• 8 heures
  • Difficile
Licence

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 06/12/2024

Créez vos scénarios opérationnels

Préparez le cadre de vos scénarios opérationnels

Avant de structurer les scénarios opérationnels, il est important de rappeler que les sources de risques (SR) sont souvent représentées selon une séquence d’attaque type, comme par exemple la kill chain (un modèle qui décrit les différentes phases d'une cyberattaque, depuis la reconnaissance initiale jusqu'à l'exploitation des failles et l'atteinte des objectifs de l'attaquant). Ce modèle décrit les différentes étapes qu’un attaquant pourrait suivre pour atteindre ses objectifs. 

L’ANSSI propose une structuration en quatre étapes, que nous allons utiliser ici, mais il est également possible d’adapter ce modèle en fonction des besoins spécifiques de votre entreprise, surtout si vous utilisez un autre cadre d’analyse.

Pour des organisations plus avancées, le framework MITRE ATT&CK peut fournir une excellente source d'inspiration pour identifier des vecteurs d'attaques spécifiques et détaillés, bien que cela s'adresse à un public plus averti.

Pour structurer les scénarios opérationnels, utilisez un graphique à quatre colonnes :

  1. Connaître : Cette colonne décrit comment un attaquant pourrait recueillir des informations sur votre système d’information. Il peut s’agir de reconnaissance passive (comme la collecte d’informations publiques) ou active (comme les scans de ports).

  2. Rentrer : Ici, on détaille les méthodes que l’attaquant pourrait utiliser pour pénétrer le système, que ce soit par des vulnérabilités connues, des accès non sécurisés, ou des erreurs humaines.

  3. Trouver : Cette étape concerne la recherche d’éléments d’intérêt une fois que l’attaquant est à l’intérieur du système. Il peut s’agir de fichiers sensibles, de bases de données, ou de systèmes critiques.

  4. Exploiter : Enfin, cette colonne décrit comment l’attaquant peut exploiter les failles trouvées pour atteindre ses objectifs, qu’il s’agisse de voler des données, d’installer un ransomware, ou de perturber les services.

Voici un exemple de schéma que l’on peut utiliser :

Schéma avec quatre colonnes vides avec des en-têtes bleus indiquant les étapes d'un processus : Connaître, Rentrer, Trouver et Exploiter.
Schéma de Kill Chain pour structurer vos scénarios opérationnels

Bien entendu, ce que nous avons fait lors de l’atelier 3 sera utile ici. Nous allons reprendre les scénarios stratégiques et nous appuyer sur la cartographie du système d’information.

Structurez vos scénarios dans un graphique à 4 colonnes

Nous allons repartir des scénarios réalisés pendant l’atelier 3 et les détailler. Reprenons le cas suivant :

Diagramme décrivant une chaîne de risque en cybersécurité : un cybercriminel (source de risque SR03) lance une campagne de phishing ciblant un employé (écosystème). L'objectif visé (OV01) est de récupérer les données des salariés via une intru
Nom du scénario : Récupération des données des salariés par un cybercriminel via un intermédiaire.

Colonne "Connaître"

Commençons par nous poser les questions suivantes :

  • Quelles informations sont accessibles au public concernant les salariés ? Par exemple, des données disponibles sur les réseaux sociaux, le site de l'entreprise, etc.

  • Quels outils ou méthodes un cybercriminel pourrait-il utiliser pour obtenir des informations supplémentaires sur les salariés ? Par exemple, des recherches sur les plateformes de fuites de données ou des techniques d'ingénierie sociale.

Dans notre cas, nous pouvons facilement imaginer que le cybercriminel ferait de la recherche en source ouverte via Linkedin, Facebook etc. De plus, en regardant sur le site de VETO+, nous pouvons sûrement trouver le nom des vétérinaires et assistants. Nous allons donc ajouter dans cette première colonne, l’encadré “Reconnaissance externe de la cible”.

Quatre colonnes avec en en-têtes bleus les étapes d'un processus : Connaître, Rentrer, Trouver et Exploiter. Dans la colonne connaître ajout de l'action élémentaire : reconnaissance externe de la cible.
Ajout de l'action élémentaire “Reconnaissance externe de la cible” dans la colonne “Connaître”

Colonne "Rentrer"

Nous devons maintenant nous demander :

  • Comment l'intermédiaire pourrait-il entrer en contact avec les salariés ou les systèmes de l'entreprise ? Il pourrait s’agir de phishing, d’exploitation de failles techniques, ou de fausses offres d’emploi.

  • Quelles failles ou vecteurs d'attaque pourraient permettre cet accès ? Par exemple, l’utilisation de logiciels obsolètes, des identifiants compromis, ou des vulnérabilités dans les systèmes.

Dans notre cas, nous allons considérer que suite aux informations trouvées sur internet, le cybercriminel peut facilement adresser un mail d’hameconnage ciblé aux vétérinaires. Nous ajoutons l’encadré “Intrusion via mail d'hameçonnage sur un admin du fournisseur de logiciel ”dans la colonne “Rentrer”.

