Depuis 4 ans, l’organisation américaine à but non lucratif propose aux acteurs du marché de la cyber de se mettre à l’épreuve face à plusieurs séries d’attaques imitant celles de pirates connus. L’objectif final, ici, n’est pas d’ériger un classement, mais d’offrir aux vendeurs comme aux acteurs, un espace de démonstration.
Showroom de la cyber ou cyber-contrôle technique, l’avenir nous dira quelle place occuperont les ATT&CK Eval dans les années à venir. En attendant, “pour le monde de la cybersécurité, l’initiative du MITRE est un véritable bienfait !”, assure Olivier Caleff, responsable gestion de crise et cyber résilience chez Erium. Pour lui, les évaluations mises en place remplissent parfaitement leur rôle d’intérêt public. Que ce soit du côté de l’offre ou de la demande : “En plus de donner les moyens au marché de la cyber de se mettre à l’épreuve et de se tester, cela offre une occasion unique aux entreprises et aux responsables sécurité de voir clairement comment fonctionnent les solutions des différents acteurs en les confrontant aux nombreuses techniques parmi les 12 tactiques du cadre MITRE ATT&CK.”
Voilà quatre ans, en effet, que l’organisation américaine à but non lucratif met à disposition des acteurs de la cybersécurité des programmes d’évaluation pour leur permettre de se confronter à des attaques et d’afficher leur savoir-faire. “Si les organisations savent qu’elles doivent disposer de solutions de sécurité robustes, il leur est difficile de savoir lesquelles leur conviennent. Il y a un vrai fossé entre fournisseurs et utilisateurs quant à la manière dont ils répondent aux menaces du monde réel et notre mission est de combler ce fossé“, explique Ashwin Radhakrishnan, General Manager, ATT&CK Evaluations chez MITRE Engenuity .
Pas de perdants ni de score
Sur le principe, les évaluations du MITRE reprennent les méthodes de groupes d’attaquants, souvent étatiques, connus pour émuler une attaque en plusieurs étapes et face à laquelle les participants vont devoir ériger leur défense avant d’exposer, à coup de captures d’écran, stratégie et moyens employés. A la fin, une synthèse est rendue disponible à tous, et sans condition d’accès, sur le portail du MITRE Engenuity pour y consulter l’intégralité des évaluations. Mais attention, ici, pas de “note” ou de “score”, pas de gagnant ni de perdant, mais uniquement la mise en lumière des approches utilisées par les différents acteurs.
L’opération démarre donc en 2018, avec 12 candidats, et s’inspirait des techniques du groupe d’attaquants étatiques APT3, rattaché, selon certains chercheurs, au ministère Chinois de la Sécurité d’État et à l’origine des campagnes Clandestine Fox, Clandestine Wolf et Clandestine Double Tap. Depuis, six autres évaluations ont eu lieu. La dernière en date, dont les résultats ont été publiés le 9 novembre dernier, s’est tenue entre mai et août 2022 et a accueilli 16 participants : Bitdefender, BlackBerry, BlueVoyant, Critical Start, CrowdStrike, Microsoft, NVISO, OpenText, Palo Alto Networks, Rapid7, Red Canary, SentinelOne, Sophos, Trend Micro, and WithSecure et le Français Atos qui se prêtait à l’exercice pour la première fois.
Une attaque, 4 mois, 16 participants
Les experts du MITRE ont cette fois incarné OilRig, un réseau de pirates étatiques attribué à l’Iran et connu pour avoir ciblé des entreprises des secteurs financier, gouvernemental, énergétique, chimique et télécommunications au Moyen-Orient et à l’international. “Cela se déroule sur 5 semaines. Les 3 premières sont consacrées à la mise en place et à l’examen du processus de livraison pour MITRE, nous raconte Vinod Vasudevan, directeur de la technologie monde pour les services MDR et directeur adjoint de la technologie monde pour les services de cybersécurité chez Atos. La quatrième, est celle de l’évaluation proprement dite. La cinquième est consacrée à la réalisation d’un récapitulatif. De la dernière semaine de septembre à la première d’octobre, les équipes de MITRE ont fourni les résultats originaux donnant ainsi l’occasion aux participants de faire des retours et donner leur avis. Pour terminer, de la deuxième semaine d’octobre à la première de novembre, MITRE rassemble les résultats et permet aux fournisseurs de voir les résultats finaux.”
Une participation à hauteur de 100 000 dollars
Sur les 40 éditeurs identifiés par le Gartner comme dominant le marché Cyber, certains manquent encore à l’appel. Le taux de participants, qui n’a jamais dépassé les 30 (score maximum atteint jusqu’ici lors de l’évaluation Wizard Spider/Sandworm de 2022), recense actuellement 31 inscriptions pour l’édition 2023, avec la présence de deux autres Français : Tehtris et HarfangLab. “Notre solution a atteint un très bon niveau de maturité et, pour rappel, nous sommes l’unique EDR Français certifié par l’Anssi. Ces tests représentent un investissement de plus de 100 000 dollars et vont nous permettre, non seulement de positionner notre outil, mais aussi d’avoir un référentiel technico-opérationnel face à nos concurrents américains. L’évaluation donne en effet un profil d’outil qui peut correspondre à différents contextes de menaces et typologies de systèmes. Selon le secteur d’activité, la sensibilité ou la taille, les entreprises ne porteront pas leur attention sur les mêmes colonnes de la matrice MITRE”, témoigne Grégoire Germain, CEO HarfangLab. qui appelle de ses vœux à voir apparaître un benchmark européen, porté, pourquoi pas, par le Campus Cyber… L’évaluation 2023, elle, sera consacrée à Turla, groupe d’attaquants communément attribué à la Russie, connu pour avoir fait des victimes dans de nombreux pays et ciblé des agences gouvernementales, des missions diplomatiques, des groupes militaires, des organismes de recherche et des médias russes. A suivre donc “même si, en attendant, il ne faut pas hésiter à se replonger dans les précédentes évaluations !”, encourage Olivier Caleff.