Le domaine de la cybersécurité comprend toutes les activités que les entreprises et les équipes de sécurité entreprennent pour se protéger et protéger leurs actifs informatiques contre les attaques. Il s'agit de tâches de sécurité à la fois défensives et offensives.
La sécurité offensive consiste à utiliser les mêmes outils, tactiques et techniques qu'un véritable attaquant lorsqu'il s'en prend à une organisation. Cependant, au lieu d'utiliser ces techniques pour nuire, les équipes de sécurité peuvent les utiliser pour améliorer la sécurité d'une organisation.
Les cyberdéfenseurs jouent constamment au jeu du chat et de la souris avec les cybercriminels et les autres acteurs de la cybermenace. Au fur et à mesure que les attaquants développent de nouveaux outils et de nouvelles techniques, les défenseurs mettent en place des défenses pour les contrer. Ensuite, les attaquants s'efforcent de contourner ces défenses.
Si une organisation aborde la cybersécurité uniquement d'un point de vue défensif, les outils et les défenses qu'elle développe ne seront véritablement testés que lorsque l'organisation sera attaquée. En outre, le développement de nouvelles défenses se fait dans le vide, avec une vision limitée de ce qui est réellement nécessaire pour combler les failles dans les défenses d'une organisation.
La cybersécurité offensive permet aux organisations de tester leurs défenses et d'identifier les manques de sécurité qui doivent être corrigés. En simulant des attaques réelles, les tests offensifs de cybersécurité identifient les vulnérabilités qui représentent le plus grand risque pour une organisation, ce qui permet à l'entreprise de concentrer ses investissements et ses efforts en matière de sécurité là où le retour sur investissement est le plus important.
La cybersécurité défensive comprend les efforts déployés par une organisation pour se protéger contre les attaques. Le déploiement de solutions de sécurité, l'adoption de politiques de sécurité, la formation des employés à la reconnaissance des attaques par hameçonnage et d'autres efforts similaires relèvent tous du domaine défensif. La cybersécurité défensive comprend à la fois la tentative proactive de prévenir les cyberattaques et la tentative réactive d'identifier, de bloquer et d'atténuer les attaques en cours.
Par essence, la cybersécurité offensive est ce contre quoi la cybersécurité défensive s'efforce de se protéger. Les cybercriminels testent, contournent et percent les défenses d'une organisation pour voler des données ou causer des dommages. Les hackers éthiques testent, contournent et percent les défenses d'une organisation pour trouver les failles afin qu'elles puissent être corrigées avant qu'un véritable attaquant ne puisse en tirer parti.
Un programme de cybersécurité mature intègre des activités de cybersécurité offensives et défensives. Cette combinaison permet à la fois de défendre une organisation contre les cybermenaces et d'utiliser des techniques offensives de cybersécurité pour affiner et améliorer ces défenses.
L'analyse des vulnérabilités est un processus automatisé utilisé pour identifier les vulnérabilités d'une organisation sur le site application. Un scanner de vulnérabilité tentera d'identifier les sites application qui fonctionnent sur les systèmes cibles et de déterminer s'ils contiennent des vulnérabilités. Pour ce faire, on peut combiner la recherche de vulnérabilités connues pour une version particulière d'un logiciel et l'envoi d'entrées malveillantes - telles que des chaînes d'injection SQL courantes - à une application.
L'analyse de vulnérabilité est couramment utilisée par les acteurs de la cybermenace pour identifier les vulnérabilités potentiellement exploitables en vue d'une attaque. En effectuant régulièrement des analyses de vulnérabilité, une organisation peut identifier et combler ces vulnérabilités avant qu'elles ne soient exploitées.
Le test de pénétration est une forme de test de sécurité offensif dans lequel un humain teste les cyberdéfenses d'une organisation. Ces évaluations sont conçues pour identifier le plus grand nombre possible de vulnérabilités dans les défenses d'une organisation.
