Un pourcentage croissant de RSSI considèrent OffSec comme un outil indispensable pour améliorer leur posture de sécurité globale, en particulier à mesure que les cybermenaces liées à l’IA et les menaces pesant sur l’infrastructure de l’IA augmentent.
Sara Madden cherche à adopter une approche plus offensive pour protéger son entreprise.
Le RSSI de Convera souhaite ajouter une équipe rouge pour tester les systèmes de la société de services financiers et identifier les domaines où les défenses doivent être renforcées. Elle souhaite également intégrer une équipe violette, dans laquelle les équipes rouges et bleues collaborent pour améliorer la sécurité globale.
« Je pense que la sécurité offensive est un domaine auquel nous devons parvenir, car (nous) pouvons utiliser les informations obtenues pour affiner le programme et les contrôles de sécurité », explique Madden.
Madden n’est pas la seule à vouloir ajouter un programme offensif pour faire progresser sa stratégie de cybersécurité.
La mission de la sécurité d’entreprise est de nature défensive : protéger et défendre les systèmes, les données, la réputation, les clients et les employés de l’entreprise. Mais les RSSI comme Madden ajoutent de plus en plus de composants offensifs à leurs stratégies, considérant les simulations d’attaques comme un moyen d’obtenir des informations précieuses sur leurs environnements technologiques, leurs postures de défense et les faiblesses que les pirates trouveraient en cas d’attaque.
Aujourd’hui, un pourcentage croissant de RSSI considèrent la sécurité offensive comme un élément indispensable et, à ce titre, développent des capacités offensives et les intègrent dans leurs processus de sécurité pour garantir que les informations révélées lors des exercices offensifs conduisent à des améliorations de leur posture de sécurité globale.
« Il est extrêmement important de consacrer du temps et des ressources à (l’utilisation) des renseignements sur les menaces, à la réalisation d’exercices sur table et à arriver au point où vous disposez d’une équipe violette », explique Madden, « parce que vous ne voulez pas toujours être sur vos talons. »
Composantes de la sécurité offensive
La sécurité offensive, ou OffSec en abrégé, consiste à utiliser des tactiques de type attaquant pour rechercher et corriger les vulnérabilités dans l’environnement informatique d’une organisation.
Dan Mellen, cyber-CTO mondial et américain de la société de services professionnels EY, la définit comme « l’identification et l’exploitation des vulnérabilités par l’organisation avant que les adversaires ne le fassent ».
Mellen voit plusieurs catégories d’activités impliquées dans la sécurité offensive, en commençant par la gestion des vulnérabilités au bas de l’échelle de maturité, puis en passant à la gestion des services d’attaque et aux tests d’intrusion, à la chasse aux menaces et aux simulations d’adversaires, telles que des exercices sur table.
« Ensuite, il y a le concept d’équipe violette dans lequel l’organisation examine un scénario d’attaque et quelles sont les défenses qui auraient dû alerter mais ne l’ont pas fait et comment y remédier », dit-il.
Les autres composants de sécurité offensants incluent :
- Équipe rougeoù des pirates informatiques éthiques simulent des attaques réelles pour tester les capacités de détection et de réponse. Les équipes rouges visent à imiter les acteurs menaçants en utilisant des tactiques furtives pour contourner les contrôles et atteindre des objectifs tels que l’exfiltration de données ou l’élévation de privilèges.
- Émulation d’adversaireoù les professionnels de la sécurité recréent les tactiques, techniques et procédures (TTP) connues des acteurs menaçants sur la base de renseignements sur les menaces pour valider les outils défensifs et former les équipes de réponse aux incidents dans des conditions réelles.
- Évaluations d’ingénierie socialequi testent les humains et les processus par le biais du phishing, du faux-semblant et d’autres techniques de manipulation pour identifier les vulnérabilités et les faiblesses. C’est similaire à la façon dont les tests d’intrusion testent les systèmes technologiques.
- Tests d’évasion des outils de sécuritéqui teste dans quelle mesure les technologies de sécurité d’une organisation détectent et bloquent les techniques évasives telles que l’obscurcissement, le chiffrement ou les tactiques de survie, et teste si ces technologies de sécurité peuvent être contournées via des techniques malveillantes.
Certains de ces composants de sécurité offensants, à savoir la gestion des vulnérabilités, les tests d’intrusion et le phishing, constituent des éléments de longue date de la plupart des programmes de sécurité d’entreprise. Par exemple, 88 % des responsables de la sécurité considèrent les tests d’intrusion comme un « élément essentiel des efforts globaux de sécurité de leur organisation », selon le rapport 2025 sur les perspectives des RSSI de l’éditeur de logiciels de cybersécurité Cobalt.
De nombreux RSSI comptent également depuis de nombreuses années dans leur équipe des membres possédant des compétences spécifiques en matière de sécurité offensive. En fait, les certifications Offensive Security Certified Professional (OSCP), Offensive Security Experienced Penetration Tester (OSEP) et Offensive Security Certified Expert (OSCE) d’OffSec sont toutes des informations d’identification très demandées depuis des années. Dernièrement, le domaine de l’OffSec, des tests d’intrusion et des certifications de piratage éthique s’est considérablement développé.
Les technologies de sécurité offensives ne sont pas non plus nouvelles.
Cependant, les experts affirment que les progrès réalisés dans les produits des fournisseurs grâce à l’ajout de l’automatisation, de l’analyse et de l’intelligence artificielle ont augmenté l’efficacité des programmes de sécurité offensifs tout en abaissant la barrière d’entrée pour les équipes de sécurité souhaitant ajouter OffSec à leurs opérations.
