Pour une cybersécurité bien orchestrée

Aujourd’hui, les cybermenaces sont de plus en plus sophistiquées et les pirates informatiques ont un accès grandissant à des ressources illimitées qui ont le pouvoir de compromettre le réseau des organisations. En réponse à ces menaces, on déploie une variété de mécanismes évolués : solutions de détection et de réponse aux points terminaux (EDR), de détection et de réponse étendue (XDR) de pointe, de surveillance du réseau et des processus, etc. Mais une fois déployé, ce type de mécanisme couvre-t-il vraiment toutes les lignes d’attaque potentielle?

Autrement dit, les règles de détection mises en place bloquent-elles correctement les menaces? Voilà la question à laquelle les exercices de simulation d’adversaire peuvent répondre.

La simulation d’adversaire consiste à évaluer les capacités de détection et de réponse de votre entreprise en cas d’attaque. Dans un cas typique, l’équipe KPMG (purple team) procède à une simulation d’adversaire de concert avec une équipe défensive (blue team) qui représente vos efforts de détection et une équipe offensive (red team) qui représente l’adversaire, en l’occurrence simulé par KPMG. L’interaction entre les équipes défensive et offensive mène ensuite à des recommandations réalisables en vue d’améliorer l’ensemble des mécanismes de détection selon les contrôles existants.

Chez KPMG, nous évaluons régulièrement les capacités de détection et de réponse en exécutant jusqu’à 25 simulations ou tests d’intrusion par environnement informatique. Les simulations sont basées sur des tactiques, techniques et procédures (TTP) spécifiques telles que définies dans le cadre ATT&CK de MITRE. Les résultats obtenus nous permettent de classer les capacités de détection par catégorie :

• Détection des processus malveillants – conçue pour tester votre capacité à détecter et à empêcher l’exécution de code malveillant sur les postes de travail et les serveurs
• Détection du trafic du réseau – conçue pour tester votre capacité à détecter le trafic réseau malveillant (p. ex., reconnaissance ou authentification réseau, tunnellisation ou encapsulation de protocole SSH)
• Détection d’accès au nuage – conçue pour tester votre capacité à détecter les attaques à distance qui visent votre nuage Azure
• Détection des attaques ciblées et d’exploitation – conçue pour évaluer votre capacité à détecter les attaques ciblées et les tentatives d’exploitation au sein du réseau informatique
• Détection de mouvements latéraux – conçue pour tester votre capacité à détecter les mouvements latéraux entre les actifs internes du réseau (extraction d’identifiants à distance, compromission d’un hôte distant par hachage, connexion distante à d’autres systèmes, etc.).

Chaque test est conçu pour évaluer un contrôle informatique précis. Au cours d’un exercice de simulation d’adversaire, votre équipe interne collabore avec la nôtre pour vérifier si les actes malveillants sont bien détectés. On s’attend habituellement aux résultats suivants :

• Une alerte a été générée et la tentative d’attaque a été bloquée
• Une alerte a été générée, mais la tentative d’attaque n’a pas été bloquée
• Aucune alerte n’a été générée et aucune tentative d’attaque n’a été bloquée.

En fonction du résultat obtenu, nous vous donnons ensuite des conseils sur la façon d’améliorer vos capacités de détection et de prévention.

En outre, les données associées aux actes malveillants sont généralement agrégées dans le système de gestion des informations et des événements de sécurité (SIEM), même lorsqu’aucune règle de détection efficace n’est en place. Nous avons remarqué que certains contrôles informatiques ne sont pas toujours mis en œuvre vu le manque de visibilité du produit déployé dans l’environnement informatique.

L’exercice de simulation d’adversaire vous permet d’améliorer vos capacités de détection et d’intervention grâce à des évaluations techniques des contrôles en place. L’aspect concret de l’exercice aide à cerner les écarts entre la théorie et la pratique dans votre environnement TI. Une fois l’exercice terminé, vous aurez une bien meilleure compréhension de vos capacités de détection et de réponse en temps réel. Nous vous fournirons ensuite un rapport de suivi avec des conseils clairs sur les mesures à prendre pour combler les lacunes relevées durant la tenue de l’exercice.

Il est important de noter que l’aspect collaboratif de l’exercice apporte des avantages à votre équipe défensive. En effet, la simulation en temps réel lui permet de s’exercer à chercher les menaces selon différents cas de figure. Le tout grâce à une collaboration haute en couleur sans laquelle de tels résultats ne pourraient être atteints.

Apprenez-en plus sur nos exercices de simulation et la façon dont ils peuvent vous aider à renforcer votre cyberrésilience. Nous offrons une gamme de services en cybersécurité, de la stratégie à la gouvernance, en passant par la réponse aux incidents, la reprise des activités, et plus encore.