Académique Documents
Professionnel Documents
Culture Documents
Security Analyst
Responsable du maintien de la sécurité des données d'une organisation.
Responsabilités:
• Travailler avec diverses parties prenantes pour analyser la cybersécurité dans l'ensemble de l'entreprise.
• Compiler des rapports continus sur la sécurité des réseaux, en documentant les problèmes de sécurité et
les mesures prises pour y répondre
• Élaborer des plans de sécurité, en intégrant des recherches sur les nouveaux outils et tendances
d'attaque, ainsi que les mesures nécessaires au sein des équipes pour maintenir la sécurité des données.
CARRIERES DANS LA CYBERSECURITE
Security Engineer
Concevoir, surveiller et maintenir les contrôles de sécurité, les réseaux et les systèmes
pour aider à prévenir les cyberattaques.
Responsabilités:
•Tester et vérifier les mesures de sécurité dans les logiciels
•Surveiller les réseaux et les rapports pour mettre à jour les systèmes et atténuer les vulnérabilités
Incident Responder
Identifie et atténue les attaques alors que les opérations des attaquants
sont encore en cours.
Responsabilités:
• Élaboration et adoption d'un plan de réponse aux incidents complet et réalisable
• Maintenir de bonnes pratiques de sécurité et soutenir les mesures de réponse aux incidents.
• Établissement de rapports post-incident et préparation aux attaques futures, en tenant compte des
enseignements et des adaptations à apporter aux incidents.
CARRIERES DANS LA CYBERSECURITE
Responsabilités:
• Collecter des preuves numériques en respectant les procédures légales
• Analyser les preuves numériques pour trouver des réponses liées à l’incident.
Malware Analyst
Analyser tous les types de logiciels malveillants afin d'en savoir plus sur leur
fonctionnement et leurs effets.
Responsabilités:
• Effectuer l'analyse statique des programmes malveillants, ce qui implique la rétro-ingénierie.
• Effectuer une analyse dynamique d'échantillons de logiciels malveillants en observant leurs activités dans
un environnement contrôlé.
Responsabilités:
• Effectuer des tests sur des systèmes informatiques, des réseaux et des applications Web.
• Évaluer et rendre compte des informations recueillies, en recommandant des actions de prévention des
attaques.
CARRIERES DANS LA CYBERSECURITE
Red Teamer
Joue le rôle d'un adversaire, attaquant une organisation et fournissant un retour
d'information du point de vue de l'ennemi.
Responsabilités:
• Imiter le rôle d'un acteur de la menace pour découvrir des vulnérabilités exploitables, conserver l'accès et
éviter la détection.
• Évaluer les contrôles de sécurité, les renseignements sur les menaces et les procédures de réponse aux
incidents des organisations.
• Évaluer et faire un rapport sur les informations recueillies, avec des données exploitables pour les
entreprises afin d'éviter les situations réelles.
RED TEAMING
LES FONDAMENTAUX
Objectifs :
Apprendre les bases de la mission d'une Red Team
Identifier les principaux composants et les parties prenantes impliqués dans une mission de la Red Team.
Comprendre les principales différences entre les Red Teamers et les autres types de missions en matière de
cybersécurité.
RED TEAM - FONDAMENTAUX
Les missions de la Red Team
• Les missions de la Red Team consistent à émuler les tactiques, techniques et procédures (TTP) d'un
véritable cybercriminel afin de pouvoir mesurer la façon dont notre Blue Team y réagit et, en fin de
compte, améliorer les contrôles de sécurité en place.
• Ils ne remplacent pas les tests de pénétration traditionnels, mais les complètent en se concentrant sur la
détection et la réponse plutôt que sur la prévention.
• Chaque engagement de la Red Team commence par la définition d'objectifs clairs, souvent appelés
"Crown jewels (joyaux de la couronne)" ou "flags (drapeaux)", allant de la compromission d'un hôte
critique donné au vol d'informations sensibles de la cible.
• En général, la Blue Team ne sera pas informée de ces exercices pour éviter d'introduire des biais dans
leur analyse.
