Blue Team, Red Team… Et si, pour le meilleur, on associait les deux, propose Erik Van Buggenhout, co-fondateur de NVISO et formateur SANS Institute.

« Pourquoi d’emblée simuler une attaque ? Pourquoi ne pas, d’abord, améliorer le système avant de le tester ? » Question de bon sens. Pourtant, la plupart des organisations privilégient toujours le Red Teaming, s’étonne Erik Van Buggenhout, co-fondateur de NVISO et formateur SANS Institute. Et de défendre l’approche Purple Teaming.

Par Purple Teaming, il faut entendre des évaluations conçues pour mesurer la capacité des systèmes informatiques et des employés d’une organisation à répondre à une cyberattaque généralisée, en simulant à la fois l’équipe offensive, la Red Team, et l’équipe défensive, la Blue Team, afin de déterminer quelles attaques ont été bloquées avec succès et lesquelles auraient conduit à un cyber-incident.

« Idéalement, le violet ne devrait pas du tout être une équipe, mais plutôt une dynamique permanente entre le rouge et le bleu », illustre Erik Van Buggenhout

Pas une équipe, mais une dynamique

Le Purple Teaming est particulièrement utile pour prévenir les cyberattaques, car il donne un aperçu direct de la façon dont l’organisation se comporte dans un scénario de piratage réel et fournit une meilleure vue d’ensemble des mesures nécessaires à mettre en œuvre pour prévenir les incidents.

« Idéalement, le violet ne devrait pas du tout être une équipe, mais plutôt une dynamique permanente entre le rouge et le bleu », illustre Erik Van Buggenhout, qui, avant de co-fonder NVISO en 2013, s’est fait connaître dans le pentesting. Pour lui, il s’agit de maximiser l’efficacité des équipes rouges et bleues en intégrant les tactiques et les contrôles défensifs de l’équipe bleue avec les informations sur les menaces et les vulnérabilités découvertes par l’équipe rouge dans un seul récit. Bref, coopérer, s’enrichir du travail de chaque équipe.

Des résultats tangibles, tout de suite

« L’engagement de l’équipe violette est précieux pour les dirigeants et les membres du conseil d’administration. Car au lieu d’avoir une conversation autour d’hypothèses, l’équipe peut montrer des résultats réels basés sur l’environnement unique de l’entreprise. Cela change la discussion de ‘un attaquant aurait pu faire cela’ en ‘voici ce qu’un attaquant a fait et l’impact sur notre organisation’ ! » 

En travaillant ensemble, l’équipe bleue aura un aperçu du fonctionnement de l’équipe rouge. Elle pourra se déplacer pour les bloquer plus facilement. Et apprendre les mouvements et procédures typiques utilisés par les pirates… pour ensuite les empêcher.

De même, au fur et à mesure que l’équipe rouge apprend ce que l’équipe bleue fait pour les empêcher, elle devra réfléchir à la façon dont les pirates modifieraient alors leur tactique. Cette équipe violette permet aux deux équipes de tirer encore plus de l’exercice, en développant davantage la mesure dans laquelle la simulation aide l’équipe de sécurité numérique.

Purple Teaming, la puissance intellectuelle de deux équipes

L’équipe violette permet à la force de sécurité de développer davantage ses innovations en matière de sécurité, poussant les défenses numériques plus loin que jamais, soutient Erik Van Buggenhout. « Au lieu de deux équipes distinctes travaillant sur un seul objectif, vous bénéficierez de la puissance intellectuelle des deux équipes réunies. Une équipe peut informer l’autre, l’aider et la guider à travers les problèmes et les solutions. »

C’est particulièrement vrai lorsque l’on engage une Red Team externe pour attaquer le système. En raison de leur connaissance limitée des structures internes du client, elle peut passer beaucoup de temps à trouver un premier moyen d’entrer. « Si vous donnez à l’équipe rouge les connaissances de sécurité avancées de l’équipe bleue interne, ils pourront s’introduire plus efficacement. Vous gagnez du temps tout en progressant !»

Boostez les performances d’apprentissage

À partir de là, l’équipe rouge peut essayer une gamme de procédures de piratage différentes, élaborant rapidement et efficacement un rapport sur les vulnérabilités potentielles du système. Considérant qu’il s’agit d’une simulation, l’objectif devrait être de trouver autant de vulnérabilités que possible, afin que les équipes puissent ensuite renforcer la cybersécurité de l’entreprise.

« L’essentiel, pour moi, est d’apprendre davantage de l’exercice. Bien qu’un défenseur puisse ne pas être familier avec les systèmes d’attaque, en travaillant aux côtés de l’équipe rouge, il verra quelles sont les voies typiques. Avec cette connaissance, en se mettant dans l’esprit d’un attaquant, il sera alors plus prêt à se défendre si jamais un incident survenait. »

Les avantages du Purple Teaming

° Mieux comprendre comment les pirates informatiques opèrent et comment les bloquer

° Améliorer votre posture de cybersécurité de manière efficace

° Améliorer la compréhension de votre posture de sécurité par votre équipe de sécurité interne

° Prioriser les investissements futurs en matière de sécurité en identifiant les risques les plus importants

° Obtenir un aperçu critique des coûts et avantages des différentes mesures de sécurité