Défense Cyber Security par CSIRT: Red c. Blue

Défense Cyber Security, CSIRT 

M. Red c. M. Blue – Swisscom: test de résistance


La dualité contient à la fois: le bon et le méchant. Et comme la défense suppose une attaque, Swisscom soumet régulièrement ses systèmes IT à des attaques ciblées de son propre personnel, mais dans un cadre sécurisé. Coup d’œil dans les coulisses de la Computer Security Incident Response Team, ou CSIRT.


Texte: Flavian Cajacob, image: Michele Limina, paru dans l’annexe au NZZ du 8 novembre 2018 




En fait, dans la vie de tous les jours, M. Rouge est M. Bleu. Mais aujourd’hui, il a plus envie de sournoiserie que de sincérité. Alors, le bon M. Blue assume le rôle du méchant M. Red. Voici le scénario de la firme. Il va alimenter son employeur Swisscom avec des attaques ciblées. Qu’est-ce que cela a d’extraordinaire? M. Red a carte blanche et a l’absolution de la direction. Plus précisément: sans direction du groupe, il n’y aurait pas de M. Red.


Les pompiers appelés pour la sécurité

Un pirate? Logiquement, une telle personne porte un pull à capuche, boit des boissons énergisantes en grande quantité et appartient à l’espèce des solitaires et des sociopathes. C’est ainsi que nous les présentent les blockbusters d’Hollywood et les séries Netflix. Thomas Röthlisberger, baskets aux pieds et bouteille d’eau à la main, hoche de la tête en direction d’un bureau paysager dans lequel une douzaine d’hommes et de femmes de différents âges sont assis devant leur ordinateur. Pull à capuche et boissons énergisantes? Erreur! «Il est notoire que la fiction et la réalité ne se recouvrent pas toujours», précise l’homme de 37 ans en souriant.

Thomas Röthlisberger a étudié l’informatique et a ensuite testé la sécurité informatique de diverses entreprises pendant des années pour une PME suisse, et a prodigué des conseils pour supprimer les vulnérabilités. Il est aujourd’hui Senior CSIRT Manager chez Swisscom. CSIRT signifie Computer Security Incident Response Team – ou en bon français «équipe de réaction aux incidents de sécurité informatique». De nouveau, cette formule apparemment sibylline n’est pas aussi compliquée en réalité. «Nous sommes les pompiers et nous entrons toujours en piste lorsque l’infrastructure informatique de Swisscom et celle de ses clients fait l’objet d’une attaque ciblée», explique Thomas Röthlisberger. Lorsque les spécialistes de la CSIRT interviennent, c’est qu’il y a vraiment le feu: l’attaque comme la défense paraissent alors extrêmement complexes.

L’opérateur de télécommunications a mis en place la CSIRT en 2014. En interne, les experts du groupe d’intervention rapide agissent sous le nom de «Blue Team». Celui qui en fait partie sait se servir de ses mains et de son cerveau, a en général une formation poussée en informatique et possède une réputation irréprochable. C’est le cas de Claudio Pilotti (26 ans), qui travaille actuellement avec Thomas Röthlisberger. «Formation, expérience et certificat font un tout dans ce travail», souligne l’analyste de la sécurité expérimenté. En outre, il est aussi important d’être du genre qui se pose toujours des questions et qui n’est jamais satisfait quand quelque chose fonctionne, mais qui veut savoir très exactement comment et pourquoi cela fonctionne. Bon ou méchant, pirate contre une entreprise ou à son service – «tout ce qui nous motive ici, c’est d’utiliser judicieusement nos propres compétences; c’est beaucoup une question d’état d’esprit personnel, de loyauté et de principes éthiques», Claudio Pilotti en est convaincu.

Des rideaux qui vont jusqu’au sol protègent le bureau zurichois dans lequel les deux compères se rencontrent cet après-midi, à l’écart des regards indiscrets. Car il s’agit de définir les rôles pour les jours et les semaines à venir. Les collaborateurs et les systèmes informatiques seront une fois de plus soumis à un test de résistance. Pendant que Thomas Röthlisberger avec deux collègues de la «Red Team» se glissent dans la peau du pirate que l’on suppose animé d’intentions criminelles, Claudio Pilotti et ses collègues de la «Blue Team» devront repousser les attaques de M. Red et de ses acolytes. Tout cela dans le cadre du travail quotidien normal; car il va de soi que les modalités, le lieu et le moment des attaques restent le secret de la «Red Team».


Réel mais sans données des clients

Cette procédure existe depuis plus de trois ans. Swisscom a été la première grande entreprise suisse à se soumettre volontairement et explicitement à un test de résistance effectué par des «pirates éthiques» issus de ses propres rangs. Les objectifs majeurs sont de déceler et d’éliminer les vulnérabilités des systèmes et des processus – avant qu’elles ne soient découvertes et exploitées par des cercles criminels. Il va sans dire que la reconnaissance et la défense contre de telles attaques doivent être améliorées en permanence. Les attaques fictives se déroulent dans un cadre sécurisé et cessent avant que les données de clients finaux ne soient en jeu. «En outre, notre Operation Control Center (OCC) est informé avant chaque action afin que la situation ne fasse pas l’objet d’une remontée», précise Thomas Röthlisberger. «Les données des clients ne sont donc à aucun moment impliquées dans l’opération.»

En réalité, les professionnels de la sécurité informatique distinguent cinq groupements de pirates différents. Premièrement, on a ce que l’on appelle les Script Kiddies et les activistes motivés par des considérations politiques, qui se concentrent plutôt sur les attaques faciles, comme le piratage de mots de passe ou la paralysie de sites Internet. Un degré plus haut, on trouve le crime organisé, spécialisé par exemple dans le vol de données et le chantage sur Internet. «Les pirates les plus dangereux sont certainement ceux qui appartiennent à des cercles terroristes et à des acteurs étatiques comme les membres des services secrets», déclare Thomas Röthlisberger.


