Cybermenaces : et si la meilleure défense était l'attaque ?

Le seul pentest (ou test d'intrusion) ne suffit plus. Au fil des ateliers et tables rondes, cette phrase résonnait comme un leitmotiv lors des Assises de la cybersécurité qui se sont déroulées il y a quelques jours à Monaco. Acheter des prestations visant à mettre en péril volontairement l'organisation est une pratique toujours plus fréquente, à l'image du Crédit Mutuel Arkéa qui s'est tourné vers le spécialiste NBS System.

« Les tests d'intrusion classiques montrent leurs limites », confirme Jacques Bodilis, responsable de département risques IT et sécurité au sein de la banque. « Si des vulnérabilités sont détectées, le processus en place fait en sorte qu'on ne va pas forcément élargir le périmètre des recherches pour vérifier le degré d'étendue du problème. Par ailleurs, les dispositifs de ce type sont assez éloignés de la réalité des métiers ; il y a souvent un manque de contexte pour les auditeurs de sécurité. »

Crédit Mutuel Arkéa a ainsi opté pour l'approche de sécurité RedTeam : le principe consiste à faire appel à une équipe indépendante qui endosse le rôle de cyber-attaquant. Celle-ci a pour but de simuler une attaque de la façon la plus réaliste possible, en tenant compte de l'ensemble du processus que suppose une pareille initiative : on enquête sur l'activité de l'organisation ciblée, on détermine la criticité des tâches dans le but d'identifier celles qui sont les plus pertinentes. A titre d'exemple, pour un acteur bancaire, il est intéressant de se focaliser sur les virements.

Pour Donovan Ansi, référent sécurité offensive chez NBS System, une telle approche permet « d'obtenir une vision plus représentative du niveau de sécurité, de gérer les vulnérabilités au sens global, d'être plus proactif et réactif par rapport aux évolutions de la menace, et aussi de mieux répondre au besoin d'évaluations du risque. » Sur un plan RH, c'est aussi l'occasion de former les équipes défensives à de vraies attaques éventuelles, et de faire preuve d'attractivité pour fidéliser les talents.

Organiser des chasses aux failles

Decathlon fait également partie des entreprises ayant changé de paradigme en matière de politique de sécurité IT. Matthieu Vanoost, security manager au sein du groupe, explique lui aussi que les tests classiques ont fait leur temps : « si on demande à tester une application, la question est : qu'est-ce qu'une application ? Une application implique parfois des API, des hébergements multiples, des implantations dans des pays différents... C'est un périmètre complexe à définir. »

La stratégie de Décathlon consiste désormais à faire régulièrement appel au bug bounty, qui vise à donner une récompense financière à celui qui trouve une faille dans un système de sécurité. « C'est un principe qui apporte plus de richesses et d'enseignements. Il fonctionne avec des conditions très proches du réel lorsqu'une véritable attaque se produit », souligne Matthieu Vanoost.

L'une des difficultés est parfois de valider un contrat de bug bounty en interne au niveau de la direction juridique, car il n'existe pas de garanties contractuelles sur ce qui se passe, ce qui ne se passe pas. « Il faut bien communiquer en interne sur ce qu'est exactement une telle démarche : on choisit bien sûr uniquement des acteurs fiables, il n'y a jamais aucun risque pour l'entreprise au bout du compte », poursuit-il.

Plusieurs points sont importants et souvent trop négligés dans ce type de projet : il importe de trier correctement les vulnérabilités, de définir notamment leur importance, et de s'assurer qu'elles soient effectivement corrigées. Enfin, l'onboarding doit être soigné, et mieux vaut débuter un bug bounty sur un petit périmètre.