Red Team

Red Team

Lors d’un audit Red Team, l’auditeur utilise toutes les méthodes et les outils disponibles, sans ou avec peu restrictions (dans un cadre légal) et sur un large périmètre :

  • Intrusion informatique ;
  • Ingénierie sociale ;
  • Accès physique ;
  • Etc.

L’enjeu est d’évaluer la sécurité de l’organisation et de son système d’information dans sa globalité.

Pourquoi ?

Contrairement au test d’intrusion, qui cible un périmètre bien défini, l’opération Red Team est articulée autour d’un objectif (actif métier ou critique) avec quelques règles d’engagement seulement.

En effet, l’intérêt est de mener des tentatives d’intrusion sur la totalité ou du moins une grande partie du système d’information :

  • L’objectif à atteindre concerne un bien essentiel de l’entreprise (donnée ou processus métier) ou un bien secondaire très sensible (centre de données, serveur, personnel) ;
  • Le succès ou l’échec à atteindre cet objectif éclaire sur la capacité de l’entreprise à détecter les menaces et à préserver un bien essentiel.

Quand ?

L’opération Red Team est complémentaire aux tests d’intrusion, menés plus régulièrement et sur des périmètres limités.

L’opération a intérêt à être menée à différents moments selon le niveau de maturité :

  • Dans une organisation à faible niveau de maturité, préalablement à tout autre type de test, pour réaliser un état des lieux : rapidement évaluer le niveau de risque de l’actif le plus précieux et aider les décideurs à identifier quelles sont les actions prioritaires à mener ;
  • Pour celles ayant déjà un bon niveau de maturité, à la suite des tests d’intrusion menés tout au long de l’année, pour apporter un éclairage complémentaire et plus global. Le cycle peut généralement être d’une à trois années, sachant que les objectifs et le cadre de l’audit peuvent être changés à chaque nouvelle itération.

L’opération est aussi idéale pour éprouver le niveau d’efficacité des équipes de défense (blue team, SOC, CERT/CSIRT, équipe d’exploitation) en termes de détection et de réaction.

Notre démarche

Organisation

Une campagne Red Team est par nature complexe et longue compte tenu du périmètre ciblé, large par définition, et du besoin de furtivité pour le succès des opérations.

La campagne peut ainsi s’étaler sur plusieurs mois : elle nécessite un suivi constant, un reporting régulier et des arbitrages tactiques comme stratégiques.

Par conséquent, nous la gérons comme un projet de grande envergure : cadre rigoureux, conduite et coordination d’un expert très expérimenté, comité de pilotage, etc.

Déroulement

L’opération est menée comme une campagne d’attaque étalée dans le temps. Plusieurs méthodologies d’attaques peuvent être employées, à titre d’exemple :

  • Recherche sur sources ouvertes (OSINT) ;
  • Test d’intrusion interne, externe, WiFi, physique, etc. ;
  • Ingénierie sociale ;
  • Intrusion physique ;
  • Etc.

En fonction des besoins et des enjeux (furtivité, complexité), le nombre de jours alloués peut être réparti sur plusieurs mois et plusieurs intervenants techniques.

Les cycles offensifs suivants sont joués ou répétés au fil de ces interventions et en fonction des nécessités stratégiques et tactiques :

  1. Reconnaissance passive, sur sources accessibles publiquement dites ouvertes (test d’exposition) ;
  2. Reconnaissance active, par des interactions avec la cible (scan réseau, accès à une application, contacts avec des employés, visite de locaux) ;
  3. Énumération des vulnérabilités avec un haut potentiel de gain d’accès ;
  4. Revue et arbitrage des points d’accès potentiels ;
  5. Exploitation des vulnérabilités ;
  6. Gain d’accès.

Ce cycle est bien entendu répété jusqu’à un gain d’accès suffisant pour atteindre l’objectif final de la campagne.

Idéalement, les équipes internes, notamment celles chargées de la défense, ne sont pas informées de l’opération, afin de garantir que les tests sont réalistes et représentatifs du niveau de sécurité habituel de l’entreprise.

Nos engagements, notre éthique

Nous garantissons naturellement la parfaite confidentialité de l’ordre de mission, des traces d’audit et des rapports émis.

Cet engagement est concrétisé par notre charte d’éthique, appliquée sur notre organisation et nos analystes, ainsi que par les mesures techniques que nous mettons en œuvre (chiffrement, infrastructure isolée, stricte gestion des droits, politique de rétention des données, etc.).

D’autre part, le cadre technique , notamment les conditions et la durée de rétention de l’information, est contractualisé dès avant l’audit.

Un compte-rendu de clôture de l’audit vous sera également remis, avec les indications de retour à la normale des systèmes audités (éventuels comptes de test et fichiers à supprimer, ou autres actions).

N’hésitez pas à nous contacter, nous nous ferons un plaisir de partager avec vous plus de précisions à ce sujet.

Élements-clés

  • Évaluation globale de la sécurité d’une organisation.
  • Un objectif stratégique à atteindre au sein d’un large périmètre.
  • Campagne offensive pluri-disciplinaire.
  • Identification des défaillances les plus graves dans la protection des biens essentiels.
  • Mise à l’épreuve des mesures de défense : outils & équipes (dont les SOC, CERT).