Tabletop Exercise et Red Teaming: comment les entreprises renforcent leur cyberrésilience
Les cybermenaces étant en constante évolution, il est indispensable de réviser et de développer en permanence sa cyberdéfense. Deux méthodes principales aident à identifier les faiblesses et à renforcer la cyberrésilience.
Octobre 2024, texte Andreas Heer 4 min.
«Cette machine à café doit être retirée prochainement. Découvre ici comment t’y opposer.» Des affiches portant cette inscription étaient accrochées près des machines à café dans certains bâtiments Swisscom, elles comportaient également un code QR avec un lien de redirection.
En cherchant la réponse à la question de l’efficacité de la protection d’une entreprise, la Cybersecurity Posture, on a probablement bu quelques cafés. Les mesures préventives qui améliorent l’efficacité de la cyberdéfense apportent cette réponse. Cet article traite de deux approches qui se complètent bien dans leur orientation et contribuent à renforcer la cyberrésilience.
Trouver les failles grâce à des simulations avant qu’un assaillant ne le fasse
Un Tabletop Exercise, ou TTX en abrégé, est un exercice de simulation sur table. Il se base sur le scénario d’un cyberincident réel. Cette approche permet d’améliorer la collaboration entre les différentes divisions opérationnelles et de tester les plans d’urgence et les playbooks de réponse aux incidents existants.
Avec le Red Teaming, les choses se concrétisent. Dans cette méthode, la Red Team attaque l’infrastructure de l’entreprise en utilisant les techniques, tactiques et procédures (TTP) d’un véritable assaillant. L’objectif est de tester l’efficacité de la réponse aux incidents de la Blue Team (Incident Response).
Tabletop Exercise: simuler la défense contre une cyberattaque
En cas de cyberattaque, la collaboration entre les différentes divisions opérationnelles est décisive pour y faire face efficacement. Le service juridique, la communication d’entreprise, la direction, les départements spécialisés éventuellement concernés et bien sûr l’informatique et l’Incident Response doivent collaborer.
L’objectif d’un Tabletop Exercise (TTX) est de mettre à l’épreuve et d’améliorer cette collaboration. Les plans d’urgence et les playbooks de l’Incident Response (IR) servent de base. «La procédure structurée aide à identifier les faiblesses du processus et à définir des mesures d’amélioration», explique Manojlo Mitrović, Cyber Security Analyst (CSIRT) chez Swisscom. Parfois, le problème est aussi mineur, comme lorsque le numéro de téléphone de l’Incident Response Team (CSIRT) est erroné dans le plan d’urgence.
Dans le cas d’un Tabletop Exercise, les personnes participantes se réunissent autour d’une table ou dans une salle de réunion. Elles jouent un scénario défini au préalable, guidées par un spécialiste du domaine de la sécurité qui anime l’exercice. Le scénario s’inspire d’événements réels, par exemple lorsque des cybercriminels ont exploité une faille existante dans un logiciel et sévissent dès lors sur le réseau de l’entreprise.
Conditions préalables pour un Tabletop Exercise réussi
«Un tel exercice favorise la collaboration interdisciplinaire et la compréhension entre les différents domaines spécialisés», explique Manojlo Mitrović. «Par exemple, si un système affecté doit être isolé, les différents départements peuvent souligner les conséquences de leur point de vue.»
Pour que cela fonctionne, une préparation minutieuse est nécessaire, dans laquelle un scénario aussi réaliste que possible est planifié. Si celui-ci est conçu de manière trop simple, les failles dans les plans d’urgence et les playbooks IR ne ressortiront peut-être pas. De même, les personnes participantes doivent se préparer sérieusement et, par exemple, avoir les plans d’urgence à portée de main. Le choix des participants est également décisif. Il doit s’agir des mêmes personnes que celles qui prennent les décisions en cas de véritable cyberincident. Cela nécessite un certain engagement et la disposition à prendre le temps de réaliser un Tabletop Exercise. Les interruptions et les absences intermittentes compliquent l’atteinte de l’objectif fixé au préalable.
