Prouvez que vos contrôles fonctionnent — pas seulement qu'ils existent
BAS continue qui simule l'élévation de privilèges AWS IAM, l'exfiltration S3, l'évasion de CloudTrail et les déplacements latéraux sur le réseau. Chaque résultat est mappé à MITRE ATT&CK et lié à vos contrôles de conformité comme preuve vérifiable.
- Catégories de simulation
- 6
- Techniques MITRE
- 200+
- vs coût d'un test d'intrusion annuel
- 90 % de moins
- Cadres de conformité
- 6
Une couverture de simulation sur l'ensemble du cycle de vie d'une attaque
Six packs de scénarios couvrant les schémas d'attaque cloud les plus impactants — chacun testé contre votre environnement réel, pas un bac à sable de préproduction.
Élévation de privilèges AWS IAM
CATAAM simule les chemins d'élévation de privilèges AWS IAM les plus courants documentés par les chercheurs en sécurité. Chaque scénario teste si vos politiques IAM, vos SCP et vos limites d'autorisations bloquent réellement l'élévation — pas seulement si les politiques existent.
- iam:CreatePolicyVersion — injecter une nouvelle version de politique admin
- iam:AttachRolePolicy — attacher AdministratorAccess à un rôle existant
- iam:PassRole vers Lambda — assumer un rôle via l'invocation d'une fonction
- Chaîne sts:AssumeRole — élévation inter-comptes via une politique d'approbation
- Abus du profil d'instance EC2 — extraire les identifiants depuis les métadonnées
Exfiltration de données S3 et contournement d'ACL
Teste si vos buckets S3 sont réellement protégés — pas seulement étiquetés comme privés. CATAAM valide les paramètres de blocage de l'accès public, les politiques de bucket et les ACL face à de vrais scénarios d'exfiltration documentés dans les rapports de violation cloud.
- Détection d'ACL de bucket public et test d'accès en lecture
- Mauvaise configuration de politique de bucket — accès inter-comptes
- Abus d'URL pré-signée via des identifiants divulgués
- Test de contournement du blocage de l'accès public S3
- Réplication vers un bucket contrôlé par l'attaquant
Évasion et détection de CloudTrail
Les attaquants désactivent CloudTrail tôt pour empêcher la détection. CATAAM teste si votre surveillance détecterait et alerterait sur les tentatives de perturbation de la journalisation — et si les lacunes existantes permettraient à un attaquant d'opérer sans être détecté.
- Journalisation CloudTrail désactivée — test de capture d'événements
- Validation des fichiers journaux désactivée — détection d'altération
- Manipulation du sélecteur d'événements — évasion du filtrage des appels API
- Livraison vers S3 arrêtée — simulation de lacune de journalisation
- Vérification de l'exhaustivité d'un trail multirégion
Exposition réseau et déplacement latéral
Les mauvaises configurations réseau sont le vecteur d'accès initial le plus courant dans les violations cloud. CATAAM cartographie vos groupes de sécurité, vos relations de peering VPC et la configuration du service de métadonnées pour identifier les possibilités de déplacement latéral avant que les attaquants ne les trouvent.
- Résistance au brute-force SSH (exposition de l'authentification par mot de passe)
- Application du service de métadonnées EC2 v1 vs v2
- Surautorisation de groupe de sécurité — entrée 0.0.0.0/0
- Cartographie des chemins de déplacement latéral via le peering VPC
- Détection de l'exposition d'un point de terminaison RDS public
Faiblesse du chiffrement et des algorithmes
Un chiffrement faible est une vulnérabilité invisible — les systèmes semblent sains jusqu'à ce qu'un attaquant capture et déchiffre le trafic. CATAAM teste la robustesse des algorithmes sur tous les points de terminaison externes et valide le chiffrement au repos sur les ressources de stockage cloud.
- Détection de version TLS — exposition de SSLv3, TLS 1.0, TLS 1.1
- Énumération des suites d'algorithmes faibles (RC4, DES, 3DES)
- Surveillance de la validité et de l'expiration des certificats
- Vérification du statut de rotation des clés KMS
- Validation du chiffrement au repos EBS et RDS
Sécurité de la messagerie et résilience au phishing
Les attaques par e-mail représentent la majorité des accès initiaux dans les violations en entreprise. CATAAM valide votre configuration SPF, DMARC et DKIM pour garantir que les attaquants ne peuvent pas usurper votre domaine ni livrer des e-mails malveillants qui contournent les filtres.
- Validation de l'enregistrement SPF et vérification de sa rigueur
- Application de la politique DMARC (none / quarantine / reject)
- Présence du sélecteur DKIM et robustesse de la clé
- Détection d'enregistrement BIMI
- Surveillance de l'enregistrement de domaines similaires
Une simulation continue, pas des instantanés annuels
La BAS s'exécute en continu — détectant les régressions de contrôle dues aux changements de configuration au moment où ils se produisent, et non 12 mois plus tard lors d'un test d'intrusion.
Sélectionnez les scénarios de simulation
Choisissez parmi des packs de scénarios préconçus (AWS IAM, S3, réseau) ou exécutez la suite complète. Les scénarios sont sûrs — ils testent l'efficacité des contrôles sans causer de dommages ni de perte de données.
Exécutez contre votre environnement réel
La BAS s'exécute dans votre environnement en utilisant les mêmes techniques que les vrais attaquants. Aucun agent requis — des simulations basées sur les API cloud avec des sondes d'élévation en lecture seule.
Examinez les résultats MITRE ATT&CK
Chaque résultat affiche l'identifiant de technique, la tactique, la gravité, la référence CVE le cas échéant, et une étape de remédiation précise. Priorisé selon l'impact pour l'attaquant, pas le score CVSS.
