Qu’est-ce que le Red Teaming ? Méthodologie et outils

Sécurité des données

Red Team

Le Red Teaming est la pratique qui consiste à tester la sécurité de vos systèmes en essayant de les pirater. Une Red Team (« équipe rouge ») peut être un groupe externe de pentesters (testeurs d’intrusion) ou une équipe au sein de votre propre organisation. Dans les deux cas, son rôle est le même : émuler un acteur réellement malveillant et tenter de pénétrer dans vos systèmes.

On comprendra très facilement la valeur des Red Team en imaginant un scénario. Supposons qu’une organisation dispose d’un processus de test d’intrusion extrêmement bien développé et donc qu’elle soit certaine que ses systèmes ne peuvent pas être piratés par des acteurs externes. Une Red Team pourrait s’en rendre compte et adopter une approche plus directe : elle pourrait falsifier la carte d’accès d’un employé, pénétrer dans votre bâtiment et se présenter à votre personnel comme étant « du service informatique ». Dans certains cas, des employés bienveillants laisseront ces personnes accéder à des données sensibles, les copier et repartir avec. Un scénario de film ? Croyez-moi, cela arrive.

« Cela m’a vraiment ouvert les yeux sur la sécurité d’AD, chose que les initiatives de défense n’avaient jamais fait. »

Les Red Team côtoient de nombreuses autres équipes dans le paysage de la cybersécurité. Les Blue Team (« équipes bleues ») peuvent travailler aux côtés des Red Team mais se concentrent sur l’amélioration de la sécurité du système depuis l’intérieur. Les Purple Team (« équipes violettes ») associent approches offensives et défensives. Néanmoins, le Red Teaming est l’une des pratiques les moins comprises dans le domaine de la gestion de la cybersécurité, et maintes entreprises hésitent encore à l’utiliser.

Dans ce guide, nous expliquons en quoi consiste exactement le Red Teaming et comment l’introduction de pratiques des Red Team dans votre organisation peut contribuer à améliorer votre sécurité. Notre objectif est de vous montrer comment le Red Teaming peut considérablement améliorer la sécurité de vos systèmes informatiques.

Présentation du Red Teaming

Bien qu’il soit aujourd’hui mieux connu en tant que tactique de cybersécurité, le Red Teaming était à l’origine une pratique militaire. En réalité, c’est dans l’armée que j’ai découvert le Red Teaming. Dans les années 1980, travailler comme analyste de défense en cybersécurité était très différent à bien des égards : l’accès aux systèmes informatiques chiffrés était bien plus limité qu’aujourd’hui, et le personnel non technique travaillait généralement en étroite collaboration avec les analystes de sécurité lorsqu’il souhaitait y accéder.

À d’autres égards, mes premières expériences en matière de « wargames » s’apparentaient au processus actuel de Red Teaming. Tout comme maintenant, l’accent était largement mis sur l’utilisation de techniques d’ingénierie sociale afin de convaincre les employés de donner à « l’ennemi » un accès injustifié aux systèmes militaires. Par conséquent, bien que les méthodes techniques de Red Teaming aient considérablement progressé depuis les années 1980, il est important de reconnaître que bon nombre des principaux outils de l’approche offensive, et plus particulièrement l’ingénierie sociale, sont largement indépendants de la plateforme informatique.

De même, la valeur principale du Red Teaming est en grande partie inchangée depuis les années 1980. En simulant une attaque sur vos systèmes, vous pouvez plus facilement identifier vos vulnérabilités et la manière dont elles pourraient être exploitées. Et bien que les premières utilisations du Red Teaming aient eu lieu dans le cadre du piratage éthique et des tests d’intrusion, le Red Teaming s’utilise maintenant de manière beaucoup plus large dans le domaine de la cybersécurité et des applications métier.

Le Red Teaming repose sur un point clé : vous ne pouvez pas vraiment savoir à quel point vos systèmes sont sécurisés tant qu’ils n’ont pas été attaqués. Et au lieu de courir les risques liés à une attaque réellement malveillante, il est plus sûr d’en simuler une par le biais d’une Red Team.