Quatre colonnes comme précédemment. Dans la colonne Rentrer ajout de l'action élémentaire : intrusion via mail d’hameçonnage sur un admin du fournisseur de logiciel.
Ajout de l’encadré “Intrusion via mail d'hameçonnage” dans la colonne “Rentrer”

Colonne "Trouver"

Les questions à poser ici incluent :

  • Quels types de données spécifiques le cybercriminel chercherait-il une fois qu'il a accès ? Par exemple, des fichiers contenant des informations personnelles des salariés.

  • Où ces données sont-elles stockées et sont-elles facilement repérables ? Il peut s'agir de bases de données non sécurisées, de partages de fichiers mal protégés, ou de documents accessibles sur un réseau interne.

Pour continuer sur l’entreprise VETO+, une fois le hacker ayant récupéré les identifiants d’un salarié va entrer dans notre logiciel comptable mais il va également essayer de voir s’il peut récupérer d’autres informations. C’est ce que l’on appelle la “latéralisation”.

Quatre colonnes comme avant. Dans la colonne Trouver, ajout de l'action élémentaire : latéralisation vers réseaux LAN et Base de Données.
Ajout de l’encadré “”Latéralisation” dans la colonne “Trouver”

Colonne "Exploiter"

Enfin, il faut se demander :

  • Comment le cybercriminel pourrait-il extraire ou utiliser les données une fois qu'il les a trouvées ? Par exemple, en les exfiltrant via des services de cloud ou en les monnayant sur le dark web.

  • Quelles actions le cybercriminel pourrait-il entreprendre pour maximiser l’impact de l'attaque ? Par exemple, la vente des données, le chantage à l'entreprise, ou la divulgation publique des informations pour nuire à la réputation de l'entreprise.

Dans le cas de VETO+ et de notre scénario, le cybercriminel va récupérer les informations et essayer de les revendre. Nous ajoutons alors, dans la dernière colonne “Exploiter”, l’encadré “Lucratif”.

Quatre colonnes comme avant. Dans la colonne Exploiter ajout d'un encadrer rouge avec le mot Lucratif.
Ajout de l’encadré ”Lucratif” dans la colonne “Exploiter”

Si vous étiez cybercriminel et que vous aviez un accès à un SI, qu’essayeriez-vous de faire ? Pour ma part, j’essayerais de garder un canal d’exfiltration ou un canal me permettant de rester connecté. C’est pour cette raison que dans la plupart des scénarios, vous verrez un encadré “création et maintien d’un canal d’exfiltration”.

Avec tout ce que l’on vient de se dire, voici à quoi ressemblerait notre scénario opérationnel : “Récupération des données des salariés par un cybercriminel via un intermédiaire”.

Quatre colonnes comme avant. Dans la colonne Exploiter ajout de l'action élémentaire : Canal d’exfiltration, relié par une flèche vers la mention Lucratif.
Ajout de l’encadré ”Création et maintien d’un canal d’exfiltration” dans la colonne “Exploiter”

Dans notre exemple, le cybercriminel se moque peut-être du reste du SI et veut uniquement les infos comptables, dans ce cas il ne va pas faire de latéralisation et va directement à son objectif :

  • Nous notons alors ce nouveau scénario, sans latéralisation comme le N°1 (en vert sur le schéma) ;

  • Et le scénario tout juste présenté comme N°2.

Voici comment cela serait rendu visuellement :

Ajout d'une numérotation avec des flèches. L'action hameçonnage est relié directement avec le N°1 à l'action lucratif. Elle passe la colonne Rentrer à la colonne Exploiter. Tandis que des flèches, notées N°2, passe par toutes les étapes.
Notre schéma finalisé avec les deux propositions de scénarios

Nous garderons le scénario qui a la vraisemblance la plus haute comme scénario principal. Nous allons voir dans le chapitre suivant, comment on la calcule !

En résumé

  • Utilisez les scénarios stratégiques développés dans l'atelier 3 comme base pour détailler les scénarios opérationnels.

  • Colonne "Connaître" : Identifiez les informations accessibles publiquement et les méthodes de reconnaissance que l'attaquant pourrait utiliser.

  • Colonne "Rentrer" : Définissez les moyens que l'attaquant pourrait utiliser pour pénétrer le système, comme des attaques de phishing ciblées.

  • Colonne "Trouver" : Une fois à l'intérieur du système, l'attaquant cherchera des données sensibles ou tentera de se déplacer latéralement pour trouver des cibles critiques.

  • Colonne "Exploiter" : Décrivez comment l'attaquant pourrait exfiltrer ou exploiter les failles découvertes pour maximiser l'impact de son attaque.

Est-ce que vos scénarios sont possibles ? Regardons comment évaluer la vraisemblance !

Exemple de certificat de réussite
Exemple de certificat de réussite