Des exercices d’attaque riches d’enseignements

Pour Stephen Moore cela ne fait pas de doute : « des exercices réguliers et pertinents entre red et blue team aident les entreprises à développer leurs capacités de sécurité ». Le responsable de la stratégie de sécurité d’Exabeam fait là référence à ces exercices impliquant une équipe de vrais-faux assaillants mettant à l’épreuve les équipes de sécurité du système d’information, au-delà des traditionnels tests d’intrusion.

Stephen Moore tire cette conclusion d’un sondage réalisé lors de la récente édition 2019 de la conférence Black Hat, auprès de 276 de ses participants. Les réponses de ceux-ci sont plutôt parlantes : ainsi, 35 % des répondants reconnaissent que leurs équipes de sécurité n’attrapent jamais, ou rarement, les assaillants ; 62 % revendiquent des victoires « occasionnellement ou souvent » contre ceux-ci ; et ils ne sont que 2 % à assurer piéger les attaquants à tous les coups.

Ces réponses sont d’autant plus éclairantes qu’elles viennent de professionnels qui, pour 72 % du total, conduisent ces exercices régulièrement. Ils sont 23 % à le faire mensuellement, 17 % trimestriellement, ou encore 17 % une fois pas an.

Accessoirement, les démonstrations des faiblesses des défenses à l’occasion d’exercices semblent aider à convaincre de la pertinence d’investissements. Ainsi, 74 % des sondés indiquent que leurs entreprises ont augmenté les investissements dans les infrastructures de sécurité à l’issue d’exercices, et même de manière significative pour 18 % des professionnels concernés.

Pour autant, les réponses des sondés soulignent que tout n’est pas question uniquement d’outils. Ainsi, les sondés estiment que la communication et le travail d’équipe sont les premières choses à développer du côté des défenseurs. Viennent ensuite la connaissance des attaques et des tactiques, la détection des menaces, et les délais de réponse à incident. Et s’il y a là des éléments techniques, les composantes organisationnelles s’avèrent particulièrement bien représentées.