Les responsables de la sécurité d’aujourd’hui doivent gérer une surface d’attaque en constante évolution et un environnement de menaces dynamique en raison des appareils interconnectés, des services cloud, des technologies IoT et des environnements de travail hybrides. Les adversaires introduisent constamment de nouvelles techniques d’attaque, et toutes les entreprises ne disposent pas d’équipes rouges internes ou de ressources de sécurité illimitées pour rester au courant des dernières menaces. De plus, les attaquants d’aujourd’hui agissent sans discernement et chaque entreprise, grande ou petite, doit être préparée. Il ne suffit plus aux équipes de sécurité de détecter et réagir; nous devons maintenant aussi prédire et prévenir.
Pour gérer l’environnement de sécurité actuel, les défenseurs doivent être agiles et innovants. Bref, nous devons commencer à penser comme un hacker.
Adopter l’état d’esprit d’un acteur menaçant opportuniste vous permet non seulement de mieux comprendre les voies potentiellement exploitables, mais également de hiérarchiser plus efficacement vos efforts de remédiation. Cela vous aide également à dépasser les préjugés potentiellement nuisibles, tels que l’idée fausse selon laquelle votre organisation n’est pas intéressante ou assez grande pour être ciblée.
Explorons ces concepts un peu plus en profondeur.
La mentalité des hackers par rapport aux défenses traditionnelles
Penser comme un hacker vous aide à mieux comprendre les voies potentiellement exploitables.
De nombreuses organisations adoptent une approche conventionnelle de la gestion des vulnérabilités, en documentant leurs actifs et en identifiant les vulnérabilités associées, souvent selon un calendrier rigide. L’un des problèmes de la stratégie actuelle est qu’elle oblige les défenseurs à penser en listes, tandis que les pirates informatiques pensent en graphiques. Les acteurs malveillants commencent par identifier leurs cibles et ce qui compte pour eux est de trouver ne serait-ce qu’un seul chemin pour accéder aux joyaux de la couronne. Les défenseurs devraient plutôt se demander : quels actifs se connectent à d’autres actifs et font confiance à eux ? Lesquels sont orientés vers l’extérieur ? Un pirate informatique pourrait-il s’implanter dans un système non critique et l’utiliser pour accéder à un autre système plus important ? Ce sont des questions cruciales à se poser pour pouvoir identifier le risque réel.
Penser comme un hacker vous aide à prioriser plus efficacement les activités de remédiation.
Décider quelles questions nécessitent une action immédiate et lesquelles peuvent attendre est un exercice d’équilibre complexe. Peu d’entreprises disposent de ressources illimitées pour traiter simultanément l’ensemble de leur surface d’attaque, mais les pirates informatiques recherchent le moyen le plus simple et le plus rentable. Savoir comment décider quelles activités de remédiation peuvent éliminer une voie potentielle vers vos joyaux de la couronne peut vous donner un net avantage sur les acteurs malveillants.
Penser comme un hacker vous aide à évaluer de manière plus critique les préjugés existants.
Les petites organisations ont tendance à supposer – à tort – qu’elles ne constituent pas une cible attractive pour un pirate informatique opportuniste. Cependant, la réalité montre le contraire. Rapport d’enquête sur les violations de données 2023 de Verizon a identifié 699 incidents de sécurité et 381 divulgations de données confirmées parmi les petites entreprises (celles de moins de 1 000 employés), mais seulement 496 incidents et 227 divulgations confirmées parmi les grandes entreprises (celles de plus de 1 000 employés). Et les attaques de ransomwares peuvent toujours s’avérer très lucratives pour ces petites organisations. Penser comme un hacker montre clairement que n’importe lequel l’organisation est une cible viable.
Comment penser comme un hacker
Comment les professionnels de la sécurité peuvent-ils mettre en œuvre avec succès ce changement de mentalité ? Dans un récent webinaire PenteraErik Nost, analyste principal chez Forrester et Nelson Santos, expert en sécurité chez Pentera, ont décrit quatre étapes essentielles.
1. Comprendre les tactiques des attaquants
Adopter l’état d’esprit d’un pirate informatique aide les responsables de la sécurité à anticiper les points de violation potentiels et à renforcer leur défense. Cela commence par une compréhension réaliste des techniques utilisées par les acteurs malveillants pour passer de A à Z.
