Par-delà la Red Teaming
« Attaquez ! », conseille Jean-Marie Bourbon de POST Luxembourg. C’est la vocation du Red Teaming. Mais sachez, aussi, analyser les phases tant offensives que défensives.
« Chaque jour nous voyons de multiples failles, y compris dans les entreprises qui ont les plus hauts certificats de sécurité, que ce soit en direct ou via des fournisseurs. Ne vous laissez pas surprendre. Anticipez, attaquez ! », explique Jean-Marie Bourbon, Head of CyberForce Offensive Security, POST Luxembourg. A l’entendre, la meilleure défense est l’attaque. C’est la vocation du Red Teaming.
« Le Red Teaming repose sur une idée forte : vous ne pouvez pas vraiment savoir à quel point vos systèmes sont sécurisés tant qu’ils n’ont pas été attaqués. Au lieu de courir les risques liés à une attaque réellement malveillante, il est plus sûr d’en simuler une par le biais d’une Red Team. » Tel était le message délivré par Jean-Marie Bourbon, testeur d’intrusion expérimenté et Red Teamer, au cours des Luxembourg Internet Days 2022.
Red Teaming… comme un exercice incendie
L’idée est d’exposer régulièrement l’entreprise à des exercices proches de la situation réelle. Comment ? En simulant des attaques réalistes. Celles-ci devront exploiter aussi bien la sécurité physique des bâtiments que l’informatique et, bien évidemment, le facteur humain à travers le phishing ou des approches de social engineering.
« De manière générale, les attaques peuvent être coordonnées, exploiter plusieurs points d’entrée, divers canaux, en vue d’atteindre un objectif, explique Jean-Marie Bourbon. Procéder à de tels exercices permet de tester la réaction, évaluer l’efficacité des procédures en place dans la perspective de pouvoir les améliorer. C’est comme pour un exercice incendie. Il faut réfléchir à toute éventualité afin de pouvoir apporter une réponse efficace et coordonnée en situation de crise. »
Attaquer, mais pas seulement
La Red Team côtoie de nombreuses autres équipes dans le paysage de la cybersécurité. Ainsi, une Blue Team peut travailler aux côtés de la Red Team axée sur les processus d’amélioration des mécanismes de défense. Contrairement à la première, la seconde est au courant des défenses déjà en place. Elle est continuellement impliquée dans l’analyse d’activité suspicieuse. Pour ce faire, elle met en place des audits de sécurité, de l’analyse de logs, du reverse engineering, des élaborations de scénarios à risque… Il faut qu’elle soit organisée et focalisée sur les détails.
La Red Team peut aussi travailler de concert avec la Purple Team. Mission : prévenir les cyberattaques. Le Purple Teaming donne un aperçu direct de la façon dont l’organisation se comporte dans un scénario de piratage réel et fournit une meilleure vue d’ensemble des mesures nécessaires à mettre en œuvre pour prévenir les incidents.
Maximiser l’efficacité des équipes rouges et bleues
Par Purple Teaming, il faut entendre des évaluations conçues pour mesurer la capacité des systèmes informatiques et des employés d’une organisation à répondre à une cyberattaque généralisée, en simulant à la fois l’équipe offensive, la Red Team, et l’équipe défensive, la Blue Team, afin de déterminer quelles attaques ont été bloquées avec succès et lesquelles auraient conduit à un cyber-incident.
« Idéalement, le violet ne devrait pas du tout être une équipe, mais plutôt une dynamique permanente entre le rouge et le bleu », estime Jean-Marie Bourbon. Pour lui, il s’agit de maximiser l’efficacité des équipes rouges et bleues en intégrant les tactiques et les contrôles défensifs de l’équipe bleue avec les informations sur les menaces et les vulnérabilités découvertes par l’équipe rouge dans un seul récit. Bref, « coopérer, s’enrichir du travail de chaque équipe ».