Dans les tests de pénétration et autres évaluations des risques en matière de cybersécurité, les différents participants se voient souvent attribuer des noms de couleur en fonction de leur rôle. Par exemple, les attaquants dans l'engagement sont appelés l'équipe rouge, et l'équipe bleue les défenseurs.
Une équipe violette combine des aspects des équipes rouge et bleue. Il s'agit souvent de renforcer la collaboration et le retour d'information entre les équipes offensives et défensives afin de mieux guider l'engagement et de garantir que le test évalue de manière exhaustive la sécurité de l'organisation cible.
Souvent, les équipes rouges et bleues d'un test fonctionnent indépendamment les unes des autres. En fait, une équipe bleue - qui est souvent composée de l'équipe de sécurité d'une organisation - n'est pas consciente du fait qu'un test est en cours jusqu'à la rétrospective finale.
L'objectif de l'équipe "purple" est d'améliorer l'efficience et l'efficacité du processus de test de sécurité. En introduisant des possibilités de retour d'information et de collaboration tout au long du processus de test, l'équipe offensive peut concentrer ses efforts sur les aspects les plus bénéfiques, en fonction du retour d'information des défenseurs.
Un test de sécurité en équipe violette indique qu'il y a un plus grand niveau de communication et de collaboration entre les équipes offensives et défensives que dans le cas d'un engagement traditionnel en équipe rouge, où l'équipe bleue peut ne pas être au courant qu'un exercice a lieu. Toutefois, cette collaboration accrue peut prendre différentes formes.
L'une des options consiste à faire appel à une équipe complète de personnes extérieures à l'organisation. Cette équipe unique peut se diviser en équipes rouges et bleues pour effectuer le test, et les membres peuvent même passer d'une équipe à l'autre au cours de l'engagement. Cela permet de maintenir les compétences de l'équipe à jour, et l'expérience pratique acquise dans les deux rôles permet de se familiariser avec les meilleures façons d'effectuer certaines attaques et de tester les défenses (équipe rouge) et avec la manière la plus efficace de se protéger contre ces attaques (équipe bleue).
Une autre option consiste à structurer l'engagement de manière à permettre une meilleure communication entre les équipes rouge et bleue. Par exemple, l'évaluation peut être réalisée par étapes, avec des rétrospectives et des enseignements tirés entre chaque étape. De cette manière, chaque itération de l'attaque peut s'appuyer sur les enseignements tirés par les équipes offensives et défensives.
Souvent, lors d'une évaluation de la sécurité, les équipes rouge et bleue sont séparées. Cela peut contribuer à améliorer le réalisme de l'engagement, car l'équipe bleue ne reçoit aucune indication sur les attaques imminentes qui pourraient affecter ses performances.
Cependant, avec une équipe rouge et bleue professionnelle, la synergie fournie par un exercice en équipe violette peut améliorer considérablement l'efficacité et l'efficience d'un exercice. En communiquant et en collaborant, les deux équipes peuvent identifier et se concentrer sur les domaines qui bénéficieraient d'un examen plus approfondi et passer outre ceux pour lesquels des efforts supplémentaires seraient inutiles.
Les équipes violettes tirent leur nom du fait que le violet est une combinaison de rouge et de bleu. Une équipe violette combine les capacités offensives de l'équipe rouge et les capacités défensives de l'équipe bleue. L'engagement d'une équipe violette diffère de celui d'une équipe rouge et bleue par le niveau de collaboration entre les équipes offensives et défensives au cours de l'engagement. Dans un engagement d'équipe rouge et bleue, il n'y a pas de collaboration jusqu'à la fin, alors que les équipes violettes collaborent souvent tout au long de l'exercice.
Ces deux approches ont leurs avantages et leurs inconvénients. Pour plus de réalisme, un engagement des équipes rouge et bleue peut être la meilleure option. Sans l'apport de l'équipe rouge - ou sans savoir qu'elle existe - une équipe bleue répondra aux attaques simulées comme elle le ferait pour une attaque réelle.
Cependant, l'engagement d'une équipe violette bénéficie de l'apport des équipes rouge et bleue. Grâce à ces deux perspectives et à la collaboration entre elles, le test de sécurité peut permettre d'identifier des problèmes qui n'auraient pas été détectés lors d'un exercice purement rouge contre bleu.
Des tests de sécurité réguliers sont essentiels pour s'assurer que les défenses de cybersécurité d'une organisation sont à la hauteur de la tâche de prévention, de détection et de réponse aux cybermenaces. Avec un paysage des menaces en constante évolution, les défenses qui ont pu fonctionner dans le passé peuvent ne plus être efficaces.
Les tests de cybersécurité - tels que l'engagement d'une équipe violette - sont un moyen idéal d'évaluer la résistance des cyberdéfenses à une attaque réelle. L'aspect offensif de l'évaluation émulera des menaces réelles et l'équipe de sécurité - éventuellement renforcée par des spécialistes de l'équipe bleue - verra dans quelle mesure ses défenses et ses processus résistent à l'attaque.
Les missions de l'équipe Purple sont l'un des services que Point de contrôle offre dans le cadre de son portefeuille de services professionnels. Pour en savoir plus ou planifier une évaluation, contactez-nous.