Cyber Offensive : les retex de Decathlon et Hydro-Québec
Pentest et Bug Bounty sont les deux piliers de la cyber offensive. Reste à bien définir le périmètre des tests et de ne pas hésiter à auditer des applications critiques. Retour d’expérience de deux entreprises acquises aux vertus d’une Red Team : Décathlon et Hydro-Québec.
Mathieu Bolla, Responsable Sécurité Opérationnelle de la Business Unit Decathlon X-Commerce
« Le Pentest est aligné avec le calendrier de release. »
« Nous venons du PenTest et nous en faisons encore, c’est nécessaire. Nous faisons fonctionner Pentest et Bug Bounty en tandem.
Quand nous avons une application qui consiste en un front qui appelle des API, le Pentester va être capable de tester une API enfouie dans le système d’information et qui n’est pas accessible depuis Internet et remonter des vulnérabilités techniques.
Le Hunter n’a accès qu’au front, mais s’il arrive à exploiter toute la chaine jusqu’à une API fautive, alors il peut faire apparaître les erreurs d’architecture, les erreurs de process, etc. C’est sur ces points que le hunter a sa plus forte valeur ajoutée.
Au niveau du cycle de vie des applications, le Pentest est aligné avec le calendrier de release. On sait à quelle date doit être lancée une grosse mise à jour et on peut lancer un PenTest en phase d’UAT (User Acceptance Testing / tests de validation utilisateur). Il est alors possible de prévoir de la capacité pour corriger.
Le Bug Bounty se conçoit plutôt comme du test en continu, en marge du calendrier de release, le Hunter peut opérer à n’importe quel moment. »
—–
Jean-François Morin, Vice-President en charge des Technologies numériques chez Hydro-Québec
« Cet exercice a montré l’importance de la décision et des arbres de décisions. »
« Nous réalisions des exercices de sécurité, mais qui n’étaient jamais totalement réalistes. Nous avons lancé l’idée de faire un test de confinement réel, isoler Hydro-Québec du reste du monde.
Nous avons retenu un scénario de type sabotage dans lequel un acteur malveillant tente de prendre le contrôle du réseau électrique depuis l’extérieur. Nous avons totalement coupé Internet pendant 4 heures.
Ce sont plus de 500 personnes qui ont été impactées, avec des applications info-nuageuses comme SAP qui ont été coupées, ou encore les tablettes des monteurs de lignes.
Tout a été coupé, nous étions aveugles sur le terrain, le SI ne fonctionnait pas, nous étions isolés du monde. L’électricité continuait de fonctionner, mais nous avons pu constater l’effort fait ces dernières années pour aller vers l’informatique nuagique. Plus de 1 200 applications ont été impactées.
Le post-mortem de cet exercice a montré l’importance de la décision et des arbres de décisions. Quand survient une cyberattaque, il ne faut pas avoir à organiser un comité pour décider ce qui doit être confiné ou pas, qui a le droit d’autoriser le confinement, etc. Il ne faut pas perdre une heure à prendre ce type de décision.
Notre objectif est aujourd’hui d’aller au-delà des 4 heures de confinement. Nous allons faire d’autres tests. Mon rêve est d’avoir un bouton qui nous permettrait de nous confiner en quelques secondes. »
Propos recueillis par Alain Clapaud
Pour aller plus loin :
Pourquoi il est temps d’aller vers la cyber offensive
Cloud, Darknet, Pen tests … Comment j’ai transformé mon approche de la cybersécurité
Bug Bounty : quelle place dans une politique cyber ?
Sur le même thème
Voir tous les articles Cybersécurité