dans le contexte de l'environnement opérationnel et du point de vue des partenaires ou encore des adversaires.

Une Red Team repose sur quatre principes :

  • La conscience de soi et la réflexion ;
  • La promotion de l'empathie culturelle ;
  • L’atténuation de la pensée de groupe et l'aide à la décision ;
  • La pensée critique appliquée.

Parce que les biais cognitifs affectent tout le monde, les équipes des secteurs public et privé peuvent, elles aussi, bénéficier d'un regard extérieur sur leurs processus. Par exemple, les fans de la série The Newsroom d'Aaron Sorkin se souviendront qu'une red team extérieure a été constituée pour percer les mystères d'une enquête d'actualité à fort enjeu et tester la crédibilité de sa source, à l'insu des journalistes affectés au projet. De même, dans le monde réel, les équipes juridiques et entités légales recourent souvent à ces méthodes pour tester leurs défenses, identifier les faiblesses de leurs dossiers et améliorer leurs plaidoyers. Par ailleurs, les organisations étant confrontées à un barrage incessant de cybermenaces, nombre d'entre elles organisent des exercices indépendants de type red team pour se mettre dans la peau d'un attaquant et mettre leurs défenses de cybersécurité à l'épreuve.

Simulations d’attaques : penser comme un attaquant

Les simulations d'attaques organisées par les red teams offrent aux équipes de SecOps, en charge de la gestion des opérations de sécurité, un moyen sûr et contrôlé d’identifier les vulnérabilités, de tester les capacités de réaction et de définir les points d’amélioration. Les équipes de tests d’intrusions utilisent tous les moyens nécessaires pour imiter une attaque sans introduire de risque pour l'entreprise. Les organisations font souvent appel à des équipes indépendantes qui apportent des compétences avancées, des perspectives nouvelles et de l'objectivité, ainsi qu’un élément de surprise, plus difficile à obtenir avec un groupe interne.

La red team travaille en étroite collaboration avec l'organisation pour déterminer les objectifs du programme en fonction de ses préoccupations et de ses exigences particulières. L'organisation peut choisir de se tester contre des menaces connues - en suivant le cadre ATT&CK de MITRE pour simuler des indicateurs de compromission (IoC) associés à un cybercriminel spécifique - ou des menaces inconnues - en développant des outils personnalisés conçus pour s’introduire dans l'environnement, circuler à l’intérieur du réseau et exfiltrer des données.

Face à la croissance continue d’attaques ransomware, de nombreuses entreprises recourent à ce type d’équipes pour identifier leurs lacunes. Dans le cadre de ces exercices, les équipes de tests d’intrusions conçoivent et exécutent ainsi des programmes d'analyse de défense spécialisés qui chiffrent les fichiers du système local, et passent sous les radars des divers outils de sécurité déployés par l'organisation. De son côté, l'équipe de sécurité de l'organisation - appelée blue team - exécute son processus de réponse aux incidents pour contenir l'hôte infecté, empêcher toute nouvelle exécution et récupérer les fichiers affectés.

À l’issue de l'exercice, les organisations reçoivent une analyse en deux parties. Le premier rapport propose une vue d’ensemble de la posture de sécurité de l'organisation, avec des conclusions clés et des recommandations classées par ordre de priorité des risques pour l'équipe de direction. La seconde partie est une analyse technique qui détaille les informations sur les vulnérabilités découvertes et les mesures correctives recommandées pour réduire l'exposition des équipes de sécurité. Cet état des lieux permet aux entreprises de mieux connaitre leurs forces et faiblesses en matière de sécurité, et peuvent alors renforcer leurs défenses et créer une base de référence à partir de laquelle les futures améliorations de la sécurité pourront être mesurées.

Pour Winston Churchill "La critique peut être désagréable, mais elle est nécessaire. Elle est comme la douleur pour le corps humain : elle attire l'attention sur ce qui ne va pas". En effet, de nombreuses cyberattaques commencent par un simple élancement - si mineur qu'il passe souvent inaperçu jusqu'à ce que les choses deviennent préjudiciables. En exploitant les faiblesses des systèmes et des processus, ainsi que de la nature humaine elle-même, les red teams poussent les équipes de cybersécurité à penser différemment et de rechercher proactivement leurs vulnérabilités ; même si cela les fait sortir de leur zone de confort. Renforcées, ces équipes ont alors la capacité d'anticiper les futures attaques et risques, et de les stopper avant qu'ils ne se produisent.