Un exemple : celui d’aujourd’hui les attaquants utilisent autant d’automatisation que possible pour cibler le nombre massif de systèmes sur les réseaux modernes. Cela signifie que les défenseurs doivent se préparer aux attaques par force brute, aux chargeurs, aux enregistreurs de frappe, aux kits d’exploitation et à d’autres tactiques rapidement déployables.
Les équipes de sécurité doivent également évaluer leurs réponses à ces tactiques dans des scénarios réels. Les tests en laboratoire sont un bon début, mais la tranquillité d’esprit ne vient que lors de l’évaluation directe des systèmes de production. De même, les simulations sont informatives, mais les équipes doivent aller plus loin et voir comment leurs défenses résistent aux tests d’intrusion et aux attaques robustes émulées.
2. Révélez les chemins d’attaque complets, étape par étape
Aucune vulnérabilité n’existe isolément. Les pirates combinent presque toujours plusieurs vulnérabilités pour former une voie d’attaque complète. Par conséquent, les responsables de la sécurité doivent être capables d’avoir une vision globale et de tester l’ensemble de leur environnement. En identifiant les chemins critiques que les attaquants pourraient emprunter, depuis la reconnaissance jusqu’à l’exploitation et l’impact, les défenseurs peuvent établir des priorités et y remédier efficacement.
3. Prioriser les mesures correctives en fonction de l’impact
Les pirates recherchent généralement la voie de moindre résistance. Cela signifie que vous devez d’abord traiter les chemins exploitables ayant le plus d’impact. À partir de là, vous pouvez vous frayer un chemin à travers des scénarios progressivement moins probables en fonction des ressources le permettant.
Les dirigeants doivent également tenir compte de l’impact commercial potentiel des vulnérabilités auxquelles ils doivent remédier. Par exemple, une seule mauvaise configuration du réseau ou un seul utilisateur disposant d’autorisations excessives peuvent conduire à de nombreuses voies d’attaque possibles. Donner la priorité aux actifs de grande valeur et aux failles de sécurité critiques vous aide à éviter le piège d’une trop faible répartition de vos ressources sur l’ensemble de votre surface d’attaque.
4. Validez l’efficacité de vos investissements en sécurité
Il est essentiel de tester l’efficacité réelle des produits et procédures de sécurité. Par exemple : votre EDR détecte-t-il correctement les activités suspectes ? Le SIEM envoie-t-il des alertes comme prévu ? À quelle vitesse votre SOC répond-il ? Et plus important encore, dans quelle mesure tous les outils de votre pile de sécurité interagissent-ils efficacement ? Ces tests sont essentiels pour mesurer vos efforts.
Les outils de simulation d’attaques traditionnels peuvent tester des scénarios connus et tester vos défenses existantes contre les menaces connues. Mais qu’en est-il des tests avec ce que vous ne connaissez pas ? L’utilisation de la perspective contradictoire vous permet de tester de manière autonome tous les scénarios et menaces, ce qui peut révéler des erreurs de configuration cachées, du shadow IT ou des hypothèses incorrectes sur le fonctionnement des contrôles. Ces failles de sécurité inconnues sont les plus difficiles à repérer pour les défenseurs et sont donc activement recherchées par les attaquants.
Les résultats des tests de validation doivent remonter jusqu’au PDG et au conseil d’administration de manière à transmettre l’impact commercial. Les rapports sur le pourcentage de vulnérabilités corrigées (ou d’autres mesures similaires) ne reflètent pas réellement l’efficacité de votre programme de sécurité. Au lieu de cela, vous devez trouver des moyens plus significatifs de communiquer l’impact de vos efforts.
Gardez une longueur d’avance sur les menaces de sécurité grâce à la validation de sécurité automatisée
Nous comprenons à quel point il est difficile d’évaluer et d’améliorer continuellement votre posture de sécurité. Avec Pentera, vous n’êtes pas obligé de le faire seul.
Notre approche de la validation automatisée de la sécurité révèle votre préparation en matière de sécurité contre les dernières menaces en testant en toute sécurité l’ensemble de votre surface d’attaque contre les exploits du monde réel. Les défenseurs qui adoptent l’état d’esprit des hackers et défient continuellement leurs défenses de sécurité avec des plateformes comme Pentera peuvent avoir confiance en leur posture de sécurité à tout moment.
Pour plus d’informations, visitez notre site Web à pentera.io.
Remarque : Cet article a été rédigé par Nelson Santos, ingénieur commercial principal chez Pentera.