Jeux de cyberguerre 2023 : De quelle façon CDW défend ses clients dans une guerre de sécurité permanente

Ce concours de l’équipe rouge par rapport à l’équipe bleue a eu lieu dans un cyberenvironnement réaliste, alimenté par des technologies de pointe provenant de certains de nos principaux partenaires de sécurité. Cinq équipes ont été formées, chacune parrainée par un partenaire différent : Palo Alto Networks, Cisco, Sophos, Fortinet et Microsoft.

Chaque équipe a dû protéger son propre environnement, attaquer ses concurrents et se défendre contre leurs intrusions, tout en suivant les règles d’engagement et les attentes qui leur étaient fixées.

Les équipes ont été jugées sur la meilleure personne pour sécuriser l’infrastructure dans leur environnement de laboratoire avant de passer à la phase d’attaque. L’équipe gagnante serait en mesure de renforcer suffisamment ses systèmes pendant la phase de « défense » et de compromettre l’actif cible de son adversaire pendant la phase d’« attaque ».

À la fin de la 2e journée, toutes les équipes devaient soumettre un rapport sur leurs stratégies offensives et défensives employées dans le cadre du concours, ainsi que les détails se rapportant à leur environnement. Toutes les équipes ont été jugées sur la soumission finale de leur rapport.

Le concours a été témoin de certaines tactiques de cybersécurité novatrices en jeu. On s’attendait à ce que les testeurs d'intrusion et les architectes de la défense s’attaquent à cette complexe bataille de frappe et esquive.

Les équipes ont été supervisées par nos dirigeants de la cybersécurité, qui se sont étroitement impliqués dans le concours. Chaque équipe avait sa propre équipe composée du testeur d'intrusion, de l’analyste de réponse aux incidents, de l’ingénieur de déploiement et de l’architecte de solutions.

Bien que chaque équipe ait été tout aussi compétitive, quelques-unes d’entre elles ont pu surpasser les autres.

En fin de compte, le code de l’équipe intitulé « Five Alive » (dirigée par l’architecte principal de la sécurité de CDW, Nyron Samaroo) a remporté le grand prix en présentant une combinaison formidable de surveillance active de la sécurité et d’approche de sécurité superposée. Tout comme elle le fait avec les clients de CDW, cette équipe s’est formée de façon admirable pour comprendre les besoins en matière de sécurité et concevoir des solutions sur mesure résilientes.

Nyron Samaroo : « Nous avons adopté une approche de sécurité à plusieurs niveaux où nous avons commencé au niveau du paramètre et où nous avons travaillé vers les actifs de données qui étaient visés par une violation. Nous nous sommes également assurés de mettre en place des capacités de surveillance appropriées pour voir d’où provenaient les attaques. Je pense également qu’une partie de ce qui nous a aidés à gagner est la collaboration entre l’équipe et le partage d’informations sur ce que nous avons vu. »

L’équipe « Cyber Drop Zone », dirigée par Resty Dagamat, ingénieur principal de la sécurité, a remporté la mention honorable de l’équipe bleue pour avoir conçu l’une des meilleures défenses. Les efforts de son équipe pour sécuriser le pare-feu et renforcer les profils de sécurité les ont aidés à défendre leur environnement.

Resty Dagamat : « Nous avons activé divers profils de sécurité, par exemple, anti-virus, logiciels anti-espion, protection contre les vulnérabilités, protection des données et protection des zones. Cela nous a aidés à atténuer les attaques. Nous avons également renforcé le pare-feu, car il s’agit de la première ligne de défense. Un duo de réseaux blindés et de contrôles de sécurité complets s’est avéré essentiel pour nous. »

De plus, l’équipe « Faux positifs » dirigée par Bin Bing Wang, directeur de la FSA, a reçu la mention honorable de l’équipe rouge pour ses impressionnantes stratégies d’attaque.

À présent, penchons-nous sur ce que les dirigeants ont pensé du concours, sur les principales leçons et idées utiles tirées de leur expérience.

Reid Nilson : « Dans le cadre de mon rôle d’architecte de solutions, je n’ai pas beaucoup de renseignements sur ce que font nos équipes du Centre d’exploitation de la sécurité (CES) ou Services-conseils en gestion des risques (SCGR) au quotidien. Le côté opérationnel du CES a été particulièrement instructif, car j’ai pu constater les tentatives réelles de parties externes tentant d’exploiter une vulnérabilité sur l’un de nos services d’application. » 

Nilson, architecte principal de solutions de sécurité, a parlé de l’occasion précieuse de collaborer avec les unités de cybersécurité et de voir de près leur fonctionnement interne.

Comme c’est le cas pour de nombreuses organisations, les dirigeants pourraient ne pas avoir une visibilité complète de leurs équipes, ce qui signifie qu’ils ont dû travailler en étroite collaboration pour renforcer leurs défenses.  