L’homme: maillon le plus faible

Qu’elles soient d’ordre économique, idéaliste ou politique, les motivations des divers groupements sont différentes, tout comme la cybercriminalité au quotidien. «Lorsque nous soumettons notre propre système à un test de résistance, nous nous inspirons toujours des techniques d’attaque courantes de la réalité», explique Thomas Röthlisberger alias M. Red. En présence Claudio Pilotti, alias M. Blue, sa victime supposée, il ne révélera pas ce que cela signifie pour les attaques qu’il a actuellement planifiées. Dans le passé, on a par exemple lancé des attaques par hameçonnage ou tenté d’introduire des logiciels malveillants. «Cela peut sembler banal mais il est surtout important pour nous de faire prendre conscience aux collaborateurs des dangers liés au réseau et de promouvoir la prévention», ajoute Claudio Pilotti. «Car lorsqu’il s’agit d’attaques ciblées sur des systèmes informatiques, le maillon le plus faible reste l’homme.»


Réellement dans le système depuis des mois

Des semaines palpitantes attendent les deux professionnels de l’informatique et les membres de leur équipe. Thomas Röthlisberger expose quelques défis à son collègue. Les résultats des attaques fictives et les propositions de solution qui en découlent seront transmis à la direction du groupe à la fin de l’année. Claudio Pilotti réagit sportivement – il fait confiance à son expérience et à celle de ses collègues. «Il ne faut pas se faire d’illusions», souligne l’analyste de la sécurité. «Le méchant a généralement une longueur d’avance sur le bon. C’est précisément pour cela que nous faisons ces exercices et que nous mettons dans le rôle de l’agresseur.»

En réalité, cela signifie que lorsque les pirates sont découverts, ils ont déjà fait des dégâts dans le système informatique d’une entreprise depuis des mois. «Si, grâce à des exercices comme celui-ci, nous réussissons à réduire encore ce délai, faisant augmenter le temps et les coûts nécessaires aux cyberattaques, nous auront déjà fait beaucoup», déclare Thomas Röthlisberger, qui promet à son collègue de lui offrir un verre en cas de défense réussie. «Mais pas une boisson énergisante, d’accord? Plutôt une bière», répond Claudio Pilotti du tac au tac, et souhaite avec un sourire au «pirate» Thomas Röthlisberger de le détecter le plus vite possible. 



En tant client d’entreprise, vous profitez aussi de la longue expérience de la Computer Security Incident Response Team (CSIRT). Avec CSIRT as a Service, Swisscom vous aide à analyser et à maîtriser les incidents de sécurité critiques. Des experts de la sécurité de Swisscom prennent la main en cas d’incidents de sécurité. Ils pilotent le processus à distance ou sur place chez vous et vous aident pour la conservation des preuves ainsi que la communication avec les clients et les partenaires.


Glossaire des termes de sécurité


APT

Advanced Persistent Threat, en français «menace avancée persistante». C’est une attaque complexe, ciblée et efficace sur des infrastructures informatiques critiques et des données confidentielles d’entreprises constituant des victimes potentielles en raison de leur avancée technique. D’autres entreprises peuvent également être attaquées et servent de tremplin pour atteindre les réelles victimes visées.


Backdoor

Porte dérobée permettant d’accéder à un ordinateur en contournant la protection d’accès.


Botnet

Réseau avec un grand nombre d’ordinateurs compromis, dont le contrôle central est assuré par un botmaster.


CSIRT

Computer Security Incident Response Team désigne un groupe de spécialistes de sécurité jouant le rôle de coordinateurs en cas d’incident de sécurité informatique, ou traitant généralement de la sécurité informatique, prévenant en cas de niches de sécurité, proposant des solutions et analysant des logiciels malveillants.


Defacement

Introduction de contenus indésirables sur un site Internet piraté.


DOS

Déni de service (Denial of Service - DOS). Un système est paralysé par un grand nombre de demandes.


DDOS

Déni de service distribué (Distributed Denial of Service - DDOS). L’attaque DOS (attaque par déni de service) est lancée simultanément depuis un grand nombre de systèmes répartis (p. ex. un botnet). Il n’est plus possible de bloquer l’agresseur.


Honey Net

Système ou réseau présenté de manière attractive pour le destinataire afin d’attirer les attaquants et de pouvoir étudier leurs comportements. Les connaissances ainsi acquises sont ensuite utilisées pour protéger les réseaux réels.


Kill-Switch

Logiciel caché, qui peut également réagir à un ordre provenant de l’extérieur et qui perturbe le fonctionnement d’un système ou le rend inutilisable.


Malware

Logiciel qui exécute des fonctions dommageables et non souhaitées.


Money Mule

Des criminels incitent des personnes à percevoir de l’argent de «clients» et à le transférer, par le biais d’un service de transfert, après déduction d’une commission. La personne (money mule) croit travailler pour une organisation légitime.


Phishing

Les utilisateurs sont incités à divulguer des données sensibles par des astuces (le plus souvent par des e-mails contenant des messages trompeurs).


Ransomware

Une forme de cheval de Troie, permettant de crypter certaines données ou le système informatique tout entier, afin de demander une rançon pour les libérer.


Spoofing

Tentatives de tromperie dans les réseaux en vue de masquer son identité.





Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?




En savoir plus sur ce thème


   

Threat Detection & Response

Avoir une vue d’ensemble sur les incidents de sécurité potentiels et obtenir une assistance professionnelle pour les attaques de Cyber Security.

Vers l'offre