Comment Systra entraîne son SOC en automatisant les tests d'intrusion

Pentera prend en défaut l’EDR en place

Si l’outil permet de faire du pentest automatisé, le CISO souligne que l’objectif n’est pas de remplacer le test d'intrusion « humain » : « lorsque vous avez des systèmes très critiques, vous devez toujours faire appel à l'humain, ça vous donne une couverture globale du système ; cela vous permet de savoir que votre SOC est opérant, que votre EDR et vos firewalls fonctionnent ».

Jean-Baptiste Auchêne, responsable du SOC de Systra, en charge du pentest, explique le rôle joué par la solution dans le travail de ses équipes : « Pentera nous a permis de renforcer notre EDR, d'optimiser notre SOC, et, en grande partie, notre Active Directory. Tester des ransomwares nous permet de vérifier que l’EDR va correctement les bloquer ou pas. Sur ce plan, nous avons eu la surprise de voir que sur l’ensemble des rançongiciels que nous avons initialement testés, seule une partie d’entre eux a été bloquée ».

La solution est mise en œuvre de manière régulière et planifiée afin de vérifier la pertinence de la configuration de l’EDR, de même que des autres systèmes de protection. Cela permet notamment de repérer immédiatement la désactivation d’une règle ou la modification intempestive d’une configuration.

« [une solution de pentest] automatisée apporte une couverture globale du système, permet de vérifier que vos firewalls, votre EDR et votre SOC sont opérants, mais si vous avez des systèmes très critiques, vous devrez toujours faire appel à l'humain. »

L’automatisation apportée par la solution est aussi exploitée par l’équipe interne de pentesters, dans une approche Purple Team : « ils se basent sur les résultats délivrés par l’outil pour aller plus loin, pour pinailler. C'est là où le génie humain commence, mais pour faire des contrôles quotidiens, autant donner ça à un robot ! », ajoute Jean-Baptiste Auchêne.

Entraîner le SOC à repérer les attaques

L’outil est aussi mis en œuvre dans le cadre de l’entraînement de l’équipe SOC où le turnover est élevé et la formation des nouveaux arrivants toujours longue : « du fait de ce turnover, certaines analyses sont bonnes, d'autres moins. Lorsqu’il s’agit d’analystes qui débutent et c'est normal. Ils ne comprennent pas ce qu'ils voient parce qu'ils n'ont pas l'habitude. La mise en œuvre de la solution Pentera nous permet d'entraîner l’équipe SOC tous les mois ».

Différents scénarios sont joués pour l’entraîner le SOC : « il y a vraiment un besoin de challenger en continu un SOC. Il ne s’agit pas simplement de traiter des alertes et présenter des tableaux de bord ».

Outre la partie ransomware, Pentera permet de jouer des lignes de commandes lors d’un test d'intrusion pour affiner le modèle de détection et d'aller de plus en plus près des modes opératoires des attaquants.

La démarche implique de disposer de beaucoup de télémétrie au niveau de l’EDR, mais pas seulement, afin de pouvoir repérer ces lignes de commandes : « chaque attaque est différente, et celles-ci évoluent en permanence. Le but, c'est d'avoir un ensemble de règles qui vous permettent de vous dire ce que l’attaquant est en train de faire, repérer quand il change de compte et comprendre la chronologie de l’attaque ».

Pour le responsable, il est toujours complexe pour les analystes SOC de reconstituer la cinétique complète d’une attaque. Ceux-ci doivent disposer d’une solide expérience pour y parvenir et l’entraînement doit leur permettre d’acquérir cette expérience beaucoup plus rapidement.

Un volet Active Directory pour débusquer les mots de passe trop simples

Systra exploite aussi la solution Pentera afin de renforcer la protection de son Active Directory. Le mode AD Assessment tente de cracker toute la base de mots de passe afin de repérer ceux qui sont trop simples à déchiffrer ou les utilisateurs qui utilisent le même mot de passe partout, y compris pour leurs comptes personnels.

« Tous les jours, tous les mois, nous analysons la base des mots de passe et nous essayons de les craquer », explique Jean-François Tesseraud : « je vous assure que c'est un sport très sympa car vous apercevez que même s’il y a des règles assez compliquées, beaucoup de gens réutilisent leurs mots de passe et choisissent des mots de passe facilement crackables. Cela nous a conduit à lancer des assessments dans les différents pays et demander à certains de mettre des mots de passe plus complexes et vérifier qu’ils l’ont bien fait un mois plus tard ». Systra met notamment en œuvre les capacités de l’IA en complément des différents dictionnaires de mots de passe, notamment pour ses sites externes.

Un jeune ingénieur met en œuvre la solution et mène des pentests réguliers sur tout le système, mais doit aussi aller voir les responsables des IT pour leur signaler les failles découvertes et leur indiquer sur quoi travailler pour les résoudre.

Surtout, souligner Jean-François Tesseraud, disposer d’une telle solution d'automatisation « permet de lancer un test quand nous le souhaitons. Lorsqu’une nouvelle application est déployée ou que de nouvelles règles sont mises en place, il nous suffit d’appuyer sur un bouton pour mener les premiers tests ».

La solution permet en outre d’étendre la surface de test aux attaques sur les ressources externes en paramétrant des adresses publiques : « la solution nous permet d’avoir une posture de surveillance globale et récurrente, mais je le répète, elle ne remplace pas l'humain. Si vous avez des sites critiques, vous pouvez utiliser Pentera régulièrement, mais je vous conseille de faire des pentests avec des humains, des gens qui réfléchissent, qui ont l'esprit complètement tordu  pour essayer d'arriver à pénétrer le système en utilisant des méthodes inattendues ».