Les objectifs de Prestation de RedTeam
Réalisation d’une simulation d’attaque afin de sensibiliser la hiérarchie aux risques cyber d’exfiltration de données stratégiques.
Les résultats
- Mise en place d’un plan de renforcement des accès physiques
- Migration des services dans le Cloud
- Renforcement des accès Cloud
- Renforcement des outils de surveillances et formation de l’équipe informatique
Le contexte
Le client travaille dans un secteur B2C très concurrentiel de vente à domicile. Afin de sensibiliser la hiérarchie sur les risques Cyber auxquels ils sont soumis vis-à-vis de la concurrence, le RSSI a souhaité réaliser une simulation d’attaque réaliste sur le principe de la RedTeam visant l’exfiltration de données stratégiques, aussi bien dématérialisée que matérielle à travers les scénarios suivants :
- Scénario 1 : Vol d’informations et intrusion informatique depuis Internet
- Scénario 2 : Intrusion physique et vol d’informations depuis le siège
La proposition
C2S Bouygues a donc mis en place une prestation de « RedTeam» afin de couvrir ces différents scénarios, à travers :
- Une phase d’OSINT (recherche d’information sur des sources ouvertes et privées)
- Une campagne de phishing visant à récupérer les identifiants de connexion de collaborateurs stratégiques
- Une mission d’intrusion physique suivi d’une compromission du SI interne (LAN & WIFI)
Les enjeux
- Evaluer la robustesse des mesures de sécurité physiques, organisationnelles et logiques face à une attaque cyber pouvant provenir de la concurrence
- Evaluer la capacité de réaction des équipes informatiques et sécurité physique
- Estimer l’impact d’une telle attaque en terme financier et d’image
- Améliorer le plan de sécurisation du SI en cours, notamment à travers la migration de certains services dans le Cloud
Démarche de C2S en 3 phases :
- La phase d’OSINT a permis d’identifier un grand nombre de salarier ainsi que leur poste et email en partie grâce aux réseaux sociaux.
- La Campagne de phishing a permis de récupérer des accès Office365 valides sur des profils stratégiques (ex : Resp. Commerciaux) qui ont ensuite servi à récupérer des documents confidentiels et un accès VPN.
- L’intrusion physique a permis de mettre en évidence un manque de contrôle sur les caméras et portiques, mais aussi la faiblesses du cloisonnement entre réseaux WIFI (Guest/LAN) permettant un accès à tout le SI.