Cybersécurité : plongez dans les coulisses de la red team d’Eviden

Guillaume Jacques, red teamer chez Eviden, une ligne d’activités du Groupe Atos, nous présente son métier, son rôle et les missions passionnantes qu’il réalise pour assurer la sécurité des entreprises.

Alexandra Patard
Publié le /
Guillaume-Jacques-red-teamer-Eviden-Atos
Mettez-vous dans la peau d'un red teamer avec Guillaume Jacques ! © Eviden / ATOS

Un opérateur red team a pour rôle d’évaluer les capacités de cyber-résilience des entreprises et de proposer des axes d’amélioration aussi bien techniques qu’organisationnels ou encore même de sensibilisation. Il se met dans la peau d’un attaquant, de façon la plus réaliste possible, et joue des scénarios en imitant le comportement d’acteurs malveillants. Il peut être amené à cibler des actifs vitaux ou des personnes clés de l’organisation au moyen d’attaques informatiques sur les actifs exposés sur Internet ou au sein du système d’information (SI), par des hameçonnages visant les utilisateurs (vocaux ou écrits, ingénierie sociale, etc.), ou encore par des intrusions physiques sur certains sites de l’organisation (pour déposer ou dérober un équipement, obtenir des informations complémentaires, etc.).

Contrairement aux tests d’intrusion interne où l’objectif est de trouver le plus de vulnérabilités possibles et de fournir les recommandations permettant de corriger les problématiques identifiées, l’exercice red team vise plutôt à évaluer les capacités de prévention déjà en place, le niveau de détection des équipes de sécurité et également leur capacité de réaction en cas d’intrusion. Cet exercice est une occasion idéale, pour les entreprises les plus matures en termes de sécurité du SI, d’identifier leurs lacunes en termes de détection et de réponse. Elles pourront ainsi améliorer leurs processus déjà en place de manière à déceler une attaque et éliminer la menace le plus rapidement possible.

Pour en savoir plus sur les contours de ce métier passionnant, nous avons interrogé Guillaume Jacques, qui exerce cette profession chez Eviden, une ligne d’activités du Groupe Atos. Son parcours : il a d’abord obtenu un DUT dans les métiers du multimédia et de l’Internet, puis a suivi une licence pro en réseaux et administration système. Il a ensuite complété sa formation avec un master spécialisé en cybersécurité.

Les étapes pour préparer et lancer une attaque cyber de A à Z

Les opérations réalisées par la red team d’Eviden sont commanditées par des entreprises, ayant généralement un haut niveau de maturité sur les aspects liés à la sécurité. Elles craignent ou ont déjà été victimes d’une compromission et disposent de moyens et de ressources pour limiter les conséquences d’une intrusion réussie. L’expert cyber va alors rechercher la faille dans leur SI, trouver des actifs web (accès, document, ressource) qui ont pu être oubliés par la DSI et qui ont un impact fort pour l’entreprise.

Les clients qui n’ont jamais réalisé ce type d’audit de sécurité sont assez surpris de constater à quel point il est facile de rentrer dans leurs systèmes, explique Guillaume Jacques.

1. Le cadrage de l’exercice red team

Pour qu’un exercice red team soit réaliste, il est nécessaire de définir un ensemble de trophées, cibles primaires et secondaires, que la red team tentera d’atteindre. Il peut s’agir de capacités techniques (récupération de fichiers client, contrats sur un serveur de fichiers, une base de données, etc.) ou de capacités métier (détournement du cœur de métier à des fins malveillantes).

L’opération de cadrage est effectuée en présence d’un membre de la direction ou du comité exécutif. Elle permet de déterminer le contexte dans lequel l’exercice est sollicité, les trophées à atteindre, les axes d’attaque à privilégier ou à bannir, les points de contacts habituels et d’escalade en cas d’incident.

Cette phase offre également la possibilité de présenter la red team et les rôles assignés, de vérifier la partie contractuelle, de définir la langue des livrables et les modalités d’échange sécurisé des informations, de s’assurer du niveau de confidentialité des données récupérées, et enfin de déterminer l’organisation de la restitution et de la destruction des traces d’audit.

