Le breach and attack simulation (BAS) fait référence aux technologies permettant aux organisations de tester leurs défenses de sécurité contre des cyberattaques simulées. Les solutions BAS fournissent des évaluations automatisées qui aident à identifier les faiblesses dans le système défensif du SI d'une organisation[1].
Description
[modifier | modifier le code]Les outils BAS fonctionnent en exécutant des attaques simulées contre l'infrastructure IT d'une organisation. Ces attaques simulées sont conçues pour imiter les menaces du monde réel et les techniques utilisées par les cybercriminels. Les simulations testent la capacité de l'organisation à détecter, analyser et répondre aux attaques. Après avoir exécuté les simulations, les plateformes BAS génèrent des rapports mettant en évidence les contrôles de sécurité défaillants[1].
Les organisations utilisent le BAS pour vérifier si les contrôles de sécurité (en) fonctionnent correctement. Des tests BAS fréquents aident à évaluer la posture de sécurité au fil du temps et à garantir que des processus appropriés de réponse aux incidents sont en place. Les tests BAS complètent d'autres évaluations de sécurité telles que les tests d'intrusion et l'analyse des vulnérabilités. Il se concentre davantage sur la validation des contrôles de sécurité plutôt que sur la simple recherche de failles. La nature automatisée du BAS permet des tests plus larges et plus réguliers que les exercices manuels d'équipe rouge. Le BAS fait souvent partie d’un programme de gestion continue de l’exposition aux menaces (CTEM)[1],[2].
Caractéristiques
[modifier | modifier le code]Les principales caractéristiques des technologies BAS incluent[1]:
- Les tests automatisés : les simulations peuvent être programmées pour s'exécuter à plusieurs reprises sans surveillance manuelle.
- La modélisation des menaces : les simulations sont conçues sur la base de tactiques, techniques et procédures adverses réelles.
- La Couverture de la surface d’attaque : peut tester les actifs internes et externes.
- La validation des contrôles de sécurité : s'intègre à d'autres outils de sécurité pour tester leur efficacité.
- Le reporting : identifie les vulnérabilités et priorise les efforts de remédiation.
Cas d'usages
[modifier | modifier le code]Les principaux cas d’utilisation des outils breach attack simulation sont les suivants :
Validation des contrôles de sécurité
[modifier | modifier le code]Des tests BAS fréquents permettent de garantir que les contrôles de sécurité tels que les pare-feu et les EDR restent correctement configurés pour détecter les menaces réelles. Les changements continus apportés aux réseaux et aux systèmes peuvent introduire des erreurs de configuration ou des lacunes que les tests BAS révèlent. Des simulations régulières améliorent également la réponse aux incidents en formant le personnel de sécurité[3].
Améliorations de l'efficacité
[modifier | modifier le code]Le BAS itératif permet d’optimiser les temps de détection et de réponse. Il aide les équipes à optimiser les outils de surveillance et à affiner les processus. Les correctifs de vulnérabilité peuvent également être mieux hiérarchisés en fonction de l’exploitabilité observée plutôt que de la simple gravité CVSS[3].
Évaluation de la résilience
[modifier | modifier le code]Les outils BAS simulent des techniques d'attaque complètes pour préparer les défenses contre les menaces réelles. Les simulations cartographiées sur des frameworks tels que MITRE ATT&CK valident l'état de préparation face aux comportements adverses connus. Bien qu'il ne soit pas aussi approfondi que les équipes rouges, le BAS évalue rapidement la résilience[3].
Fournisseurs de solution de BAS
[modifier | modifier le code]Selon Gartner, les fournisseurs BAS incluent : AttackIQ, Cymulate, Google, Keysight, Pentera, Picus Security, Ridge Security, SafeBreach et Scythe[1].
Références
[modifier | modifier le code]- Jonathan Nunez, Andrew Davies, « Hype Cycle for Security Operations, 2023 », www.gartner.com, (consulté le )
- (en-US) « What Is Breach and Attack Simulation (BAS)? », www.picussecurity.com (consulté le )
- (en) « Top breach and attack simulation use cases », TechTarget, (consulté le )