Pertinence du Red/Blue Teaming pour votre réseau
Jeux de guerre, exercices d’alerte incendie et répétitions en costumes visent tous un même objectif : si vous attendez le moment le plus critique pour savoir si vous êtes prêt à affronter la situation, la réponse sera probablement un « non » sans appel. En matière de cybersécurité, il existe un exercice équivalent conçu pour simuler une attaque et trouver les failles dans les protections de votre réseau avant qu’un véritable attaquant ne le fasse. Il s’agit du Red et Blue Teaming, une pratique accessible à tous, moyennant un certain prix.
Qu’est-ce que le Red, Blue et Purple Teaming ?
En cybersécurité, la Red Team (équipe rouge) est un groupe de « pirates éthiques » qui agit comme l’adversaire et procède à une intrusion physique ou numérique. Dans l’idéal, la Red Team est recrutée hors de l’entreprise au lieu d’être composée de collaborateurs internes, car cela lui permet d’adopter un point de vue extérieur, tout comme le ferait un adversaire. Le groupe peut cependant être aussi composé de personnes déjà présentes dans l’entreprise.
Souvent, ces exercices sont des tâches telles que l’accès à un réseau, la reconnaissance, l’obtention d’informations d’identification, le chiffrement, le contrôle des navigateurs, l’ingénierie sociale, etc. Pour certains exercices, la Red Team reste discrète pendant une partie de la simulation afin d’éviter d’être détectée par les employés ou par d’autres personnes en lien avec l’entreprise.
Le principal avantage du Red/Blue/Purple Teaming par comparaison avec le pentesting (test d’intrusion) réside dans l’effet de surprise : la Blue Team (équipe bleue), créée pour contrer la Red Team, n’a souvent aucun moyen de savoir qu’une simulation est en cours. Par conséquent, la Blue Team (et d’autres employés de l’entreprise) va traiter la simulation comme s’il s’agissait d’une réelle intrusion, via une chasse aux menaces et d’autres stratégies de défense, autrement dit exactement ce qu’ils sont censés faire lors d’un événement réel de ce type. La Blue Team peut ainsi affiner les plans de réponse aux incidents et s’assurer qu’elle est prête à réagir face à une attaque réelle.
Outre la mise au point de mesures de protection, ces exercices permettent également de développer au sein de l’entreprise une culture mieux ciblée sur la sécurité.
De nombreuses simulations font également appel à la Purple Team (équipe violette). Composé de membres de la Red Team et de la Blue Team, ce groupe peut également inclure des personnes extérieures à la simulation, par exemple des administrateurs, des ingénieurs logiciel, etc. Bien que facultative, l’intervention de la Purple Team permet à l’entreprise d’optimiser l’exercice de la Red Team et de la Blue Team : elle enregistre les conclusions et les résultats et contribue à apporter des ajustements aux simulations en cours.
Pourquoi les tests Red/Blue/Purple Teaming sont-ils plus intéressants que les tests d’intrusion ?
Si les tests Red/Blue/Purple Teaming ont en commun certains éléments avec les tests d’intrusion, il s’agit d’un exercice distinct : les tests Red Teaming sont plus longs et plus approfondis et sont exécutés selon des règles d’engagement plus complexes et une évaluation plus vaste.
Tandis que les tests d’intrusion se limitent généralement à décrire les vulnérabilités et les modalités liées à l’infraction, les tests Red Teaming fournissent une vue complète des capacités de réaction d’un programme de sécurité.
Le Red/Blue/Purple Teaming évalue le système de sécurité d’une entreprise au-delà de ce que sont capables de faire les tests d’intrusion à eux seuls. Cela permet ensuite de valider le niveau de risque et de déterminer l’impact financier potentiel d’une brèche de sécurité.
Le poids des coûts du Red/Blue/Purple Teaming
Mais tout cela a un coût : pour les tests Red Teaming, cela commence à environ 10 000 dollars et peut atteindre 85 000 dollars pour des évaluations plus longues et plus complexes.
Ce coût peut être maîtrisé de plusieurs façons, par exemple en plafonnant la portée et le temps d’intervention de la Red Team, en ciblant son travail sur une surface ou un vecteur d’attaque spécifique ou en cherchant à composer ce groupe à un coût inférieur mais néanmoins capable d’atteindre les objectifs de sécurité de l’entreprise. Mais les pratiques Red/Blue/Purple Teaming sont onéreuses et peuvent ne pas convenir aux entreprises qui ont peu de chances de bénéficier d’avantages proportionnels au coût.
Pertinence du Red/Blue/Purple Teaming pour votre entreprise
Les informations récoltées grâce au Red/Blue/Purple Teaming peuvent s’avérer très précieuses, mais cela est davantage vrai pour certaines entreprises que pour d’autres. Ces tests bénéficieront en particulier aux entreprises soumises à une réglementation internationale ou affiliées au gouvernement fédéral, ainsi qu’à celles reposant sur des chaînes logistiques complexes.
Pour décider de débuter son parcours de tests Red/Blue/Purple Teaming, l’entreprise peut prendre en compte plusieurs facteurs, notamment les exigences de conformité auxquelles elle est soumise, les exigences en matière de confidentialité des données et sa tolérance globale face au risque. Les failles de données engendrant un coût moyen de plusieurs millions de dollars, les entreprises doivent s’auto-évaluer afin de savoir si cette dépense se justifie en fonction de leur risque d’exposition.
Si elle ne se justifie pas, ou si vous ne savez pas encore quelle décision prendre, vous pouvez tout de même bénéficier de certains avantages liés au Red/Blue/Purple Teaming. Pour en savoir plus sur les avantages des pratiques Red/Blue Teaming avec un budget contrôlé, inscrivez-vous au prochain webinaire Mindhunter #13 ici