Red teaming : le retour d’expérience de TotalEnergies

Simuler des cyberattaques contre le système d’information d’une entreprise pour identifier et corriger les vulnérabilités avant qu’elles ne soient exploitées par de véritables acteurs malveillants : tels sont les objectifs des équipes « rouges » (red teams) et, plus globalement, de la cybersécurité offensive. « Le savoir-faire de nos attaquants se met au service des défenseurs de l’entreprise (blue team). Une fois que nous avons trouvé et exploité des vulnérabilités, et que nous avons compromis le système d’information de notre client, nous l’accompagnons afin d’améliorer ses capacités de cyberdéfense, dans une démarche de ‘purple team’. C’est aujourd’hui une activité très largement répandue dans les grands groupes, les start-ups et les PME, ce qui n’était pas le cas il y a dix ans », témoigne Renaud Feil, CEO et cofondateur de Synacktiv. 

Lors d’un exercice de red team, les attaquants disposent d’une liberté presque totale dans le choix des scénarios, qu’il s’agisse d’attaques techniques, humaines, physiques ou menées à des horaires non conventionnels. Leur objectif est clair : atteindre les actifs les plus critiques de l’organisation, qu’ils concernent les données sensibles, la trésorerie, la production ou la gestion de l’énergie. L’opération est conduite en conditions furtives, seules deux ou trois personnes internes étant informées, afin de reproduire au plus près la réalité d’une intrusion. Une part essentielle de la démarche consiste alors à mesurer la capacité de la blue team à détecter ces actions et à y répondre efficacement, en termes d’alertes, de confinement et de remédiation. 

Selon les données fournies par Synacktiv, l’accès initial aux réseaux d’entreprises se fait pour moitié via Internet, le principal vecteur d’accès étant dans ce cas la compromission d’applications et de mots de passe. L’ingénierie sociale (15 %) et l’intrusion physique (10 %) arrivent ensuite. Par ailleurs, les environnements DevOps constituent une surface d’attaque en forte expansion, encore insuffisamment maîtrisée d’un point de vue sécurité. « L’automatisation et la centralisation des processus de développement et de déploiement permettent de livrer plus vite, mais créent un point unique de compromission : si la chaîne de déploiement est attaquée, l’ensemble des applications propagées dans le système d’information peut l’être également, avec un effet systémique potentiellement majeur », Matthieu Barjole, Responsable Red Team chez Synacktiv. 

TotalEnergies : une part « importante » du budget cybersécurité consacré à l’offensif

Pour TotalEnergies, le red teaming fait partie intégrante du dispositif de cybersécurité depuis des années. Le groupe énergétique consacre une part « importante » de son budget sécurité à la cybersécurité offensive. Selon lui, la cybersécurité défensive n’a de valeur que si elle est testée en continu par des approches offensives longues, pensées comme le feraient des attaquants étatiques ou criminels, avec patience, essais multiples et exploitation systématique des petits défauts de configuration. Les campagnes menées par Synacktiv pour le compte de TotalEnergies durent ainsi de six à 12 mois. Elles ne se limitent pas au système d’information interne, mais incluent aussi les filiales, les prestataires critiques et les environnements hybrides.

« Les tableurs de conformité et les check-lists réglementaires sont nécessaires mais restent théoriques. Seule la confrontation régulière aux attaques concrètes permet de vérifier la tenue réelle des défenses, de découvrir les faiblesses liées aux fournisseurs et de prioriser les actions correctrices sur les risques les plus sérieux », déclare Jean-Dominique Nollet, CISO du groupe TotalEnergies. « De nombreuses organisations restent méfiantes vis-à-vis des tests offensifs, alors que ces vecteurs sont au cœur des scénarios criminels. TotalEnergies a fait le choix inverse, inscrit des clauses de red team dans les contrats et imposé cette culture d’épreuve terrain à son écosystème ». 

Selon Jean-Dominique Nollet, la relation avec un prestataire de red team repose avant tout sur la confiance, mais aussi sur un contrat très détaillé. Des mécanismes de « déconfliction » sont ainsi prévus afin de distinguer ce qui vient de l’exercice offensif de ce qui pourrait relever d’une vraie attaque, avec des points de contact identifiés et des scénarios de sortie de crise. « Les tests offensifs sur les environnements industriels (OT) sont strictement bornés, avec des zones interdites, des fenêtres d’intervention définies et des procédures d’escalade, afin de ne pas créer de risque opérationnel ou humain, tout en conservant un niveau de réalisme suffisant pour apprendre quelque chose », note le CISO du groupe.

IA : le risque de la vitesse et de la massification des attaques

Les innovations techniques les plus avancées proviennent aujourd’hui avant tout des services étatiques et des travaux de R&D publiés dans les conférences techniques, bien plus que du dark web où les méthodes restent souvent basiques : « Les cybercriminels ne sont pas là pour innover, mais pour monétiser rapidement leurs actions. Les véritables ruptures technologiques émergent plutôt des capacités offensives révélées par des fuites comme celles d’Edward Snowden ou par les travaux de Google et Apple lorsqu’ils analysent des attaques étatiques », commente Jean-Dominique Nollet. Une veille efficace consiste donc à surveiller l’écosystème de recherche, les publications de communautés techniques reconnues ou les divulgations d’outils gouvernementaux, plutôt que les forums cybercriminels.

Autre constat : le niveau technique des attaquants comme des défenseurs a sensiblement monté depuis quelques années. Les engagements de red team demandent désormais plusieurs mois, un investissement humain important et une forte capacité à gérer la pression, que ce soit pour les équipes offensives qui enchaînent reconnaissance, intrusion physique et social engineering, ou pour les équipes de défense qui doivent trier en continu les alertes et décider quand déclencher la réponse à incident.

Quant à l’IA, elle est déjà utilisée pour accélérer certaines tâches offensives (tri de cibles, génération de mails de phishing, analyse de gros volumes de données techniques) et défensives (détection de secrets exposés, analyse de fichiers chiffrés, corrélation de signaux faibles). « Le risque principal qui se dessine concerne la vitesse et la massification des attaques plutôt qu’une supposée supériorité intellectuelle des modèles », note le CISO du groupe TotalEnergies.

Enfin, sur le plan réglementaire, les directives récentes telles que NIS2 sont surtout perçues par Jean-Dominique Nollet comme un levier pour faire monter en gamme les acteurs moins matures et les maillons de la chaîne de sous-traitance, plus que comme une rupture pour les grands groupes déjà couverts par d’autres textes (Loi de programmation militaire, statut d’Opérateur d’Importance Vitale / OIV…).