Comprendre les différentes prestations en sécurité offensive

Vulnérabilité scanning, tests d’intrusion, missions red team, missions purple team : ces termes apparaissent fréquemment dans les articles, sur LinkedIn, à la télévision ou à la radio. Mais connaissez-vous réellement la différence entre eux ? Il y a souvent des confusions, même parmi les professionnels. Ce guide vise à clarifier ces notions.

Une diversité de prestations avec des objectifs et méthodes distincts

Chacune de ces prestations se distingue par ses objectifs et ses méthodes de réalisation. Voici un aperçu des principales prestations en sécurité offensive.

Scan de vulnérabilités

Le scan de vulnérabilités, ou vulnerability scanning, vise à identifier les vulnérabilités au sein d’une organisation via un scanner automatisé. Il peut cibler l’externe ou l’interne de l’organisation. Des outils comme Nessus, OpenVAS, Nexpose ou Qualys sont souvent utilisés.

Le scanner analyse des plages d’adresses IP et des ports TCP/UDP pour identifier les services exposés et leurs versions, puis effectue des scans complémentaires. Les résultats sont automatiquement croisés avec des bases de vulnérabilités, détectant ainsi les vulnérabilités potentielles.

À la fin, un rapport détaillant les IP actives, les ports ouverts, les versions des services et les vulnérabilités connues est fourni. Toutefois, le scan automatique peut générer de nombreux faux positifs.

Audit de vulnérabilités

L’audit de vulnérabilités, ou vulnerability assessment, complète le scan de vulnérabilités. Un analyste vérifie manuellement chaque vulnérabilité pour éliminer les faux positifs. Le score de criticité est ajusté pour offrir une vision précise de la surface d’exposition réelle.

Le rapport final est ainsi nettoyé des faux positifs, se concentrant sur les vulnérabilités avérées.

Test d’intrusion

Le test d’intrusion, ou penetration testing (pentest), consiste à exploiter des vulnérabilités découvertes pour évaluer jusqu’où un attaquant pourrait pénétrer dans le système. Principalement manuelle, cette prestation s’appuie sur l’expertise des auditeurs.

Elle peut cibler divers périmètres : applications web, mobiles, API, services cloud, systèmes d’information, environnements industriels, etc. Les tests peuvent être de type boite noire (sans connaissance du système), boite grise (avec quelques informations) ou boite blanche (avec accès complet).

L’objectif est de détecter toutes les vulnérabilités présentes. Les auditeurs réalisent de nombreuses requêtes, sans se soucier de la discrétion. Ces missions durent généralement de une à deux semaines et peuvent inclure des tests d’intrusion physique pour évaluer les mesures de sécurité.

Mission red team / simulation d’adversaire

La mission red team, ou adversary simulation, simule le comportement d’un attaquant réaliste, dont le niveau de sophistication est ajusté selon la maturité cybersécurité de l’organisation. Le commanditaire et le prestataire définissent ensemble des objectifs appelés flags.

Contrairement aux tests d’intrusion, cette prestation évalue également les personnes et processus via des techniques comme l’ingénierie sociale, le phishing et le déploiement d’implants. Les auditeurs restent discrets, n’exploitant que les vulnérabilités utiles à l’atteinte des objectifs.

La durée dépend du nombre de trophées à obtenir et du niveau de maturité de l’organisation, variant de plusieurs semaines à plusieurs mois. Cette mission nécessite une recherche et un développement importants, surtout pour les organisations à forte maturité cyber.

Mission purple team

Une mission purple team implique des interactions entre l’équipe attaquante et l’équipe de défense. Des ateliers vérifient que les moyens de détection peuvent repérer les TTP (Tactics, Techniques, and Procedures) des attaquants. Le but est d’identifier et combler les lacunes dans les mesures de détection.

Emulation d’adversaire

L’émulation d’adversaire est la prestation la plus avancée. Elle vise à répliquer à 100% le comportement d’un attaquant connu, choisi en fonction de données de Cyber Threat Intelligence. Pour une organisation très mature souhaitant tester sa capacité à détecter une attaque d’un groupe comme APT29, cette prestation est idéale.

Choisir la bonne prestation au bon moment

Avec autant d’options disponibles, il peut être difficile de savoir par où commencer. SCYTHE propose un modèle de maturité du hacking éthique (Ethical Hacking Maturity Model).

Il est conseillé de commencer par des missions basiques pour consolider les fondations de la cybersécurité. Cartographier la surface d’attaque est un excellent point de départ. Ensuite, réalisez des tests d’intrusion pour évaluer divers périmètres. Une fois ces bases en place, vous pouvez envisager des missions Red Team, à condition d’avoir une surveillance continue, soit interne, soit externalisée (SOC MSSP).

Les organisations très matures peuvent ensuite passer à des missions Purple Team et à l’émulation d’adversaire pour améliorer leur maîtrise des menaces.

Besoin d’accompagnement ?

Si vous avez besoin d’accompagnement, Hackcyom peut vous proposer diverses prestations :

  • Cartographie de la surface d’attaque (scan et audit de vulnérabilités)
  • Tests d’intrusion basés sur des objectifs, entre tests classiques et missions red team, compatibles avec vos analyses de risques EBIOS RM
  • Missions red team avec différents niveaux de sophistication selon votre maturité cyber

Hackcyom peut également réaliser des audits de code source, de configuration, d’architecture ou encore des campagnes de phishing.

Pour en discuter, contactez notre directeur de la sécurité offensive à audit[at]hackcyom[dot]com.