Le pentesting pour contrer la menace grandissante de l’IA

Évaluations des lacunes, audits, examens d’architecture, gestion des vulnérabilités… Voilà autant de procédures standard qui ont un intérêt. Cela dit, le pen^testing, abréviation de « penetration testing », reste un moyen irremplaçable, parmi les plus efficaces, de mener une évaluation des risques.

Si elle est bien exécutée, cette méthode est un excellent outil pour adapter la cybersécurité d’une organisation aux menaces sans cesse changeantes qui pèsent sur elle et, bien sûr, aux budgets disponibles.

Le pentesting est techniquement du « piratage éthique » : les spécialistes cherchent les faiblesses du système de sécurité d’une organisation, comme s’il s’agissait de véritables cyberattaquants, afin d’essayer de le percer. Cet exercice révèle dans quelle mesure le cyber-risque menace l’entreprise en tant que telle, et ce diagnostic n’est pas du luxe, compte tenu de la recrudescence des attaques menées par l’IA sur les réseaux d’entreprise à laquelle nous assistons actuellement.

On a clairement constaté que ChatGPT, par exemple, change véritablement la donne en matière de cybercriminalité, car cet outil a démocratisé des TTP (tactiques, techniques et procédures) sophistiquées et offert une puissance de frappe mortelle aux pirates informatiques amateurs, et ce à un prix dérisoire. Le volume et la rapidité des attaques vont dès lors inévitablement augmenter, il est donc d’autant plus important de mener des programmes de pentesting efficaces pour atténuer l’impact des cyberattaques sur l’activité de l’entreprise. La grande majorité des organisations ne disposent en effet toujours pas de capacités de détection et de réponse réseau (NDR, pour « Network Detection and Response ») adéquates pour stopper une attaque en temps réel, et/ou ne sont pas en mesure de prévenir et de détecter les attaques spécifiques au cloud et aux applications. 

C’est là qu’intervient le pentesting, qui apporte une connaissance contextuelle inégalée permettant d’affiner les processus de défense, de rétablissement et de récupération dans le cadre d’une architecture globale de gestion des risques. Voici quelques principes de base pour les organisations qui déploient le pentesting à grande échelle afin d’en maximiser l’impact. 

Une approche centrée sur les objectifs

Le pentesting ne consiste pas à identifier les points faibles d’une organisation, mais les risques commerciaux qu’elle encourt, par exemple à cause d’un vol de données critiques ou du déraillement de certains processus. Ce qui compte, c’est de savoir en quoi ces points faibles constituent une porte d’entrée pour les cyber-attaquants. 

Pour que l’exercice soit aussi utile que possible, il convient donc de fixer des objectifs prédéfinis et de les structurer autour des parties de l’entreprise les plus sensibles et les plus vulnérables aux perturbations. Ainsi, des pirates informatiques dits « éthiques » peuvent se concentrer sur ces aspects, dans le pire des scénarios, pour démontrer comment divers points faibles à bas risque peuvent créer, une fois mis bout à bout, un scénario global à haut risque qui met l’entreprise en péril.

Quelques exemples : 

• une attaque de ransomware (malware de rançonnage) qui interrompt une retransmission sportive en direct, entraînant une perte importante de recettes publicitaires ;
• un État ennemi qui sabote le fonctionnement d’une station d’épuration, compromettant ainsi l’approvisionnement en eau potable et donc la santé publique ;
• une attaque contre une agence gouvernementale, après quoi des renseignements classifiés sont vendus à des puissances étrangères. 

Le pentesting doit donc toujours chercher à savoir quel est l’objectif de l’attaquant et en quoi il peut mettre en péril l’entreprise. C’est ainsi qu’il peut découvrir les points faibles et créer un contexte permettant d’atténuer les risques. 

Reconstituer le puzzle

Les frontières entre les cyber-risques et les risques commerciaux étant devenues de plus en plus floues au fil des ans, le pentesting est devenu un élément essentiel lorsqu’il s’agit d’établir de manière proactive les priorités d’atténuation des risques. Le pentesting permet aux organisations d’avoir un aperçu détaillé de leur situation de sécurité, avec des scores de probabilité et des prévisions financières pour les différents domaines de leur environnement de sécurité. Forts de ces informations de haut niveau, les RSSI disposent des connaissances nécessaires pour prendre des décisions éclairées en évaluant le risque commercial d’une attaque potentielle par rapport à la probabilité qu’elle se produise réellement. Ensuite, en fonction de ces données, ils peuvent allouer les ressources de sécurité nécessaires pour augmenter le retour sur investissement et renforcer la protection.

Ces tests de pénétration éclairent davantage le complexe paysage des cyber-risques, car ceux-ci sont traduits en termes qui ont plus d’impact sur la haute direction et le Conseil d’administration. Des exemples concrets tirés de tests de pénétration récents permettent aux équipes de cyber-résilience de présenter les risques de manière à ce qu’ils soient bien compris et de manière à persuader la direction, afin que la sécurité reste une priorité absolue au sein de l’organisation.

Cela dit, il est important de se rappeler que, quelle que soit l’efficacité des programmes de pentesting, il restera toujours des zones d’incertitude et des compromis à faire pour hiérarchiser les risques. Ces programmes aident cependant les RSSI à prendre la décision la plus éclairée possible, alors que sans eux, ils ne sauraient pas quels sont réellement les risques pour l’entreprise.

Le fer aiguise le fer 

Tout comme la cybersécurité, le pentesting est un sport d’équipe. Il peut servir de prélude à des exercices de type « équipe rouge », ou, pour les organisations plus matures qui effectuent déjà des pentests réguliers, des exercices « équipe violette » : dans ceux-ci, une équipe d’attaque « rouge » collabore avec une équipe de défense « bleue » composée de threat hunters et d’analystes SOC (Centre d’interventions de sécurité, en anglais « Security Operations Center »), bien qu’il s’agisse en fait davantage du concept. Plutôt qu’une stratégie très concrète, le concept d’« équipe violette » décrit la collaboration entre les équipes rouge et bleue, afin d’élargir leurs connaissances, affiner leur stratégie et améliorer leur efficacité opérationnelle. 

Le fait de partager les informations permet aux pirates éthiques de mieux comprendre identifier une TTP donnée. L’équipe rouge peut alors adapter son approche pour la prochaine tentative afin de la rendre plus mortelle, ce qui à son tour renforce l’équipe bleue. Ainsi, comme le dit le proverbe, le fer aiguise le fer, ou pour reprendre un parallèle footballistique, c’est comme Messi et Ronaldo qui se poussent mutuellement à mieux jouer : en fin de compte, tout le monde profite de l’équipe violette, ou purple teaming.

Les deux côtés du monde de la cybersécurité sont en train d’adopter l’IA, et ce phénomène n’est pas près de ralentir. Les attaquants employant l’IA vont devenir monnaie courante, et ce que nous pensions savoir sur les attaques IA il y a quinze jours n’est peut-être plus d’actualité aujourd’hui. Face à cet état de fait, il est évident que les tests de pénétration évolutifs deviennent un élément de plus en plus crucial de l’arsenal des RSSI modernes. Outre les « équipes violettes », la hiérarchisation des risques et l’établissement d’objectifs bien définis, un pentesting efficace et l’« équipe rouge » fournissent les meilleures clés pour vous armer contre les acteurs ennemis.