Exemples de scénarios de Red Teaming

Pour comprendre les mécanismes fondamentaux du Red Teaming, examinons deux exemples simples :

  • Scénario 1 : imaginez qu’un test d’intrusion soit effectué sur un site de service client, et que celui-ci passe le test avec succès. Cela semble indiquer que tout va bien. Néanmoins, un test de la Red Team permet de découvrir que si l’application de service client reste elle-même inviolée, la fonctionnalité tierce de chat n’identifie pas formellement les personnes, ce qui permet de tromper les agents du service client en changeant l’e-mail d’un compte (et en autorisant l’accès à la nouvelle personne).
  • Scénario 2 : un test d’intrusion fait apparaître que le VPN et les contrôles d’accès à distance fonctionnent tous parfaitement et que les systèmes sont sécurisés. Cependant, un membre de la Red Team franchit la réception en passant derrière une personne titulaire d’un badge d’accès et repart avec un ordinateur portable.

Dans les deux cas ci-dessus, la Red Team examine l’ensemble du système afin de déceler des failles et des possibilités d’intrusion, au lieu de vérifier la fiabilité de chaque système pris séparément.

À qui s’adresse le Red Teaming ?

Presque toutes les entreprises peuvent bénéficier du Red Teaming sous une forme ou une autre. Comme le montre notre rapport mondial de 2019 sur les risques liés aux données, de façon inquiétante, un grand nombre d’entreprises ne contrôlent pas leurs données aussi bien qu’elles le pensent. À titre d’exemple, nous avons constaté que 22 % en moyenne des dossiers d’une entreprise sont accessibles à tous les employés, et que 87 % des entreprises ont plus de 1 000 fichiers sensibles et obsolètes dans leurs systèmes.

Si votre entreprise ne travaille pas dans le secteur de la technologie, vous pourriez penser que le Red Teaming vous sera d’une utilité limitée ; mais ce n’est pas le cas. La cybersécurité ne consiste pas seulement à protéger les informations sensibles.

Des acteurs malveillants essaient également de s’emparer de technologies utilisées par tous. Par exemple, ils pourraient chercher à accéder à votre réseau pour mieux masquer leurs activités pendant qu’ils prennent le contrôle d’un autre système ou réseau ailleurs dans le monde. Dans ce type d’attaque, vos données n’ont pas d’importance : ce sont vos ordinateurs qu’ils souhaitent infecter avec des logiciels malveillants, afin de pouvoir ajouter votre système à un groupe de botnets.

Cela dit, pour les petites entreprises, il peut être difficile de déployer les ressources nécessaires au Red Teaming.  Dans ce cas, il peut être utile de faire appel à un prestataire extérieur de Red Teaming.

Considérations relatives au Red Teaming

Même si la quasi-totalité des entreprises peut tirer parti du Red Teaming, le meilleur moment pour l’entreprendre et la fréquence appropriée varient selon votre secteur d’activité et la maturité de vos défenses de cybersécurité.

Plus précisément, vous devez déjà effectuer des tâches automatisées telles que des investigations sur les actifs et des analyses de vulnérabilité. Votre entreprise doit également associer technologie automatisée et intelligence humaine en mettant régulièrement en œuvre des tests d’intrusion fiables.

Une fois que vous avez effectué plusieurs cycles de tests de vulnérabilité et d’intrusion, vous pouvez démarrer le Red Teaming. C’est à ce stade que vous allez constater tout son intérêt. Cependant, l’introduction du Red Teaming avant d’avoir bien couvert les bases produira des résultats très limités.

L’équipe de piratage éthique parviendra probablement à compromettre l’environnement avec une telle facilité et rapidité qu’il y aura peu de leçons à en tirer. Pour être réellement utiles, les informations générées par la Red Team doivent être contextualisées sur la base des tests d’intrusion et de l’évaluation des vulnérabilités réalisés précédemment.

