Approche Red Team

Accueil » Sécurité technique » Approche Red Team

RED TEAM ?

Caractéristiques de l’approche Red Team

Le but de la campagne « Red Team » est principalement de mettre à l’épreuve la « Blue Team » (votre équipe de sécurité informatique) ainsi que les contre-mesures techniques mises en œuvre.

L’approche Red Team présente les caractéristiques suivantes :

  • Exploitation de certaines applications critiques permettant de corrompre le système (l’objectif n’est pas de lister un grand nombre de vulnérabilités mais d’exploiter complètement plusieurs vulnérabilités critiques).
  • Mise en situation lors de tests que l’activité est bien menacée par l’attaquant.
  • Un périmètre d’action très large et des méthodologies variées afin d’atteindre les objectifs.
  • L’objectif n’est pas de valider le respect d’une politique de sécurité mais de prouver l’intrusion malgré les systèmes de sécurité.

Approche Red Team, test d’intrusion ou audit, quelles différences ?

L’approche Red Team est à différencier avec les autres approches plus conventionnelles tel que :

  • Scans de vulnérabilités : Utiles pour suivre régulièrement les vulnérabilités apparaissant sur les composants du périmètre.
  • Tests d’intrusion et audits de sécurité : Pertinent pour identifier de manière approfondie les failles de sécurité d’un périmètre réduit.
  • Audits organisationnels : Permet de s’assurer que les procédures de sécurité sont respectées.

Pour résumer, l’équipe Red Team doit être en mesure de montrer qu’une suite d’actions peut amener un utilisateur externe à causer des dommages importants à l’entreprise ciblée dans une situation réelle.

Nos certifications

Le label France Cybersecurity a été décerné en 2016 et renouvellé en 2019 à MANIKA pour la qualité de ses prestations de conseil, d’audit et de formation en Cybersécurité et en Résilience.

DÉROULEMENT DE LA MISSION

Organisation de la campagne Red Team

Bien qu’il soit en théorie « tout permis », on retrouve en général trois principaux axes d’attaques :

  • Tests d’intrusions sur les adresses IP exposées sur Internet ;
  • Intrusion physique ;
  • Ingénierie sociale.

Afin de mettre en place l’approche Red Team, la méthodologie suivante est employée :

Phase 1 : Préparation du test d’intrusion

  • Validation des sites / infrastructures / services concernés par le test d’intrusion (périmètre) ;
  • Validation des dates d’interventions ;
  • Validation des ressources à préparer (matériels, logicielles, accès, etc.).

Phase 2 : Prise d’information passive sur l’entreprise

  • Organigramme d’entreprise ;
  • Informations de fonctionnement / administratives ;
  • Étude de la localisation et des plans ;
  • Récupération de la charte graphique ;
  • Récupération d’informations sensibles.

Phase 3 : Prise d’information passive sur les employés

  • Consultation OSINT (renseignement obtenu par une source d’information publique) ;
  • Informations administratives.

Phase 4 : Prise d’information active sur l’entreprise et les employés

  • Appels téléphoniques ;
  • Envoi d’emails permettant d’obtenir plus d’informations ;
  • Mapping du système informatique.

Phase 5 : Phase active d’intrusion

  • Intrusions physiques ;
  • Intrusions par clé USB vérolée ;
  • Ingénierie sociale ;
  • Intrusions logicielles.

Phase 6 : Infection

  • Maintien de l’accès ;
  • Rebond dans le réseau ;
  • Élévation de privilège ;
  • Exfiltration de données.

Phase 7 : Nettoyage du test d’intrusion

  • Remise à l’état initial du système d’information ;
  • Révocation des accès et des privilèges.

Phase 8 : Conclusion du test d’intrusion

  • Rédaction du rapport de test d’intrusion ;
  • Présentation sur site du rapport de test d’intrusion (restitution) ;
  • Présentation des plans d’action à court / moyen / long termes.