Red Teaming: des attaques dignes des cybercriminels et des APT
Tandis qu’un Tabletop Exercise teste les processus et la collaboration sur un plan théorique, le Red Teaming entre dans le concret. Des spécialistes de la cybersécurité y simulent une attaque contre l’infrastructure de l’entreprise en utilisant les mêmes méthodes que celles utilisées par les cybercriminels et les acteurs étatiques (APT). «Cela peut tout inclure», déclare Thomas Röthlisberger, responsable de la Red Team interne de Swisscom. «Ingénierie sociale, hameçonnage, escalade de droits, mouvement latéral. Mais ce faisant, nous gardons toujours à l’esprit l’objectif d’entreprise global défini au préalable.» Les affiches près de la machine à café mentionnées plus haut font également partie de ces méthodes. Les collaborateurs qui scannaient le code QR étaient redirigés vers une page d’inscription. Celle-ci avait été mise en place par la Red Team afin d’obtenir les données d’accès nécessaires à l’accès initial au réseau de l’entreprise.
L’objectif d’une opération de la Red Team peut par exemple viser à obtenir, en exploitant des failles de sécurité et des défauts de configuration, des données confidentielles qu’un véritable assaillant crypterait ou exfiltrerait au moyen d’un ransomware. «Avec le Red Teaming, nous voulons découvrir les faiblesses de notre propre infrastructure avant que de véritables assaillants ne le fassent», explique Thomas Röthlisberger à propos de la procédure.
Dans le même temps, les attaques simulées servent à entraîner au moyen de scénarios réalistes la Blue Team, c’est-à-dire les défenseurs du Security Operations Center (SOC), de la Computer Security Incident Response Team (CSIRT) et toutes les équipes opérationnelles potentiellement touchées par les cyberattaques. «Nous considérons aussi le Red Teaming comme une opportunité de formation passionnante», ajoute Thomas Röthlisberger.
Conditions pour un Red Teaming réussi
Au quotidien, les membres des Red et Blue Teams sont des collègues de travail. Pour que les spécialistes puissent s’affronter à la loyale et d’égal à égal lors d’une attaque simulée, il faut un médiateur ou un arbitre, incarné par la White Team. Celle-ci sert d’interlocutrice pour les deux parties. Elle peut aussi donner des indices à la Blue Team sans que l’autre équipe en soit informée.
Le réalisme et donc les risques d’un tel projet nécessitent des règles claires. En effet, les affaires courantes ne doivent pas être entravées. Un code de conduite pose les garde-fous: ne pas faire planter les systèmes ou ne pas accéder aux données des clients par exemple. Cela permet de garantir que la Red Team agit dans le cadre des exigences légales et de conformité. Ou, comme le dit Thomas Röthlisberger: «C’est du “hacking” avec le frein à main serré en marchant sur des œufs».
Mettre en œuvre les enseignements tirés et renforcer la cyberrésilience
Tant pour les Tabletop Exercises que pour le Red Teaming, il est essentiel de disposer de suffisamment de temps pour la préparation et le suivi («enseignements tirés»). Cela implique également de documenter l’ensemble de la simulation, de fixer des objectifs mesurables et de transmettre les résultats d’une opération de Red Teaming aux équipes concernées. Cela permettra de définir, lors du suivi, les étapes et les mesures nécessaires pour renforcer la cyberdéfense. «Dans ce contexte, il est bien sûr utile que la direction soit directement impliquée», souligne Manojlo Mitrović. «Cela favorise la compréhension des mesures et de leurs coûts.»
S’ils sont abordés de manière structurée et avec suffisamment de ressources, les Tabletop Exercises et le Red Teaming sont des outils efficaces pour renforcer la cyberrésilience et limiter le risque d’une cyberattaque. Ces deux méthodes s’entendent également comme des mesures récurrentes au sens d’un enseignement et d’une amélioration continus.