2. La reconnaissance, une phase cruciale pour les exercices red team

En amont du lancement de l’attaque, l’expert d’Eviden commence par cartographier et observer la surface d’attaque, à savoir tous les actifs du client qui sont exposés en ligne, que ce soit sur des sites vitrines, des applications ou des serveurs. Il s’agit ici de comprendre le fonctionnement de l’entreprise, les technologies qu’il utilise, sa typologie de clients. Le red teamer va se renseigner sur les collaborateurs, les postes qu’ils occupent, les logiciels sur lesquels ils travaillent, et si des recrutements sont en cours, tout ce qui peut constituer une cible pour l’attaque.

Nous analysons la culture de l’entreprise, les tenues vestimentaires pour se fondre dans la masse, les habitudes… En général, les collaborateurs des DSI sont nos cibles prioritaires. Cette partie de l’audit va nous permettre de collecter des billes qui nous serviront notamment dans le cas d’une intrusion interne, par exemple. Le but ici est de rester le plus discret possible pour ne pas éveiller les soupçons en récoltant tous les éléments qui vont nous aider à être prêt le jour J.

3. La conception de scénarii

Lorsque la red team estime que la connaissance de la cible est suffisamment avancée, elle conçoit plusieurs scénarii de compromission qui simulent le cheminement d’un attaquant de l’extérieur de l’organisation jusqu’aux trophées initialement choisis.

4. La mise en place de l’infrastructure d’attaque

Une fois les scénarii d’attaque sélectionnés, la red team met en place l’infrastructure permettant de réaliser les attaques par courrier électronique, les intrusions réseau ou les attaques par équipements spécialisés. Cette infrastructure est flexible, sécurisée, évolutive et unique pour chaque exercice.

5. L’intrusion

Les résultats de la phase de reconnaissance, les scénarii d’attaque envisagés et les opportunités rencontrées orientent les différentes tentatives d’intrusion qui seront réalisées :

  • l’attaque par courrier électronique : le scénario d’hameçonnage est établi pour aboutir à l’exécution d’une action de la part du collaborateur en vue d’ouvrir un accès à la red team ou faciliter d’autres attaques.
  • l’attaque par appel téléphonique ou messagerie collaborative : ce scénario est défini pour obtenir de nombreuses informations ou guider le collaborateur vers un portail malveillant qui permet à la red team de récupérer ses informations de connexion voire son jeton de session (ou aussi pour contourner les authentifications multi-facteurs ou MFA).
  • l’intrusion physique : elle a pour objectif de s’introduire dans les locaux de l’organisation en vue de récupérer des informations sensibles, d’effectuer des actions particulières et de faciliter une intrusion logique (dépôt de clés USB malveillantes, exécution d’implants sur les sessions non verrouillées, branchement d’équipements spécialisés, clonage de badge, crochetage de serrures, etc.). À noter qu’une carte « sortie de prison » est fournie aux opérateurs qui mènent l’intrusion physique afin de leur éviter tout désagrément en cas d’interpellation par un agent de sécurité.
  • l’intrusion informatique : elle consiste à identifier et à exploiter des vulnérabilités sur les équipements accessibles, réseaux, systèmes ou application.

6. La rédaction des livrables et les réunions de restitution

Cette dernière étape est la plus importante pour le client : il s’agit de la retranscription complète des problématiques identifiées, des actions réalisées et des conséquences que ces dernières auraient pu avoir lors d’une réelle attaque. Ces éléments doivent être à la fois compréhensibles pour une audience technique, mais également pour les membres de la direction.

De bons livrables et une bonne restitution sont la clé pour permettre à une entreprise de fixer les vulnérabilités identifiées durant l’exercice, mais surtout pour améliorer les faiblesses qui ont pu être constatées dans les différents processus ou procédures analysées. Ensuite, nous pouvons proposer des axes de sensibilisation selon les populations impactées.

