La simulation s'invite dans la cybersécurité avec des attaques automatisées
Voilà déjà bien longtemps que le marché de la sécurité informatique n'a pas vu apparaître de nouvelles solutions. Et, dans les faits, les couches techniques ont fini de s'empiler, depuis le déploiement de pare-feu et autres sondes réseaux, au poste de travail avec les fraîchement nommés EDR pour Endpoint Detection and Response. Le constat est, en effet, double : une fois cette dernière ligne technologique installée, il n'y plus rien à ajouter mais, surtout, la capacité du dispositif à détecter ne sera, in fine, mise à l'épreuve qu'en cas d'attaque réelle.
Les opérateurs dits d'intérêts vitaux (OIV) se voient pourtant dans l'obligation de s'assurer de cette capacité de détection, notamment par la première Loi de programmation militaire qui intégrait la dimension cyber dans sa doctrine en 2014. Tout cela dans un contexte où, selon l'éditeur Mandiant, le délai de détection d'une attaque en Europe était, en moyenne, de 48 jours en 2021 (contre 21 dans le monde) et que 8% des attaques ont un délai de furtivité de… 3 années ! Or, jusqu'à il y a deux ans, les responsables sécurité n'avaient d'autres possibilités que de passer par des équipes d'experts de type Red Teams spécialisées dans la recherche et l'exploitation de vulnérabilités (pentests pour penetration testing) pour s'en assurer. Souvent coûteuse, cette configuration a comme désagrément de placer testeurs et testés dans des postures de collaboration pas toujours très confortables. Difficile pour les uns d'être détectés d'emblée ou, pour les autres, de voir son système transformé en passoire.
Attaque de brèches automatisée
En 2020, le Gartner voyait émerger en ce sens une nouvelle famille de produits : les Breach and Attack Simulation (BAS) (Attaque de brèches automatisée). A la différence d'une Red Team et des pentests, la finalité des BAS n'est pas de repérer des failles de sécurité pour les mettre en lumière, mais de garantir, s'il y en a, que toute tentative de les exploiter sera bien détectée et que cette action fasse l'objet d'une alerte. Aujourd'hui, le nombre d'acteurs proposant ce service ne dépasse pas les vingtaines. Ils sont principalement américains et israëliens AttackIQ, CyCognito, Cymulate, DXC Technology, Mandiant, FireMon, Picus Security, Qualys, Rapid7, SafeBreach, XM Cyber et Pentera (de plus en plus présent sur le marché européen). Leur mode opératoire est bien souvent identique et consiste à déployer des logiciels agents sur des serveurs et les différents composants du réseau avant de générer des flux entre eux. Des flux qui ont des signatures malveillantes et destinés, donc, à valider que la technologie présente est en mesure de les détecter et d'entrer ensuite dans une chaîne de réaction et de renforcement.
Un acteur français
Si la technologie a suscité un énorme enthousiasme, au point que le Gartner estime sa taille à plusieurs dizaines de milliards sur 2026-2030, les questions de souveraineté ne laissent pas insensibles et posent même problème. Difficile, en effet, d'installer un outil aussi critique sans avoir l'assurance de son intégrité. "Pour nous, il n'était pas question d'installer une telle technologie, se souvient le DSI d'un opérateur télécom. En 2022, lorsque le FIC remet à Erium,le prix Startup, j'ai été séduit par leur approche. En plus d'être français, leur solution Blacknoise se présentait sous forme de boitier, donc sans agent à installer".
Pour la start-up hexagonale, le choix du boîtier se justifie car "poser un agent sur un serveur biaise forcément la façon dont les évènements vont être générés "Pour poser un agent sur un serveur, il va falloir qu'il soit légitime, donc on va lui donner une carte blanche. Le boîtier, lui, fonctionne comme un élément externe", explique Arnaud Le Men, CEO d'Erium. Le fonctionnement est assez simple puisqu'il suffit de choisir ses scénarios d'attaque et de le brancher ensuite sur le réseau et de le laisser faire son travail. "Il est bien entendu possible de choisir différents niveaux d'attaque. Au sein de notre entreprise, nous avons commencé assez doucement. Non seulement pour ne pas démoraliser les équipes, mais aussi pour nous assurer du bon fonctionnement du dispositif", raconte le DSI, qui ajoute que c'est également un moyen solide de crédibiliser la maturité de l'architecture de sécurité voire de justifier des budgets ou des évolutions supplémentaires.