En quoi consistent les tests d’intrusion ?

On confond souvent Red Teaming et tests d’intrusion, mais les deux techniques sont légèrement différentes. Ou, plus précisément, les tests d’intrusion ne sont que l’une des techniques pouvant être utilisées par les Red Team.

Comme nous l’avons expliqué dans nos précédents articles sur les tests d’intrusion, le rôle du pentester est strictement délimité. Le travail des pentesters est organisé en quatre grandes phases : planification, découverte d’informations, attaque et rapport. Comme vous pouvez le constater, les pentesters ne se contentent pas de rechercher les vulnérabilités des logiciels. Ils pensent comme des hackers : c’est après avoir pénétré dans votre système que débute leur véritable travail.

Ils continueront à faire des découvertes, puis baseront ensuite leurs nouvelles attaques sur ce qu’ils ont appris en parcourant les arborescences de dossiers. Et c’est ce qui différencie le pentester d’une personne engagée uniquement pour trouver des vulnérabilités, par exemple à l’aide d’un logiciel de balayage de ports ou d’un renifleur de virus. Un pentester expérimenté peut identifier :

  • les cibles potentielles d’un pirate informatique ;
  • la manière dont il attaquerait ;
  • la qualité de la réponse apportée par votre sécurité ;
  • l’ampleur possible de la violation.

Les tests d’intrusion visent à identifier les failles au niveau de la couche applicative, des réseaux et des systèmes, ainsi que les possibilités de compromettre les barrières de sécurité physiques. Bien que les tests automatisés puissent identifier certains problèmes de cybersécurité, les véritables tests d’intrusion prennent aussi en compte manuellement la vulnérabilité de l’entreprise aux attaques.

Red Teaming vs Tests d’intrusion

Bien qu’importants, les tests d’intrusion ne constituent qu’une partie de ce qu’accomplit une Red Team. Les opérations des Red Team ont des objectifs beaucoup plus larges que celles des pentesters, dont le but se réduit souvent à l’accès au réseau. Les exercices de Red Teaming sont conçus pour émuler un scénario d’APT plus concret, et incluent notamment des stratégies défensives et une analyse détaillée des risques.

Les tests d’intrusion sont une petite partie du Red Teaming, qui inclut aussi le contournement et la persistance, l’augmentation de privilèges et l’exfiltration. Les tests d’intrusion ne sont que le premier élément de la chaîne du cybercrime, et les techniques de Red Teaming incluent l’ensemble de cette chaîne.

Points forts du Red Teaming

Si le Red Teaming présente de nombreux avantages, de façon générale, il offre une image complète du niveau de cybersécurité de votre organisation. Habituellement, le processus de la Red Team comprend des tests d’intrusion (réseau, applications, appareils mobiles, équipements), l’ingénierie sociale (sur site et par téléphone, e-mail/SMS et chat) et l’intrusion physique (crochetage de serrures, contournement des caméras de surveillance, désactivation des alarmes). Si vos systèmes présentent une vulnérabilité au niveau de l’une ou l’autre de ces composantes, elle sera détectée.

Une fois les vulnérabilités exposées, elles peuvent être corrigées. Les opérations efficaces de Red Teaming ne s’achèvent pas avec la phase de découverte. Après avoir détecté les failles de sécurité, vous devrez travailler à leur remédiation et à la réalisation de nouveaux tests. En fait, le véritable travail commence généralement après une intrusion de la Red Team : vous effectuerez une analyse approfondie de l’attaque et chercherez à neutraliser les vulnérabilités.