Devenir red teamer chez Eviden et les évolutions de carrière possibles

Si le challenge et la qualité des missions réalisées constituent ce que Guillaume Jacques apprécie le plus dans son métier, l’expert met aussi en avant la diversité des clients pour lesquels il travaille, mais aussi les outils ainsi que les nouvelles technologies qu’il utilise pour préparer et mener ses attaques. Par exemple, les infrastructures déployées dans le Cloud sont complexes et permettent le contrôle des machines compromises de manière discrète, sécurisée, tout en limitant les chances de remontée jusqu’au serveur de commandes et contrôle (C2). De même, de nombreux outils sont développés en interne, d’autres sont modifiés de manière à supprimer au maximum les indicateurs de compromission (IoC). La compréhension des outils cyber est primordiale pour les opérateurs red team.

C’est un métier extrêmement intéressant car on touche à la sécurité dans toute sa globalité, pas uniquement sur les applications web. Et on a également ce rôle d’accompagner le client à chaque étape de l’audit, ce qui est très enrichissant, avec aussi une partie dédiée à la sensibilisation des collaborateurs sur ce que l’on a pu tester.

Le red teamer souligne aussi l’esprit d’équipe, la cohésion et la bonne ambiance qui règnent au sein de la red team d’Eviden, avec des membres qui échangent beaucoup entre eux, partagent des connaissances, participent ensemble à des challenges Capture The Flag, et s’entraident pour monter en compétences.

Nous avons la chance de pouvoir travailler sur les sujets qui nous plaisent et pour lesquels nous avons le plus d’appétence. Nous nous formons aussi entre nous sur les aspects du métier que nous maîtrisons le moins.

Pour devenir un red teamer, il est recommandé de suivre une formation en école d’ingénieurs avec une spécialisation en cybersécurité. Pour Guillaume Jacques, l’auto-formation et le passage de certifications professionnelles (CRTO, Certified Red Team Operator, par exemple) sont des aspects importants de son parcours. Tout comme la veille qu’il effectue régulièrement sur les dernières actualités du secteur, les vulnérabilités détectées et diffusées par la communauté sur Internet, comme le CERT-FR de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), ou sur Twitter, afin de rester à jour sur un domaine qui évolue vite et en permanence.

L’expert, qui a d’abord intégré Eviden en tant qu’auditeur, rêvait de devenir un red teamer. Pour la suite, il a soit la possibilité d’évoluer au poste de chef de mission red team ou en se spécialisant, sur de la rétro-ingénierie ou l’aspect web de son métier notamment. « Chez Eviden, nous avons accès à un panel de formations assez complet », précise Guillaume Jacques à ce sujet. L’entreprise recrute actuellement 140 postes en CDI, mais aussi 80 candidats en stage et alternance sur l’ensemble des activités cyber. Les profils recherchés sont polyvalents, rigoureux, curieux et sérieux, avec 50 % de compétences techniques et 50 % d’adaptabilité.

Il faut être une sorte de caméléon, sociable, avoir confiance en soi et être capable de faire un travail mental, mais également être bon techniquement. Chaque opérateur ne doit pas forcément exceller sur chacun de ces critères. En revanche, une bonne red team doit remplir ces différents skills, conclut Guillaume Jacques.

Toutes les offres d’emploi d’Eviden en cybersécurité

Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

BDM / Articles / Tech / Cybersécurité : plongez dans les coulisses de la red team d’Eviden

Sur le même thème

Cybersécurité

Cybersécurité : 5 chiffres clés qui démontrent l’impact majeur d’une faille
Cybersécurité

Attaque DDoS contre votre entreprise : comment réagir ?
Cybersécurité

Violations de données : la France est le 2e pays le plus ciblé, derrière les États-Unis
Cybersécurité

5 questions pour comprendre le Cyber Resilience Act
Données personnelles

Comment se protéger face aux fuites de données : les conseils de la CNIL
Interviews

Cyberattaques : comment les TPE, PME et ETI sont devenues des cibles privilégiées