« Nous constatons que de nombreux fournisseurs de technologies mettent sur le marché des capacités pour soutenir cette approche proactive ou offensive », explique Mellen.
Défis des opérations OffSec
Pourtant, de nombreux services de sécurité n’ont pas encore adopté un programme de sécurité offensif complet – les petites et moyennes entreprises étant les plus susceptibles de disposer de peu ou pas d’éléments OffSec, explique Mellen, ajoutant que les ressources limitées (budget, personnel, compétences) créent un obstacle commun à la mise en œuvre ou au développement d’une sécurité offensive.
Un autre facteur qui empêche les RSSI d’intégrer une sécurité plus offensive dans leurs stratégies est la crainte d’exposer des vulnérabilités qu’ils n’ont pas la capacité de résoudre, ajoute Mellen. « Ils ne peuvent pas ignorer qu’ils présentent ces vulnérabilités s’ils ne sont pas en mesure de faire quelque chose pour y remédier, même si les pirates informatiques les trouveront, que vous les identifiiez ou non », dit-il.
Pourtant, Mellen et d’autres soutiennent qu’il est essentiel pour les RSSI de mettre en œuvre et d’étendre les mesures OffSec dès maintenant, alors que les pirates informatiques exploitent de plus en plus l’IA pour lancer des attaques plus ciblées et plus sophistiquées plus rapidement. Pour contrecarrer les capacités croissantes des pirates informatiques, les experts affirment que les RSSI doivent identifier et combler plus rapidement les failles de sécurité – ce qui est exactement ce que OffSec permet aux RSSI de faire.
« La sécurité offensive est plus importante qu’elle ne l’était auparavant, car les auteurs de menaces utilisent des outils basés sur l’IA pour développer des attaques que nous n’avons jamais connues auparavant. À l’époque où les pirates utilisaient des script kiddies, les attaques étaient assez prévisibles », explique Aimee Cardwell, RSSI en résidence dans la société technologique Transcend et ancienne RSSI du groupe UnitedHealth. « Aujourd’hui, les hacks sont tellement ésotériques qu’ils sont presque difficiles à comprendre. Et si vous comptez uniquement sur l’analyse, vous ne détectez pas les vulnérabilités potentielles assez tôt, voire pas du tout. Vous devez continuellement les rechercher via une sécurité offensive. »
L’analyse de rentabilisation pour OffSec
Mellen affirme que les RSSI peuvent utiliser les informations glanées dans leurs programmes de sécurité offensifs pour créer des analyses de rentabilité en vue d’investissements supplémentaires dans le programme de sécurité. « Ces preuves fondées sur des données peuvent grandement contribuer à quantifier les risques ainsi que les efforts et les coûts de remédiation », explique-t-il.
Bill Dunnion, RSSI de la société de télécommunications Mitel, voit de solides arguments en faveur de l’adoption de mesures de sécurité plus offensives au sein de sa propre organisation.
« Pour moi, la sécurité offensive consiste à penser comme les méchants. Je dois penser : » Que ferais-je ? Comment pourrais-je entrer ? Puis-je trouver ces portes arrière et ces fenêtres qui ont été laissées ouvertes ? pour que je puisse les trouver et les réparer », dit-il. « Ce que vous ne savez pas dans le monde de la sécurité peut vous tuer, alors ce que la sécurité offensive fait pour moi, c’est qu’elle m’aide à identifier les inconnues. Et une fois que je sais qu’il y a quelque chose, je peux l’atténuer. »
Dunnion a déjà certains composants OffSec dans sa cyber-stratégie, notamment la gestion des vulnérabilités, les tests d’intrusion et la chasse aux menaces, mais souhaite étendre ces capacités. Par exemple, il souhaite créer un programme formel de chasse aux menaces plutôt que de procéder à une chasse aux menaces de manière ponctuelle, comme le fait actuellement son équipe.
Utkarsh Choudhary, directeur principal de la sécurité informatique chez Deloitte Canada, est un autre partisan de l’adoption de davantage d’éléments OffSec, y voyant « l’envoi d’éclaireurs et l’essai de murs et de clôtures pour voir si ces contrôles fonctionnent vraiment ».
« Il s’agit d’une approche de validation plus systématique et continue », ajoute-t-il, soulignant que la sécurité offensive est devenue un élément essentiel en raison de la complexité croissante de l’environnement informatique des entreprises d’aujourd’hui et de la surface d’attaque en constante expansion d’une organisation typique.
Choudhary souligne également que de nombreux composants OffSec, tels que les tests d’intrusion, sont requis par les partenaires commerciaux et les clients, ainsi que par certaines réglementations et cadres tels que la norme ISO 270001.
Comme d’autres, Choudhary affirme que les pratiques OffSec aident les organisations à mieux comprendre leurs risques. «Cela vous fournit une évaluation empirique et force l’honnêteté au sein de l’organisation», dit-il. « Cela valide ce que vous faites bien et ce que vous ne faites pas bien. Cela prouve à l’organisation si quelque chose ne suffit pas. Cela vous donne une véritable preuve de risque. »
Cependant, pour maximiser la valeur, Choudhary et d’autres affirment que les organisations doivent aller au-delà des composants OffSec et passer à leur programme offensif avec leur programme défensif.
« L’offensive ne remplace pas la défense ; elle renforce ce qui manquait à la défense. L’offensive améliore la posture défensive », explique Choudhary. « La sécurité offensive ajoute une couche de sécurité à la défense, ce n’est donc pas l’une ou l’autre, ni même les deux, mais elles doivent travailler de concert. Et cela rend l’organisation plus proactive que réactive, car cela réduit les possibilités d’intrusion des pirates. »