Nyron Samaroo : « Parfois, nous nous enlisons dans la technologie et les meilleures pratiques. Ce que je pense, c’est que nous perdons souvent de vue ce que font les testeurs d'intrusion et les pirates informatiques. Parce que le plus souvent, nous allons dans l’environnement d’un client pour configurer ces éléments, puis nous repartons et le client est en général celui qui doit les maintenir et les exploiter.

« Je pense donc que cela a mis en évidence certains domaines auxquels nous n’avons pas pensé lorsque nous déployons certaines de ces solutions de sécurité. Et je crois que cela pourrait mener à de meilleures conversations avec nos clients sur la façon de mieux tirer parti de leur investissement dans la technologie. »

Wang, qui a dirigé l’équipe bleue gagnante, a parlé de l’importance de mettre en œuvre l’approche de la vérification systématique, essentielle pour prévenir les attaques internes et externes du système.

Bin Bing Wang : « L’idée principale est de réduire massivement la surface d’attaque des systèmes derrière le pare-feu de nouvelle génération ( next-generation firewall, NGFW) et d’inspecter tout le trafic, y compris le trafic chiffré.

L’approche de la vérification systématique inhérente aux pare-feu plus avancés nécessite une validation et une authentification constantes pour toute action au sein de l’infrastructure réseau. Cette méthode garantit que chaque menace potentielle, qu’elle soit interne ou externe, est identifiée et atténuée. »

Nyron Samaroo : « Je pense que la collaboration avec l’équipe, les perspectives différentes, les points de vue différents, les angles différents, les moyens de défense, ainsi que les tests au stylo, une fois rassemblés, ne forment qu’un seul objectif. »

M. Samaroo a parlé de l’une des plus grandes forces de CDW : la collaboration. Notre équipe diversifiée d’experts apporte de la valeur à une gamme d’expériences qui aident les clients à obtenir des résultats formidables et non pas seulement des solutions prêtes à l’emploi.

Reid Nilson : « L’informatique est une pratique en constante évolution, et cet exercice n’a fait que souligner les changements qui se produisent dans le domaine de la sécurité. Les acteurs de la menace développent constamment de nouvelles tactiques et techniques, et c’est à nous, en tant que praticiens des TI, de rester au courant des derniers développements.

« C’est également à nous de réaliser que nous devons rester humbles et accepter que nous ne connaissons pas tout, mais que nous devons en même temps rester curieux et continuer à chercher des connaissances soit par notre propre travail, soit par l’expérience de ceux qui nous entourent. »

Nilson a abordé la nécessité de garder une longueur d’avance sur nos cyberadversaires en perfectionnant constamment nos compétences. Le concours a offert à l’équipe une excellente occasion de réfléchir à ses plans pour l’avenir, aux domaines d’innovation et au centre de celui-ci : rester humble.

Nilson insiste sur l’accroissement de la responsabilité et de la sensibilisation aux actifs informatiques de l’organisation dans le but de renforcer la sécurité. 

Reid Nilson : « Ma recommandation serait de m’assurer que l’information relative aux actifs est à jour en matière d’environnement. Sans une bonne base de données d’information sur les actifs, il est très difficile de déterminer ce qui doit être protégé dans l’environnement », a-t-il mentionné.

Il est facile de perdre de vue divers actifs informatiques d’un environnement, par exemple les machines virtuelles, les adaptateurs réseau, les règles de pare-feu, etc., ce qui peut entraîner des failles de sécurité. Nilson suggère d’évaluer l’environnement avant de le sécuriser afin qu’aucun actif critique ne soit manqué lors du resserrement des contrôles de sécurité.

« L’autre recommandation serait d’effectuer une évaluation des risques pour l’environnement; cette mesure, combinée à la base de données d’information sur les actifs, constituerait un bon point de départ pour la mise en œuvre de contrôles de sécurité afin de protéger les actifs critiques contre les menaces », a-t-il ajouté.

La cybersécurité est rarement une fonction unique en tant que telle, mais plutôt un orchestre de musiciens jouant ensemble en synchronisation. C’est pourquoi la sécurité doit être considérée comme une pratique holistique qui tient compte de l’ensemble du cadre de la solution, et pas seulement d’une chose à la fois.

Nyron Samaroo : « La meilleure approche consiste à avoir un plan de match qui tient compte des outils, de la conception du réseau, des niveaux de confiance, des systèmes, etc. et qui priorise les cibles à risque élevé. »

Cette approche aide les organisations à :

• Réduire le risque de cyberattaques : En identifiant les vulnérabilités et en mettant en œuvre des mesures pour y remédier, les organisations peuvent réduire le risque de cyberattaques.
• Conformité aux réglementations améliorée : Une approche holistique de la cybersécurité peut aider les organisations à se conformer aux normes de l’industrie, par exemple le cadre de cybersécurité ISO 27001 ou NIST.
• Protégez les données sensibles : En mettant en œuvre des politiques et des procédures robustes, les organisations peuvent protéger les données sensibles contre les cybercriminels.
  