Liez aux contrôles de conformité
Les résultats de la BAS alimentent automatiquement les preuves de conformité pour SOC 2, ISO 27001, PCI-DSS et HIPAA. Les résultats positifs prouvent l'efficacité des contrôles ; les résultats négatifs génèrent des tickets de remédiation dans Jira.
BAS vs. test d'intrusion traditionnel
| Caractéristique | BAS (CATAAM) | Test d'intrusion manuel |
|---|---|---|
| Fréquence | Continue (365 jours) | Annuelle ou trimestrielle |
| Rapidité des résultats | Quelques minutes | Quelques semaines |
| Format des preuves | Résultats d'API horodatés | Rapport PDF statique |
| Liaison à la conformité | Mappage automatique aux contrôles | Mappage manuel requis |
| Couverture MITRE ATT&CK | Mise à jour en continu | Portée ponctuelle |
| Suivi de la remédiation | Dans la plateforme avec Jira | Flux de travail séparé |
| Modèle de coût | Par crédit, à l'usage | 15 000 $ à 50 000 $ par engagement |
La BAS et le test d'intrusion sont complémentaires — pas concurrents. La BAS CATAAM assure la couverture continue ; un testeur d'intrusion expérimenté gère l'exploitation créative.
Résultats de simulation en temps réel
CATAAM exécute des simulations BAS en continu contre votre environnement. Les résultats sont horodatés, mappés à MITRE et immédiatement disponibles dans votre tableau de bord de conformité — et non enfouis dans un PDF trois semaines après la fin d'un engagement.
- Chemins d'élévation IAM testés à chaque cycle d'analyse
- Dérive de configuration détectée en quelques minutes après un changement
- Preuves de conformité liées automatiquement aux résultats PASS
- Tickets Jira créés automatiquement pour les nouveaux résultats FAIL
Simulation de violation et d'attaque — questions fréquentes
- Qu'est-ce que la simulation de violation et d'attaque (BAS) et en quoi diffère-t-elle d'un test d'intrusion ?
- La simulation de violation et d'attaque (BAS) exécute en continu et en toute sécurité des scénarios d'attaque réels contre votre environnement. Contrairement à un test d'intrusion — qui est un engagement manuel ponctuel mené par des testeurs humains — la BAS s'exécute en continu, produit des résultats lisibles par machine et s'intègre directement à vos flux de conformité. Un test d'intrusion est précieux pour une exploitation approfondie et créative ; la BAS est meilleure pour la validation continue de contrôles spécifiques, la génération de preuves de conformité et la détection de régressions après des changements de configuration.
- Les simulations BAS de CATAAM peuvent-elles être exécutées en production en toute sécurité ?
- Oui. Les scénarios BAS de CATAAM sont conçus pour tester l'efficacité des contrôles sans causer de dommages, de perte de données ni d'interruption de service. Les simulations d'élévation IAM utilisent des appels API en lecture seule pour sonder les limites d'autorisations — elles ne créent pas réellement de nouveaux utilisateurs admin ni ne modifient de ressources. Les tests S3 valident les contrôles d'accès en tentant des opérations de lecture qui devraient être bloquées — ils n'exfiltrent pas de données. Les tests réseau sondent l'exposition des services sans exploiter de vulnérabilités. Chaque simulation est non destructive par conception.
- Comment les preuves BAS satisfont-elles aux exigences de conformité comme SOC 2 et PCI-DSS ?
- La BAS produit des résultats structurés et horodatés qui prouvent que les contrôles sont efficaces — pas seulement documentés. SOC 2 CC6 et CC7 exigent de démontrer que les contrôles d'accès logique et d'exploitation des systèmes fonctionnent ; la BAS fournit des preuves vérifiables que l'élévation IAM est bloquée, que la surveillance CloudTrail est active et que les contrôles réseau empêchent l'accès non autorisé. L'exigence 11 de PCI-DSS impose des tests d'intrusion et des analyses de vulnérabilités — les résultats continus de la BAS satisfont les deux exigences avec des preuves de qualité audit. Chaque résultat est stocké dans CATAAM et lié au contrôle correspondant.
- Quelles techniques MITRE ATT&CK la BAS de CATAAM couvre-t-elle ?
- La BAS de CATAAM couvre des techniques relevant des tactiques Accès initial, Exécution, Persistance, Élévation de privilèges, Évasion des défenses, Accès aux identifiants, Découverte, Déplacement latéral et Exfiltration — axées sur les environnements cloud. Les techniques clés incluent T1548 (Abuse Elevation Control Mechanism), T1530 (Data from Cloud Storage), T1562 (Impair Defenses), T1078 (Valid Accounts), T1021 (Remote Services), T1110 (Brute Force), T1530 (Data from Cloud Storage) et T1537 (Transfer Data to Cloud Account). La bibliothèque de techniques est mise à jour à mesure que de nouveaux schémas d'attaque cloud sont publiés.
- Les résultats BAS peuvent-ils déclencher une remédiation automatisée ou des tickets Jira ?
- Oui. L'intégration Jira de CATAAM crée automatiquement des tickets de remédiation à partir des résultats BAS qui dépassent votre seuil de gravité configuré. Chaque ticket inclut l'identifiant de technique MITRE ATT&CK, le résultat précis, l'ARN de la ressource affectée et l'étape de remédiation recommandée. Les tickets sont suivis dans CATAAM aux côtés du contrôle de conformité qu'ils concernent — de sorte que la progression de la remédiation se reflète automatiquement dans votre tableau de bord de conformité.
Prêt à tester si vos contrôles fonctionnent réellement ?
Essai gratuit de 14 jours. Sans carte bancaire. Premiers résultats d'analyse BAS en quelques minutes.
WATCH
Breach & Attack Simulation in action
Prove your controls work — safe, real attacks mapped to MITRE ATT&CK.