Simulation de violation et d'attaque

Prouvez que vos contrôles fonctionnent — pas seulement qu'ils existent

BAS continue qui simule l'élévation de privilèges AWS IAM, l'exfiltration S3, l'évasion de CloudTrail et les déplacements latéraux sur le réseau. Chaque résultat est mappé à MITRE ATT&CK et lié à vos contrôles de conformité comme preuve vérifiable.

Catégories de simulation
6
Techniques MITRE
200+
vs coût d'un test d'intrusion annuel
90 % de moins
Cadres de conformité
6

Une couverture de simulation sur l'ensemble du cycle de vie d'une attaque

Six packs de scénarios couvrant les schémas d'attaque cloud les plus impactants — chacun testé contre votre environnement réel, pas un bac à sable de préproduction.

IAM

Élévation de privilèges AWS IAM

CATAAM simule les chemins d'élévation de privilèges AWS IAM les plus courants documentés par les chercheurs en sécurité. Chaque scénario teste si vos politiques IAM, vos SCP et vos limites d'autorisations bloquent réellement l'élévation — pas seulement si les politiques existent.

  • iam:CreatePolicyVersion — injecter une nouvelle version de politique admin
  • iam:AttachRolePolicy — attacher AdministratorAccess à un rôle existant
  • iam:PassRole vers Lambda — assumer un rôle via l'invocation d'une fonction
  • Chaîne sts:AssumeRole — élévation inter-comptes via une politique d'approbation
  • Abus du profil d'instance EC2 — extraire les identifiants depuis les métadonnées
T1548.005 – Abuse Elevation Control MechanismT1078.004 – Valid Cloud Accounts
S3

Exfiltration de données S3 et contournement d'ACL

Teste si vos buckets S3 sont réellement protégés — pas seulement étiquetés comme privés. CATAAM valide les paramètres de blocage de l'accès public, les politiques de bucket et les ACL face à de vrais scénarios d'exfiltration documentés dans les rapports de violation cloud.

  • Détection d'ACL de bucket public et test d'accès en lecture
  • Mauvaise configuration de politique de bucket — accès inter-comptes
  • Abus d'URL pré-signée via des identifiants divulgués
  • Test de contournement du blocage de l'accès public S3
  • Réplication vers un bucket contrôlé par l'attaquant
T1530 – Data from Cloud StorageT1537 – Transfer Data to Cloud Account
CT

Évasion et détection de CloudTrail

Les attaquants désactivent CloudTrail tôt pour empêcher la détection. CATAAM teste si votre surveillance détecterait et alerterait sur les tentatives de perturbation de la journalisation — et si les lacunes existantes permettraient à un attaquant d'opérer sans être détecté.

  • Journalisation CloudTrail désactivée — test de capture d'événements
  • Validation des fichiers journaux désactivée — détection d'altération
  • Manipulation du sélecteur d'événements — évasion du filtrage des appels API
  • Livraison vers S3 arrêtée — simulation de lacune de journalisation
  • Vérification de l'exhaustivité d'un trail multirégion
T1562.008 – Disable Cloud LogsT1070 – Indicator Removal
Network

Exposition réseau et déplacement latéral

Les mauvaises configurations réseau sont le vecteur d'accès initial le plus courant dans les violations cloud. CATAAM cartographie vos groupes de sécurité, vos relations de peering VPC et la configuration du service de métadonnées pour identifier les possibilités de déplacement latéral avant que les attaquants ne les trouvent.

  • Résistance au brute-force SSH (exposition de l'authentification par mot de passe)
  • Application du service de métadonnées EC2 v1 vs v2
  • Surautorisation de groupe de sécurité — entrée 0.0.0.0/0
  • Cartographie des chemins de déplacement latéral via le peering VPC
  • Détection de l'exposition d'un point de terminaison RDS public
T1021 – Remote ServicesT1110 – Brute ForceT1599 – Network Boundary Bridging
Crypto

Faiblesse du chiffrement et des algorithmes

Un chiffrement faible est une vulnérabilité invisible — les systèmes semblent sains jusqu'à ce qu'un attaquant capture et déchiffre le trafic. CATAAM teste la robustesse des algorithmes sur tous les points de terminaison externes et valide le chiffrement au repos sur les ressources de stockage cloud.