SUIVI DE LA MISSION ET LIVRABLE

Organisation des réunions de suivi

Afin que le test d’intrusion Red Team se déroule dans les meilleures conditions, nous désignons un chef de projet qui coordonnera les actions tout au long de la mission. Le chef de projet effectuera, avec vous, des rapports mensuels :

  • Quelques personnes doivent être désignées côté client pour participer aux réunions mensuelles qui devront rester strictement confidentielles durant toute la durée du test d’intrusion Red Team.
  • Ces réunions pourront se dérouler soit par téléphone, par vidéoconférence ou en face à face selon les besoins. Le chef de projet présentera l’avancée des travaux sans pour autant rentrer dans un niveau de détails qui pourrait nuire au bon déroulement du test d’intrusion Red Team.
  • L’objectif est de tenir informé le client de l’état d’avancement du test d’intrusion Red Team et de mesurer les écarts qui pourraient empêcher le bon déroulement des opérations futures de notre côté.

Contenu des rapports mensuels

Les rapports mensuels prennent la forme suivante :

  • Le chef de projet proposera une liste globale et non détaillée des actions qui auront été effectuées durant le mois en cours accompagnée d’indicateurs de réussite.
  • Le chef de projet listera les éléments qui pourront empêcher le bon déroulement des futures actions en cas d’écarts ou d’impossibilités de réalisations. Bien entendu, il proposera donc des alternatives qui ne nécessiteront pas de remettre en question le test d’intrusion Red Team mais qui permettront de le poursuivre.
  • Le chef de projet signalera immédiatement tout blocage qui peut empêcher le test d’intrusion Red Team, ce qui signifie qu’il demandera au référent côté client de débloquer la situation par des actions techniques ou par la fourniture d’informations diverses.
  • Le chef de projet fournira un planning complété des actions effectuées avec un pourcentage de réalisation pour suivre et identifier les éventuels retards ou reports d’actions.
  • Le chef de projet se tiendra à la disposition du client pour répondre à ses questions tout au long du projet.

Rapport final

À la suite de la réalisation du test d’intrusion un rapport rendant compte des vulnérabilités et de l’analyse de nos consultants sera rédigé. Ce livrable est destiné d’une part à la direction (synthèse globale) ainsi qu’aux équipes techniques.

Le rapport complet comprend les éléments suivants :

  • Résumé opérationnel : Ce résumé permet de rappeler les objectifs, les enjeux ainsi que le périmètre du test d’intrusion. Il expose également les méthodes et les techniques utilisées lors du test d’intrusion.
  • Synthèse : La synthèse contient l’ensemble des éléments essentiels comme le tableau de synthèse des vulnérabilités, les plans d’actions à court, moyen et long terme ainsi que le risque global. Cette synthèse est compréhensible par des non experts.
  • Vulnérabilités identifiées : Le rapport présente les différentes vulnérabilités qui ont été identifiées lors du test d’intrusion. Chaque faille est classifiée avec un niveau de criticité prenant en compte la facilité d’exploitation et l’impact en cas d’utilisation. Chaque description de vulnérabilité est liée à des préconisations pour corriger le problème.
  • Points de sécurité : Durant le test d’intrusion, nos consultants peuvent découvrir des points non exploitables qui présentent, tout de même, un fort risque pour la sécurité du système d’information. Ces différents points d’attention sont détaillés dans cette rubrique et agrémentés de préconisations.
  • Conclusion : Une synthèse générale expose de manière synthétique le niveau de risque global ainsi que les conclusions de nos consultants. Une proposition de plan d’action est soumise afin de guider le client dans ses démarches correctives.

DÉCOUVREZ ÉGALEMENT

Audit de sécurité

Vérifier sa sécurité vis-à-vis des référentiels et des bonnes pratiques

Accéder

Test d’intrusion

Vérifier la sécurité de ses actifs essentiels en employant les techniques des pirates

Accéder

Bug Bounty

Tester sa sécurité en continu grâce à une communauté de chercheurs en sécurité

Accéder

Besoin de conseils ou d’informations supplémentaires ?