Outre ces deux points forts sur le plan général, le Red Teaming présente également plusieurs avantages lorsqu’il est utilisé en conjonction avec d’autres techniques d’analyse des menaces. Le Red Teaming peut :

  • identifier le risque et la susceptibilité d’une attaque contre vos principales ressources d’informations métier ;
  • simuler les techniques, tactiques et procédures (TTP) de véritables acteurs malveillants d’une manière contrôlée et axée sur les risques ;
  • évaluer la capacité de votre organisation à détecter les menaces sophistiquées et ciblées, y répondre et les prévenir ;
  • favoriser une collaboration étroite avec les équipes internes de réponse aux incidents et les Blue Team, afin de proposer des mesures d’atténuation pertinentes et des séances détaillées de débriefing post-évaluation.

Comment fonctionne le Red Teaming ?

La meilleure façon de comprendre le fonctionnement précis du Red Teaming, c’est d’examiner le déroulement d’un exercice représentatif. Le processus typique suivi par une Red Team compte plusieurs étapes :

  • Une organisation convient de l’objectif de l’exercice avec sa Red Team (interne ou externe). Par exemple, cet objectif peut être l’extraction d’informations sensibles sur un serveur particulier.
  • La Red Team effectue ensuite une reconnaissance de la cible. Il en résulte une carte des systèmes cibles, notamment des services réseau, des applications Web et des portails employés.
  • Des vulnérabilités sont alors découvertes dans un système cible, généralement exploitées au moyen de techniques de phishing ou encore de cross-site scripting (XSS).
  • Une fois des jetons d’accès valides obtenus, la Red Team utilise son accès pour sonder d’autres vulnérabilités.
  • Si d’autres vulnérabilités sont détectées, la Red Team s’efforce d’augmenter son niveau d’accès jusqu’au niveau requis pour accéder à la cible.
  • Une fois cette opération effectuée, les données ou l’actif ciblés sont atteints.

En pratique, un membre expérimenté d’une Red Team utilisera un vaste choix de techniques pour chacune de ces étapes. Le principal point à retenir du scénario d’attaque ci-dessus, c’est que de petites vulnérabilités dans des systèmes uniques peuvent entraîner des pannes catastrophiques lorsqu’elles sont associées.

Que nécessite l’intervention d’une Red Team ?

Pour tirer le meilleur parti d’un exercice de Red Teaming, vous devez soigneusement vous préparer. Les systèmes et les processus utilisés sont différents d’une organisation à l’autre, et un exercice de Red Teaming de qualité sera spécialement conçu pour identifier les vulnérabilités de vos systèmes. C’est pourquoi il est important de comprendre un certain nombre de facteurs :

Savoir ce que vous recherchez

Tout d’abord, il est important de comprendre quels systèmes et processus vous souhaitez tester. Peut-être avez-vous dans l’idée de tester des applications Web, mais vous ne savez pas exactement ce que cela signifie réellement pour vous, ni quels autres systèmes sont intégrés avec vos applications Web. Il est donc important que vous connaissiez suffisamment vos propres systèmes et que vous corrigiez toute vulnérabilité évidente avant de commencer un exercice de Red Teaming.

Connaître votre réseau

Ce conseil est lié au précédent, mais davantage axé sur les spécifications techniques de votre réseau. Plus vous êtes capable de quantifier votre environnement de test, plus votre Red Team peut agir de manière précise et spécifique.

Connaître votre budget

Le Red Teaming peut intervenir à différents niveaux, mais une attaque simulée de grande envergure sur votre réseau, avec ingénierie sociale et intrusion physique, peut s’avérer coûteuse. C’est pourquoi il est important de savoir combien vous pouvez dépenser pour votre exercice de Red Teaming, et de définir son champ d’application en conséquence.

Connaître votre niveau de risque

Certaines organisations peuvent tolérer un niveau de risque assez élevé dans le cadre de leurs procédures métier standards. D’autres, en particulier celles qui opèrent dans des secteurs où il existe des exigences de conformité précises et complexes, devront limiter bien davantage leur niveau de risque. Un exercice de Red Teaming exige donc de se concentrer sur les risques qui présentent réellement des conséquences pour votre activité.