  • Détection de version TLS — exposition de SSLv3, TLS 1.0, TLS 1.1
  • Énumération des suites d'algorithmes faibles (RC4, DES, 3DES)
  • Surveillance de la validité et de l'expiration des certificats
  • Vérification du statut de rotation des clés KMS
  • Validation du chiffrement au repos EBS et RDS
T1557 – Adversary-in-the-MiddleT1552 – Unsecured Credentials
Email

Sécurité de la messagerie et résilience au phishing

Les attaques par e-mail représentent la majorité des accès initiaux dans les violations en entreprise. CATAAM valide votre configuration SPF, DMARC et DKIM pour garantir que les attaquants ne peuvent pas usurper votre domaine ni livrer des e-mails malveillants qui contournent les filtres.

  • Validation de l'enregistrement SPF et vérification de sa rigueur
  • Application de la politique DMARC (none / quarantine / reject)
  • Présence du sélecteur DKIM et robustesse de la clé
  • Détection d'enregistrement BIMI
  • Surveillance de l'enregistrement de domaines similaires
T1566 – PhishingT1598 – Phishing for Information

Une simulation continue, pas des instantanés annuels

La BAS s'exécute en continu — détectant les régressions de contrôle dues aux changements de configuration au moment où ils se produisent, et non 12 mois plus tard lors d'un test d'intrusion.

01

Sélectionnez les scénarios de simulation

Choisissez parmi des packs de scénarios préconçus (AWS IAM, S3, réseau) ou exécutez la suite complète. Les scénarios sont sûrs — ils testent l'efficacité des contrôles sans causer de dommages ni de perte de données.

02

Exécutez contre votre environnement réel

La BAS s'exécute dans votre environnement en utilisant les mêmes techniques que les vrais attaquants. Aucun agent requis — des simulations basées sur les API cloud avec des sondes d'élévation en lecture seule.

03

Examinez les résultats MITRE ATT&CK

Chaque résultat affiche l'identifiant de technique, la tactique, la gravité, la référence CVE le cas échéant, et une étape de remédiation précise. Priorisé selon l'impact pour l'attaquant, pas le score CVSS.

04

Liez aux contrôles de conformité

Les résultats de la BAS alimentent automatiquement les preuves de conformité pour SOC 2, ISO 27001, PCI-DSS et HIPAA. Les résultats positifs prouvent l'efficacité des contrôles ; les résultats négatifs génèrent des tickets de remédiation dans Jira.

BAS vs. test d'intrusion traditionnel

CaractéristiqueBAS (CATAAM)Test d'intrusion manuel
FréquenceContinue (365 jours)Annuelle ou trimestrielle
Rapidité des résultatsQuelques minutesQuelques semaines
Format des preuvesRésultats d'API horodatésRapport PDF statique
Liaison à la conformitéMappage automatique aux contrôlesMappage manuel requis
Couverture MITRE ATT&CKMise à jour en continuPortée ponctuelle
Suivi de la remédiationDans la plateforme avec JiraFlux de travail séparé
Modèle de coûtPar crédit, à l'usage15 000 $ à 50 000 $ par engagement

La BAS et le test d'intrusion sont complémentaires — pas concurrents. La BAS CATAAM assure la couverture continue ; un testeur d'intrusion expérimenté gère l'exploitation créative.

Résultats de simulation en temps réel

CATAAM exécute des simulations BAS en continu contre votre environnement. Les résultats sont horodatés, mappés à MITRE et immédiatement disponibles dans votre tableau de bord de conformité — et non enfouis dans un PDF trois semaines après la fin d'un engagement.

  • Chemins d'élévation IAM testés à chaque cycle d'analyse
  • Dérive de configuration détectée en quelques minutes après un changement
  • Preuves de conformité liées automatiquement aux résultats PASS
  • Tickets Jira créés automatiquement pour les nouveaux résultats FAIL
# CATAAM BAS — sortie de simulation en direct
PASS IAM : iam:CreatePolicyVersion bloqué ✓
PASS IAM : iam:AttachRolePolicy bloqué ✓
FAIL IAM : iam:PassRole vers Lambda — CHEMIN D'ÉLÉVATION ✗
→ T1548.005 | CVE-2021-25315 | Jira : SEC-4421
PASS S3 : blocage de l'accès public appliqué ✓
WARN S3 : réplication inter-comptes activée ⚠
PASS CloudTrail : multirégion activé ✓
PASS EC2 : IMDSv2 appliqué ✓
Résultats : 1 FAIL, 1 WARN, 6 PASS
Preuves SOC 2 : 8 contrôles mis à jour →