Les tests d'intrusion permettent d'identifier des vulnérabilités qui ne seraient pas détectées par un scanner automatique, car ils sont guidés par l'intelligence et les connaissances humaines. Des tests d'intrusion réguliers aident les organisations à fermer les vulnérabilités les plus susceptibles d'être exploitées par un attaquant humain.
Les exercices de l'équipe rouge sont similaires aux tests d'intrusion dans la mesure où ils sont effectués par des humains et non de manière entièrement automatisée. Une différence majeure réside dans le fait que les missions de l'équipe rouge testent les défenses d'une organisation contre une menace particulière, alors que les tests d'intrusion sont conçus pour identifier le plus grand nombre possible de vulnérabilités.
Les exercices en équipe bleue et violette font référence à l'implication des différentes parties dans l'exercice et à leur niveau de collaboration. Par exemple, un exercice en équipe violette implique davantage de collaboration et de partage des connaissances entre l'équipe rouge offensive et l'équipe bleue défensive.
Les évaluations de l'équipe rouge visent à imiter des attaques réelles, souvent avec un objectif particulier, comme une violation de données ou la livraison d'un logiciel rançonneur. En effectuant régulièrement des tests de pénétration, une organisation peut identifier les vulnérabilités qu'un attaquant humain trouverait et exploiterait, ce qui lui permet de combler ce manque de sécurité.
Les exercices de boîte blanche, de boîte noire et de boîte grise ne constituent pas une forme différente d'évaluation. Ils décrivent plutôt le niveau de connaissance et d'accès accordé aux attaquants. Chaque approche a ses avantages et ses inconvénients :
Ces trois approches des tests de sécurité offensifs peuvent être appliquées à n'importe laquelle des formes de tests mentionnées ci-dessus. Avec plus de connaissances et d'accès, un testeur d'intrusion ou un membre de l'équipe rouge a plus d'options qu'il n'en aurait dans le cadre d'une évaluation de la boîte noire. De même, des connaissances et un accès supplémentaires peuvent influencer la mise en place et la configuration d'outils automatisés pour l'analyse de la vulnérabilité.
Bon nombre des tests mentionnés ci-dessus visent à cibler les systèmes informatiques d'une organisation et à contourner les défenses numériques. Cependant, de nombreux acteurs de la cybermenace s'attaquent à l'élément humain dans leurs attaques plutôt que d'essayer d'identifier et d'exploiter les vulnérabilités des logiciels.
Les tests d'ingénierie sociale visent à évaluer dans quelle mesure les employés, les sous-traitants, etc. d'une organisation protègent ses données et ses systèmes. Les ingénieurs sociaux utilisent la ruse, la manipulation et d'autres techniques similaires pour inciter ou contraindre les cibles à effectuer une action qui profite à l'attaquant, comme la remise de données sensibles ou l'autorisation d'accès à des sites ou espaces sécurisés de l'entreprise ( application ).
Les tests offensifs de cybersécurité sont un élément essentiel d'une stratégie efficace de cybersécurité au sein de l'entreprise. Sans les moyens d'effectuer des attaques simulées, une organisation n'a pas la possibilité de connaître l'efficacité de ses défenses et les vulnérabilités les plus susceptibles d'être exploitées par un attaquant. Ces informations sont essentielles à l'élaboration de stratégies de sécurité et à la planification d'investissements stratégiques.
Check Point offre une gamme de services de sécurité offensive, y compris des évaluations automatisées et humaines. Avec le Security CheckUp gratuit de Check Point, vous pouvez identifier les principales menaces et vulnérabilités de votre environnement qui doivent être traitées.
Les services professionnels de Check Point offrent également une gamme de services conçus pour aider à améliorer la maturité du programme de sécurité de votre organisation. Il s'agit à la fois d'identifier les vulnérabilités et de fournir un soutien à court ou à long terme pour améliorer les cyberdéfenses et prévenir les cyberattaques contre votre organisation.