Outils et tactiques courantes des Red Team

Lorsqu’il est mis en œuvre correctement, le Red Teaming constitue une attaque de grande envergure sur vos réseaux, utilisant tous les outils et techniques dont disposent les pirates informatiques, notamment les suivants :

  • Tests d’intrusion d’applications : visent à identifier les failles des couches applicatives, telles que la falsification de requêtes intersites, les failles d’injection, la mauvaise gestion des sessions, et bien plus encore.
  • Tests d’intrusion du réseau : visent à identifier les failles du réseau et des systèmes, notamment les mauvaises configurations, les vulnérabilités des réseaux sans fil, les services malveillants, etc.
  • Tests d’intrusion physique : visent à vérifier la fiabilité et l’efficacité des contrôles de sécurité physique par exploitation en conditions réelles.
  • Tests d’ingénierie sociale : visent à exploiter les faiblesses des personnes et de la nature humaine, à tester la sensibilité humaine à la persuasion et la manipulation trompeuses au moyen de tentatives de phishing par e-mail, téléphone et SMS, et du « pretexting » physique et sur site.
  • Tous les tests ci-dessus : le Red Teaming est une simulation d’attaque complète sur plusieurs niveaux, conçue pour mesurer la capacité de votre personnel, de vos réseaux, de vos applications et de vos contrôles de sécurité physique à résister à l’attaque d’un adversaire réel.

L’évolution constante des techniques de Red Teaming

Étant donné la nature du Red Teaming, dans lequel les Red Team essaient constamment de trouver de nouvelles failles de sécurité et les Blue Team de les corriger, les techniques utilisées par ces premières sont en perpétuelle évolution. Pour la même raison, il est difficile de dresser une liste des techniques de Red Teaming sans qu’elle ne soit très rapidement dépassée.

La plupart des membres des Red Team passeront donc au moins une partie de leur temps à rechercher des techniques inédites et de nouveaux exploits en utilisant les nombreuses ressources fournies par la communauté du Red Teaming. Voici les ressources les plus prisées :

  • Le service d’abonnement Pentester Academy propose des cours vidéo en ligne portant principalement sur les tests d’intrusion, mais aussi des cours sur l’analyse approfondie des systèmes d’exploitation, les tâches d’ingénierie sociale et le langage d’assemblage pour la sécurité des informations.
  • Vincent Yiu est un « opérateur de cybersécurité offensif » qui publie régulièrement des articles de blog sur les techniques de Red Teaming, et s’avère une source intéressante d’approches novatrices.
  • Twitter est également une source précieuse. Si vous recherchez des informations sur les tendances en matière de Red Teaming, vous pouvez les trouver sur Twitter avec les hashtags #redteam et #redteaming.
  • Un autre opérateur expérimenté de Red Teaming, Daniel Miessler, publie une newsletter et un podcast, alimente un site Web et a beaucoup écrit sur le Red Teaming contemporain. Parmi ses articles récents, citons « Purple Team Pentests Mean You’re Failing at Red and Blue » et « When to Use Vulnerability Assessments, Pentesting, Red Team, and Bug Bounties ».
  • The Daily Swig est une newsletter sur la sécurité Web, sponsorisée par PortSwigger Web Security. C’est une ressource intéressante pour en savoir plus sur les développements du Red Teaming : piratages, fuites de données, exploits, vulnérabilités des applications Web et nouvelles technologies en matière de sécurité.
  • Florian Hansemann est pirate éthique et pentester ; il aborde régulièrement les nouvelles tactiques de Red Teaming sur son blog.
  • Les MWR Labs sont également une bonne source d’informations, certes extrêmement techniques, sur le Red Teaming. Ils publient des outils efficaces pour les Red Team, et leur flux Twitter offre des conseils pour résoudre les problèmes rencontrés par les testeurs de sécurité informatique.
  • Emad Shanab est avocat et pirate éthique. Son flux Twitter propose des techniques utiles aux Red Team, comme l’écriture d’injections SQL et la falsification de jetons OAuth.
  • Mitre’s Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) est une base de connaissances bien organisée sur le comportement offensif. Elle suit les phases du cycle de vie des acteurs malveillants et les plateformes qu’ils sont connus pour cibler.
  • The Hacker Playbook est un manuel destiné aux pirates informatiques ; bien qu’assez ancien, il aborde nombre des techniques fondamentales qui continuent à étayer le Red Teaming. Son auteur, Peter Kim, dispose d’un flux Twitter où il propose des conseils de piratage et mentionne ceux d’autres acteurs.
  • Le SANS Institute est un autre grand prestataire de formation en cybersécurité. Son flux Twitter DFIR (« digital forensics and incident response ») contient les dernières actualités sur les cours qu’il propose et des conseils de professionnels experts.
  • Certains des nouveaux écrits les plus passionnants sur le Red Teaming sont publiés par le Red Team Journal. On y trouve des articles axés sur la technologie, tels que des comparatifs entre le Red Teaming et les tests d’intrusion, ainsi que des éléments de réflexion, tels que « The Red Teamer’s Manifesto ».
  • Enfin, Awesome Red Teaming est une communauté sur GitHub qui propose une liste très détaillée de ressources pour les Red Team. Elle traite séparément de presque tous les aspects techniques du Red Teaming, depuis l’accès initial, l’exécution et la persistance jusqu’au déplacement latéral, la collecte et l’exfiltration.