Simulation de violation et d'attaque — questions fréquentes

Qu'est-ce que la simulation de violation et d'attaque (BAS) et en quoi diffère-t-elle d'un test d'intrusion ?
La simulation de violation et d'attaque (BAS) exécute en continu et en toute sécurité des scénarios d'attaque réels contre votre environnement. Contrairement à un test d'intrusion — qui est un engagement manuel ponctuel mené par des testeurs humains — la BAS s'exécute en continu, produit des résultats lisibles par machine et s'intègre directement à vos flux de conformité. Un test d'intrusion est précieux pour une exploitation approfondie et créative ; la BAS est meilleure pour la validation continue de contrôles spécifiques, la génération de preuves de conformité et la détection de régressions après des changements de configuration.
Les simulations BAS de CATAAM peuvent-elles être exécutées en production en toute sécurité ?
Oui. Les scénarios BAS de CATAAM sont conçus pour tester l'efficacité des contrôles sans causer de dommages, de perte de données ni d'interruption de service. Les simulations d'élévation IAM utilisent des appels API en lecture seule pour sonder les limites d'autorisations — elles ne créent pas réellement de nouveaux utilisateurs admin ni ne modifient de ressources. Les tests S3 valident les contrôles d'accès en tentant des opérations de lecture qui devraient être bloquées — ils n'exfiltrent pas de données. Les tests réseau sondent l'exposition des services sans exploiter de vulnérabilités. Chaque simulation est non destructive par conception.
Comment les preuves BAS satisfont-elles aux exigences de conformité comme SOC 2 et PCI-DSS ?
La BAS produit des résultats structurés et horodatés qui prouvent que les contrôles sont efficaces — pas seulement documentés. SOC 2 CC6 et CC7 exigent de démontrer que les contrôles d'accès logique et d'exploitation des systèmes fonctionnent ; la BAS fournit des preuves vérifiables que l'élévation IAM est bloquée, que la surveillance CloudTrail est active et que les contrôles réseau empêchent l'accès non autorisé. L'exigence 11 de PCI-DSS impose des tests d'intrusion et des analyses de vulnérabilités — les résultats continus de la BAS satisfont les deux exigences avec des preuves de qualité audit. Chaque résultat est stocké dans CATAAM et lié au contrôle correspondant.
Quelles techniques MITRE ATT&CK la BAS de CATAAM couvre-t-elle ?
La BAS de CATAAM couvre des techniques relevant des tactiques Accès initial, Exécution, Persistance, Élévation de privilèges, Évasion des défenses, Accès aux identifiants, Découverte, Déplacement latéral et Exfiltration — axées sur les environnements cloud. Les techniques clés incluent T1548 (Abuse Elevation Control Mechanism), T1530 (Data from Cloud Storage), T1562 (Impair Defenses), T1078 (Valid Accounts), T1021 (Remote Services), T1110 (Brute Force), T1530 (Data from Cloud Storage) et T1537 (Transfer Data to Cloud Account). La bibliothèque de techniques est mise à jour à mesure que de nouveaux schémas d'attaque cloud sont publiés.
Les résultats BAS peuvent-ils déclencher une remédiation automatisée ou des tickets Jira ?
Oui. L'intégration Jira de CATAAM crée automatiquement des tickets de remédiation à partir des résultats BAS qui dépassent votre seuil de gravité configuré. Chaque ticket inclut l'identifiant de technique MITRE ATT&CK, le résultat précis, l'ARN de la ressource affectée et l'étape de remédiation recommandée. Les tickets sont suivis dans CATAAM aux côtés du contrôle de conformité qu'ils concernent — de sorte que la progression de la remédiation se reflète automatiquement dans votre tableau de bord de conformité.

Prêt à tester si vos contrôles fonctionnent réellement ?

Essai gratuit de 14 jours. Sans carte bancaire. Premiers résultats d'analyse BAS en quelques minutes.

WATCH

Breach & Attack Simulation in action

Prove your controls work — safe, real attacks mapped to MITRE ATT&CK.