Les enjeux actuels en matière de cybersécurité sont tels que la plupart des entreprises et organisations testent régulièrement leurs systèmes et protocoles de sécurité informatique. Si votre entreprise en fait partie, et il y a de fortes chances que ce soit le cas, vous avez certainement entendu des termes tels que Red Team, Blue Team ou encore Purple Team. De quoi parle-t-on exactement ? A quoi correspondent ces codes couleurs ? La réponse dans la suite de cet article.
C’est quoi une équipe Red Team ?
Concentrée sur le « Pentest », ou test de pénétration (mais dans le cadre de l’ « Ethical Hacking »), une Red Team a pour but de détecter, prévenir et éliminer les vulnérabilités. Pour y arriver, elle va imiter le rôle d’un attaquant en tentant de trouver les « backdoors » et autres vulnérabilités exploitables. Souvent, il s’agit d’une équipe extérieure à l’entreprise qui ne connaît pas les défenses qui y sont installées. Les techniques utilisées par une Red Team peuvent inclure l’exploitation de vulnérabilités connues ou, sur un registre un peu plus complexe, des manœuvres d’ingénierie sociale dans le but d’obtenir un accès à un compte administrateur.
Comment se déroule une intervention Red Team ?
Une attaque ou intervention Red Team se déroule sur plusieurs semaines, comme une véritable attaque, pour ainsi permettre d’intervenir par phases d’actions avec des cyberattaques ou encore des campagnes de phishing, en passant par des tests de sécurité physique des locaux. Les campagnes Red Team proposent d’évaluer le niveau de sécurité général d’un système d’information, mais aussi d’évaluer les actions de la Blue Team, l’équipe interne de l’entreprise. Le but du jeu est de préparer des attaques assez complexes et élaborées pour ne pas être repérées par la Blue Team.
L’objectif ultime de la Red Team est de tracer un chemin qui part d’une personne extérieure à l’entreprise pour arriver à la réalisation d’une ou plusieurs actions critiques au sein du système d’information ciblé. Il peut s’agir, par exemple, d’accès à des informations sensibles, d’endommagement du système avec un impact sur la productivité de l’entreprise, d’impact sur la chaîne de production pour les systèmes SCADA (Supervisory Control and Data Acquisition) / ICS (Industrial Control System)…
Purple Team et Blue Team : de quoi parle-t-on ?
La Blue Team est souvent une équipe interne de l’entreprise (équipe SSI, SOC…), ayant peu pratiqué d’attaques sur un SI. Elle opère en se renseignant sur les attaquants potentiels, en analysant des attaques et des malwares, et en assurant la surveillance permanente du SI. Le cas échéant, la Blue Team va également mener des investigations forensiques. Quant à la Purple Team, elle est le résultat de la collaboration entre la Blue Team et la Red Team. Son travail consiste à aligner les objectifs des équipes Red et Blue, dans l’objectif d’améliorer la défense du SI en créant une coopération vertueuse et efficace.
