Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

A combien évaluez-vous votre niveau de sécurité ?


Auteur : Massimo Citro

Date de publication : 8 juillet 2019 - Dernière mise à jour : 8 juillet 2019


Aujourd’hui, lorsque l’on parle de sécurité informatique, il est évident que les solutions et services adaptés à chaque situation existent, mais encore faut-il les utiliser de la bonne manière.
Investir dans une solution de sécurité et dans la formation des utilisateurs, la majorité des clients a fait le pas depuis bien des années déjà. Mais est-ce suffisant ?

  • Qu’est-ce qui différencie deux entreprises ayant réalisé des investissements technologiques similaires, lorsque l’une des deux subit une attaque ?
  • Qu’en est-il vraiment du risque lorsque l’on sait que le risque est omniprésent, que les surfaces et vecteurs d’attaque se multiplient ?
  • Si je vous pose la question suivante : quel est votre niveau de sécurité ? Que me répondrez-vous : « proportionnel au niveau d’investissement et de ressources » ?

Partons d’une analogie avec la sécurité domestique, avec une maison contenant des biens de valeur. Pour réduire le risque de se faire cambrioler, admettons que la résidence soit équipée des éléments suivants :

  • Un système d’enregistrement vidéo (SIEM),
  • Un système d’alarme connecté à un centre de surveillance (Security Operation Center),
  • Des fenêtres en verre sécurisé (Firewall),
  • Une porte renforcée (solution DDos),
  • Une serrure à clef radiale dite de sécurité (VPN),
  • Un coffre-fort (WAF),
  • Et même un gros chien (Email Security Gateway).

Option 1 : Faire confiance aux systèmes en place.
La maison n’a pas été cambriolée jusqu’ à ce jour, donc la solution fonctionne à 100%. Cependant, je ne suis pas certain de savoir si quelqu’un a déjà essayé. Est-ce que les protections fonctionneront vraiment le moment venu ?

Option 2 : Une « sécurité » en mode dégradé.
Les voisins ont alerté le quartier que plusieurs cambriolages avaient eu lieu récemment, il faut rester vigilant. Que faire lors des vacances et lorsque le chien n’est pas à la maison ?

Option 3 : La remédiation.
La maison a malheureusement été cambriolée. Par chance, la vidéosurveillance a permis à la police d’identifier le malfaiteur. Une fenêtre n’avait pas été fermée correctement et le chien était endormi. Il est nécessaire d’en tirer des leçons et d’apporter des modifications au système de défense v2.

Alors comment savoir si la solution va fonctionner ? Comment faire évoluer sa protection à chaque nouvelle contre-mesure adoptée par les malfaiteurs ? Une seule réponse : il faut tester l’efficacité de la solution. Pour votre sécurité informatique, c’est le même principe : votre défense vous protège à l’instant {T}, mais était-ce bien le cas hier, qu’en sera-t-il demain ?
Plusieurs solutions existent pour vous permettre de tester la sécurisation de votre IT à différentes fréquences et avec différentes possibilités d’action par la suite pour corriger les failles.

A combien évaluez-vous votre niveau de sécurité ?

Security Audit Service

Security Audit Service : est une vue à un instant {T} de tout ou partie du système d’information (SI), permettant de comparer l'état du SI à un référentiel. L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de tout ou partie du système. L'auditeur dresse également une série de recommandations pour supprimer les vulnérabilités découvertes. L'audit est généralement réalisé conjointement à une analyse de risques, et par rapport au référentiel.

Pen Test Service

Pen Test Service : est une vue à un instant {T}. Le pentester adopte la position de l'attaquant potentiel (hacker). Le principal but de cette manœuvre est de trouver des vulnérabilités exploitables en vue de proposer un plan d'actions permettant d'améliorer la sécurité du système d'information plus élaboré que le précédent. L'analyse peut se réaliser selon trois cas, le testeur ne possède aucune information ; le testeur possède un nombre limité d'informations; le testeur possède les informations dont il a besoin.

Red Team / Blue Team Exercice

Red Team / Blue Team Exercice: est une vue à un instant {T}. C’est un exercice de simulation et d’entraînement dans lequel les membres d’une organisation sont divisés en équipes pour participer à des exercices de combat. Dans le domaine de la sécurité de l'information, l'exercice vise à identifier les vulnérabilités et à détecter les failles de sécurité dans l'infrastructure d'une entreprise. Dans ce contexte, la capacité de résilience face à l’attaque se retrouve aussi au cœur du scénario.