La surface d’attaque fait référence au nombre total de points qui peuvent être exploités par les pirates pour obtenir un accès non autorisé aux systèmes, aux applications ou aux données d’une organisation. Un modèle à vérification systématique suppose que ni les utilisateurs, ni les appareils, ni les applications ne sont fiables et doivent être vérifiés avant d’obtenir l’accès à une quelconque ressource.

Bin Bing Wang : « Je crois que comprendre la portée de votre attaque est une étape cruciale dans l’établissement d’une défense efficace contre les menaces. Plus la portée de l’attaque est petite, plus il est facile d’établir une protection.

« Les organisations doivent constamment surveiller leur surface d’attaque pour identifier et bloquer les menaces potentielles le plus rapidement possible. Cependant, cela devient plus difficile à mesure qu’elles élargissent leur empreinte numérique et adoptent de nouvelles technologies. »

« Dans les Jeux de cyberguerre, nous avons évalué notre surface d’attaque, élaboré un plan efficace pour la réduire et mis en place des contrôles de sécurité visant à surveiller et contrôler les attaques », a-t-il ajouté.

L’évaluation des risques aide les organisations à identifier les vulnérabilités qui peuvent menacer leurs opérations régulières et, par conséquent, leur réputation. L’évaluation des cyberrisques est le processus d’évaluation de l’ensemble des menaces que subit une organisation, des vulnérabilités et lacunes de ses domaines qui posent un risque pour les actifs de l’entreprise. 

En effectuant une évaluation des cyberrisques, les entreprises peuvent avoir une idée claire de l’endroit où elles se trouvent dans le paysage des cybermenaces et d’élaborer un plan de sécurité pour les traiter.

Bin Bing Wang : « Je recommanderais à une organisation d’effectuer des évaluations des risques informatiques pour comprendre de quelle façon la protection des terminaux peut vous protéger contre les cyberattaques et en particulier la sécurité des points de terminaison comme dernière ligne de défense. »

Il est important de noter qu’une évaluation des cyberrisques n’est pas un événement ponctuel, mais plutôt un processus continu qui nécessite une surveillance et une amélioration continues. Les organisations doivent également s’assurer que leurs employés sont formés sur les meilleures pratiques en matière de cybersécurité afin de minimiser le risque d’erreur humaine.

Les meilleures pratiques en matière de cybersécurité exigent souvent que les organisations configurent des points de contrôle et des restrictions sur leurs systèmes informatiques pour éviter les infiltrations, mais parfois, ces restrictions peuvent limiter la fonctionnalité. Si une certaine application dans le système continue de se déconnecter des utilisateurs toutes les 10 minutes pour valider l’authentification, elle entravera la productivité, causant davantage de retombées négatives que d'effets positifs.

C’est pourquoi il est nécessaire de faire correspondre les attentes en matière de sécurité d’un système à son utilisation prévue. Les organisations doivent configurer les outils et les processus de sécurité avec une approche équilibrée. Le renforcement excessif des composants d’un écosystème informatique peut le rendre très sécurisé, mais au prix de le rendre plus difficile à utiliser.  

Nyron Samaroo : « L’une des recommandations qui en découlent pour moi serait peut-être d’avoir une base de référence ou d’avoir certaines attentes quant à la façon dont nous construisons nos outils de défense de manière pratique.

« Parfois, si nous sommes trop concentrés sur nos restrictions, oui, cela peut nous protéger dans ce scénario particulier, mais dans le monde réel, il est possible que ça ne fonctionne pas.

« Bien qu’il soit important d’avoir des mesures de sécurité solides en place, le fait d’aller trop loin dans les restrictions peut entraîner des problèmes de facilité d’utilisation. »

À la fin du concours, chaque participant a adopté une approche nouvelle sur les forces concurrentielles de chacun, détruisant les silos au sein des équipes. Ivo Wiens, le directeur de l’architecture des solutions de sécurité sur le terrain chez CDW Canada, a été l’un des juges du concours. Ivo s’implique activement en aidant les clients à affiner leur posture et leur conformité en matière de cybersécurité. Il a réfléchi à ce que le concours signifiait pour lui.  

Ivo Wiens : « Les Jeux de cyberguerre ont mis en valeur l’esprit de collaboration des équipes de cybersécurité de CDW. Ces jeux ont mis en évidence les obstacles et les triomphes quotidiens des personnes avec lesquelles nous travaillons, offrant une perspective unique qui est parfois éclipsée par les routines.

« Il est rare que ceux qui travaillent derrière les écrans soient témoins de l’impact collectif des contributions [des collègues]. Cet événement a comblé cet écart, favorisant un plus grand sentiment de communauté et d’objectif commun. « En travaillant ensemble dans le cadre du concours Cyber War Games, nous n’avons pas seulement renforcé notre sécurité, nous avons également renforcé la confiance et l’esprit d’équipe qui nous permettent vraiment de réussir. »