Cinq critères à rechercher chez un fournisseur d’équipe rouge ou violette
Par Oksana Vassilieva, gestionnaire principale, pratique d’essais de cybersécurité
La cybersécurité offensive comme les exercices d’équipe rouge et d’équipe violette, plus communément appelés la « Red Team » et la « Purple Team » sont un excellent moyen de faire passer votre cybersécurité au niveau supérieur. Ces types d’exercices peuvent vous aider à cerner les faiblesses au sein de votre défense. Ils vous permettent d’acquérir et de maintenir une connaissance des menaces (« Cyber Threat Intelligence ») et des attaquants pouvant cibler votre organisation dans le but de renforcer votre posture de sécurité et améliorer vos capacités de réponse aux incidents afin que vous soyez mieux préparé en cas d’attaque réelle.
Cependant, tous les fournisseurs de services de sécurité offensive ne possèdent pas les mêmes expertises techniques. Si vous voulez tirer le meilleur parti de vos exercices d’équipe rouge ou violette, vous devez rechercher un fournisseur qui peut apporter des compétences spécifiques pour la bonne exécution du mandat.
En quoi consistent les exercices d’équipe rouge et d’équipe violette ?
Les exercices d’équipe rouge sont une tentative ciblée de compromettre ou d’accéder aux « crown jewels » de votre entreprise . Il s’agit généralement de vos actifs les plus sensibles ou d’un élément important de votre propriété intellectuelle. Votre équipe de sécurité interne ne saura pas quand les exercices sont en cours, ce qui permettra à l’équipe rouge d’évaluer vos défenses en utilisant les mêmes techniques, tactiques et procédures (TTP) d’attaques que celles utilisées par les pirates informatiques ou les groupes cybercriminels.
Les exercices d’équipe violette sont un effort conjoint de l’équipe rouge offensive du fournisseur et de l’équipe bleue défensive de votre centre opérationnel de sécurité. En simulant des attaques réelles pour évaluer vos stratégies défensives et en adoptant une approche collaborative, vous avez l’opportunité d'améliorer vos capacités de défense, de détection et de réponse aux incidents, tout en gagnant une meilleure visibilité sur le positionnement et la maturité de votre posture de sécurité.
Les caractéristiques à rechercher chez un fournisseur pour les exercices d’équipe violette et d’équipe rouge
L’efficacité des exercices d’équipe rouge et d’équipe violette pour vos opérations de sécurité dépendra en grande partie du fournisseur. Lorsque vous cherchez un fournisseur, privilégiez les caractéristiques suivantes afin de garantir des résultats optimaux.
1. Expertise technique
Le fournisseur optimal démontre une expertise et des certifications étendues couvrant une diversité de technologies, de systèmes, d'applications, incluant également le domaine de l'infonuagique. Il connaît aussi les règlements et les exigences en matière de sécurité des données propres à votre secteur d’activité.
2. Processus et pratiques de pointe
La connaissance des cadres de sécurité (p. ex. MITRE ATT&CK, Unified Kill Chain) et la maîtrise de la simulation d’une gamme de TTP d’attaques sont toutes deux essentielles à l’efficacité des tests. Le fournisseur devrait utiliser des attaques manuelles et une trousse d’outils offensifs développés en interne (Offensive Security Tooling) et adaptés à votre entreprise. Une approche manuelle et des outils personnalisés au contexte du mandat offrent de meilleurs résultats dans la détection de vulnérabilités que les processus et outils automatisés, qui ont souvent des limites techniques et opérationnelles. Le fournisseur devrait donc posséder les capacités de recherche et développement nécessaires pour créer ses propres outils et des charges utiles personnalisées afin de simuler des attaques avec un niveau élevé de complexité. Enfin, le client doit s’assurer que le fournisseur réduit au minimum le risque d’interruption des activités et des opérations durant l’exercice.
3. Expérience démontrée
Votre fournisseur devrait avoir une feuille de route de tests réussis dans tous les secteurs et situations, y compris dans votre secteur d’activité. Un bon fournisseur aura également l’habitude d’aller au-delà des vérifications de routine pour détecter les vulnérabilités et les risques courants afin de détecter les vulnérabilités « zero day ».
4. Utilisation responsable des données
Privilégiez un fournisseur qui détient des autorisations de sécurité officielles pour accéder à des renseignements classifiés ou sensibles, afin d’être certain que vos données ne seront pas exploitées ou compromises. En particulier, si vous travaillez dans un secteur très réglementé, comme la finance ou la santé, choisissez un fournisseur qui utilise des ressources locales pour vous assurer que les données ne quitteront pas le pays.
5. Passion
La cybersécurité étant un domaine complexe et en constante évolution, il est essentiel de poursuivre les investissements et la recherche afin de maintenir une veille technologique constante sur les dernières techniques d’attaques et d’offrir de fortes capacités d’évaluation. Il est donc crucial d'être animé par une véritable passion. Un fournisseur doit pouvoir compter sur des membres d'équipe qui participent activement à des conférences sur la sécurité informatique, des compétitions telles que les « Capture du drapeau », ainsi qu'à d'autres événements liés à la sécurité offensive et au piratage éthique (HackFest, BSides, Northsec, SecTor, etc.)
Le même fournisseur devrait-il s’occuper des tests d’intrusion et des exercices d’équipe rouge/violette ?
Il y a des avantages à utiliser le même fournisseur pour les tests d’intrusion et les exercices d’équipe rouge ou violette, ou alors, au contraire, d’utiliser un fournisseur différent.
Par exemple, le même fournisseur connaîtra les systèmes, l’architecture réseau et le contexte de sécurité de votre entreprise, ce qui peut rendre les tests plus efficaces. Il sera également au courant des évaluations et des améliorations antérieures, ce qui lui donnera des informations significatives sur les tendances au fil du temps. De plus, une relation à long terme avec un fournisseur peut favoriser une meilleure communication et une meilleure compréhension des défis uniques de votre entreprise en matière de sécurité.
Cependant, un nouveau fournisseur apporte une nouvelle perspective, limitant ainsi le risque de survoler des vulnérabilités ou d'adopter des processus obsolètes face à des menaces toujours changeantes. Un fournisseur différent peut également apporter un regard extérieur dans ses rapports de test, ce qui permettrait de mieux révéler des problèmes majeurs qui n'auraient pas été identifiés précédemment. Recueillir plusieurs points de vue en faisant appel à différents fournisseurs peut vous donner une évaluation globale plus complète.
Au final, c’est la situation unique de votre entreprise qui compte. Vous devrez évaluer les avantages de chaque approche et choisir celle qui répond le mieux à vos besoins.
Découvrez les services professionnels de Bell en matière de cybersécurité
Bell possède des années d’expérience dans le secteur du piratage informatique éthique et offre une gamme complète de services de sécurité offensive. Nous vous aidons à réduire les risques en cybersécurité et à prévenir les attaques. Notre équipe de tests d’intrusion et réponse aux incidents (STIRT) examine, analyse et recommande des mesures proactives pour améliorer votre posture de sécurité. Visitez notre page des services professionnels de cybersécurité pour en savoir plus.