Vulnerability Scanner Plateform

Vulnerability Scanner Plateform : est un programme conçu pour identifier des vulnérabilités connues dans une application, un système d'exploitation, ou un réseau dans le but de les corriger avant que les pirates informatiques ne les exploitent. Cette solution est aussi utilisée par les hackers pour trouver les failles et les exploiter à leur avantage.

Breach and Attack Simulation (BAS) Plateform

Breach and Attack Simulation (BAS) Plateform : est un programme capable de détecter automatiquement les vulnérabilités dans les lignes de défense d'une entreprise, ce qui s'apparente à des tests de pénétration automatisés en continu. Les meilleurs outils recommandent et hiérarchisent également les correctifs à mettre en place au sein de la ligne de défense afin d’optimiser le temps d’opération du personnel de sécurité et de minimiser les cyber-risques.

  • Dans une récente note de recherche, Gartner a déclaré à propos de la différence entre Pen Test et BAS : "Les tests de pénétration permettent de répondre à la question : « peuvent-ils entrer? » ; les outils BAS répondent à la question : « est-ce que ma sécurité fonctionne? »"

Pour réaliser cette tâche de manière rapide, efficace, et en continu, nous conseillons donc la mise en œuvre d’une solution de Breach and Attack Simulation qui permet de répondre aux questions suivantes :

  • Lesquelles de mes applications métier sont les plus exposées ?
  • Quelles nouvelles cyber-menaces peuvent avoir un impact sur mon entreprise ?

Exemple concret

Prenons pour cas d’usage votre solution de filtrage d’emails qui embarque probablement les dernières avancées technologiques nécessaires pour pallier aux attaques de phishing et de ransomware (SandBoxing, Reputation, Antivirus, DMARC, ect). Récupérez-vous sur le darknet les dernières campagnes de phishing et de ransomware pour vous les envoyer dans le but de tester vos défenses ? Dans la majorité des cas, ce sont les comportements des utilisateurs qui sont testés.

A combien évaluez-vous votre niveau de sécurité ?

Une autre proposition de valeur consiste à envoyer un email de l’extérieur avec une menace à destination d’une mailbox interne de test sécurisée.

  • Si le lien de phishing est détecté dans la boîte aux lettres de l’utilisateur de test, alors vous êtes vulnérable à l’attaque. Mais, si votre proxy bloque l’accès au site malicieux, alors vous êtes protégé.

Dans le contexte d’un poste de travail cible de test :

  • Si la menace active récupérée par le poste est bloquée par la solution de protection sur le poste, alors vous être protégé.

Dans le contexte d’une application métier :

  • Si l’exploitation de la vulnérabilité est réussie, il faudra appliquer une remédiation sur les lignes de défense en amont, le temps d’appliquer le correctif nécessaire sur le système et/ou l’application elle-même (Firewall, Web Application Firewall …)

Une solution de Breach Attack Simulation permet d’automatiser en continu ces processus de tests, de manière transparente, et sans impacts sur vos systèmes ou productions des utilisateurs. Vous saurez alors quel maillon de la chaîne de protection est exploitable et comment y remédier avant qu’une attaque puisse survenir.
Vous aurez alors la capacité de recevoir un score de sécurité, qui est le rapport entre les menaces évitées et le total des menaces applicables dans votre environnement. Vous pourrez donc enfin estimer votre niveau de sécurité à l’aide d’indicateurs concrets.
Cerise sur le gâteau, la solution propose des conseils de remédiation par type d’équipement. Le score pointera à la hausse. Inversement, la décroissance du score pourrait impliquer une mauvaise configuration des solutions de défense en place.

A combien évaluez-vous votre niveau de sécurité ?

En résumé

En résumé, connaître les brèches dans les solutions de défense, permet de prendre la mesure des actions à réaliser dans le but de mettre en place la remédiation nécessaire avant même l’attaque. On ne peut protéger que ce que l’on connaît. Cette solution permet ainsi d’avoir un cycle d’amélioration continue et de répondre de façon pragmatique à des problématiques de compliance : Change, Incident et Vulnerability management.
Dans l’objectif d’éprouver et d’améliorer la sécurité informatique de ses clients, e-Xpert Solutions a choisi de devenir partenaire de la solution PICUS Security :Continuous Security Validation Software For Automated Cyber-Threat Simulation & Mitigation. Nous restons à votre disposition pour tout complément d’informations.