Qu’est-ce que le Blue Teaming ?

Avec autant d’équipes différentes, chacune dotée d’une couleur, il peut être difficile de déterminer le type d’équipe dont votre organisation a besoin.

La Blue Team est une alternative à la Red Team, ou plutôt un autre type d’équipe qui peut être utilisé en conjonction avec une Red Team. Toutefois, l’objectif de la Blue Team est différent. Endossant le rôle de défenseurs, les Blue Team utilisent des techniques de contre-attaque pour neutraliser les tentatives malveillantes des Red Team.

Red Teaming vs Blue Teaming

Nombre d’organisations se posent la question de savoir s’il est préférable d’utiliser une Red Team ou une Blue Team. Leurs membres entretiennent souvent un rapport de rivalité amicale avec ceux de l’équipe adverse à ce sujet . Mais en réalité, elles dépendent l’une de l’autre et la réponse à cette question est : « les deux ».

Vous avez besoin de la Red Team pour détecter des failles dans vos défenses, et vous avez besoin de la Blue Team pour contrer ces attaques et renforcer votre sécurité. Vous aurez ensuite à nouveau besoin de la Red Team pour tester les améliorations apportées à votre système, et le cycle continue.

Qu’est-ce que le Purple Teaming ?

L’idée du Purple Teaming est née des tentatives d’intégration entre les Red Team et les Blue Team. La Purple Team est un concept, plutôt qu’une équipe réellement à part. Considérée comme une combinaison de la Red Team et de la Blue Team, elle encourage les deux équipes à travailler ensemble.

Varonis dispose d’une Purple Team pour conseiller votre organisation sur votre stratégie de cybersécurité et de réponse aux incidents.

Le mot de la fin

Le Red Teaming est une méthode puissante pour tester les vulnérabilités de votre organisation en matière de sécurité, mais elle doit être déployée avec soin. Plus précisément, vous devrez déjà avoir mis en place des protections de cybersécurité suffisamment solides, telles que celles proposées par Varonis, avant de pouvoir réellement tirer parti du Red Teaming.

Néanmoins, s’il est mis en œuvre correctement, le Red Teaming peut exposer des vulnérabilités dans votre système dont vous n’aviez même pas conscience, et vous aider à y remédier. En adoptant une approche offensive, vous pouvez simuler ce qu’un pirate ferait réellement s’il voulait voler vos données ou endommager vos actifs.

Jeff Petters

Jeff Petters

Jeff travaille sur les ordinateurs depuis que son père a ramené à la maison un IBM PC 8086 avec un système de double disques durs. La recherche et l'écriture sur la sécurité des données est le travail de ses rêves.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.