RED TEAM - FONDAMENTAUX
Les missions de la Red Team
Il est important de noter que l'objectif final ne devrait jamais être de permettre à la Red Team de "battre" la
Blue Team, mais plutôt de simuler suffisamment de TTP pour que la Blue Team apprenne à réagir de manière
adéquate à une menace réelle en cours.
Si nécessaire, la Blue Team peuvent modifier ou ajouter des contrôles de sécurité qui contribuent à améliorer
leurs capacités de détection.
RED TEAM - FONDAMENTAUX
Les missions de la Red Team
En fonction des ressources disponibles, l'exercice de la Red Team peut se dérouler de plusieurs manières :
Engagement complet :
Simulez le flux de travail complet d'un attaquant, de la compromission initiale jusqu'à la réalisation des
objectifs finaux.
Violation présumée :
Commencez par supposer que l'attaquant a déjà pris le contrôle de certains actifs, et essayez d'atteindre les
objectifs à partir de là. Par exemple, la Red Team pourrait avoir accès aux informations d'identification d'un
utilisateur ou même à un poste de travail dans le réseau interne.
Exercice sur table :
Une simulation sur table où des scénarios sont discutés entre les Red Team et Blue Team pour évaluer
comment elles répondraient théoriquement à certaines menaces. Idéal pour les situations où les simulations en
direct pourraient être compliquées.
RED TEAM - FONDAMENTAUX
Les équipes et fonctions d’une mission
RED TEAM - FONDAMENTAUX
Les équipes et fonctions d’une mission
RED TEAMING
Objectifs :
La Red Team peut utiliser diverses cyber kill chains (chaines de mise à mort) pour résumer et évaluer les
étapes et les procédures d’une mission.
La Blue Team utilise couramment les cyber kill chains pour cartographier les comportements et décomposer
le mouvement de l'adversaire.
La Red Team peut adapter cette idée afin d'associer les TTP (tactiques, techniques et procédures) de
l'adversaire aux éléments d’une mission.
RED TEAM – CYBER KILL CHAINS
Liste de quelques Cyber Kill Chains :
Lockheed Martin Cyber Kill Chain
Unified Kill Chain
Varonis Cyber Kill Chain
Active Directory Attack Cycle
MITRE ATT&CK Framework
Nous ferons communément référence à la " Cyber Kill Chain de Lockheed Martin ".
Il s'agit d'une Kill Chain plus standardisée que les autres et elle est très couramment utilisée par les Red Team
et les Blue Team.
RED TEAM – CYBER KILL CHAINS
Cyber Kill Chain de Lockheed Martin :
RED TEAM – CYBER KILL CHAINS
Cyber Kill Chain de Lockheed Martin :
RED TEAM – CYBER KILL CHAINS
Initial Access :
Objectif : Explorer les différentes techniques pour obtenir un accès initial à un système et à un réseau cibles du
point de vue d'une Red Team.
• Regroupe les phases de Reconnaissance (Recon) et de d’armement (Weaponization) de la Kill Chain.
RED TEAM – CYBER KILL CHAINS
Reconnaissance:
La reconnaissance (recon) peut être définie comme une enquête ou une observation préliminaire de votre cible
(client) sans l'alerter de vos activités.
Dans la plupart des organisations, le système d'exploitation Windows fonctionne, ce qui constitue une cible
probable.
La politique d'environnement des organisations bloque souvent le téléchargement et l'exécution des fichiers .exe
pour éviter les violations de sécurité.
Par conséquent, les Red Teamers s'appuient sur la création de charges utiles personnalisées envoyées via divers
canaux tels que les campagnes de phishing, l'ingénierie sociale, l'exploitation de navigateurs ou de logiciels, les
méthodes USB ou Web.
RED TEAM – CYBER KILL CHAINS
Weaponization:
Cette partie se concentre sur diverses techniques de scripting populaires et efficaces, y compris :
Une Windows Script Host (WSH)
Une application HTML (HTA)
Les applications Visual Basic (VBA)
PowerShell (PSH)