Qu'est-ce que l'exercice "Red Team Vs Blue Team" ?

L'exercice "Red Team Vs Blue Team" est un exercice standard de l'industrie pour tester les
processus de sécurité. Il est issu d'un modèle de "wargames" militaire. Il oppose les équipes
dans des tentatives simulées de violation ou de défense des systèmes de sécurité d'une
entreprise.
La Red Team est généralement composée de professionnels ayant une expérience de hackers
éthiques. Elle tente de trouver et d'exploiter les failles d'un système de sécurité. Elle évalue les
vulnérabilités et planifie des tests de pénétration simulés contre les systèmes de cybersécurité.
La Blue Team s'occupe du maintien des défenses des systèmes de sécurité. Ils tenteront de
manière proactive de renforcer les systèmes contre les attaques. Elle protège les actifs et les
données critiques.
Le système comprend également des "équipes violettes". Celles-ci mélangent les membres de
la Red Teamet de la Blue Team pour partager leurs connaissances et développer des méthodes
d'attaque et de défense plus avancées.
La philosophie de la méthode est semblable à l'idée qui sous-tend les tests de production. En
effet, on ne sait pas toujours ce qui peut se casser jusqu'à ce que quelqu'un le fasse. La Red
Team tente donc de "casser" les systèmes de sécurité, à la manière d'un attaquant malveillant.
Quels sont donc les avantages exacts de cet exercice de codage par couleur des équipes ?
Regardons-les de plus près et découvrons-les.
Il permet à votre équipe de se rapprocher et de s'entraîner. L'expérience de la gestion d'une
cybermenace est inestimable pour une équipe de défense. Souvent, une entreprise ne connaît
pas ses vulnérabilités avant qu'elles ne soient exposées. L'acquisition de connaissances sur la
façon de traiter et même de détecter ces menaces dans un environnement non critique est un
excellent outil de formation. La nature contradictoire des rôles encourage la compétitivité des
membres des équipes rouges et bleues. L'ajout d'équipes violettes permet aux membres des
équipes rouges et bleues de se retrouver autour d'expériences communes. Ils peuvent ainsi
développer ensemble des stratégies d'attaque et de défense encore plus avancées.
Cela aide à identifier vos points faibles en matière de cybersécurité. Il y a un truisme qui
s'applique ici : "nous ne savons pas ce que nous ne savons pas". Souvent, un piratage ou une
violation de données dans un scénario réel contourne les systèmes de sécurité. Cela signifie
que la vulnérabilité n'est détectée qu'après coup.
Le fait de revoir, d'affiner et de tester les défenses permet de mettre en place des systèmes qui
anticipent les menaces en cours. Le monde de la cybersécurité est en constante évolution.
L'exercice "Red Team Vs Blue Team" peut aider les entreprises de sécurité à rester à la pointe
de la cyberdéfense.

Présentation de la Red Team

La Red Team est généralement constituée de personnes ayant une formation de hacker
éthique.
La tâche de la Red Team
La tâche de la Red Team consiste à identifier les vulnérabilités d'un système de sécurité et à
tenter de les exploiter. Il peut s'agir d'attaques logicielles sur des centres de données. Et des
stratégies physiques utilisant des cartes d'accès clonées. Et même des tentatives
d'hameçonnage pour obtenir des informations des employés.
Pour l'essentiel, la Red Team utilisera tous les moyens nécessaires pour explorer les faiblesses
éventuelles (dans le cadre d'un ensemble de règles prédéfinies). Bien entendu, l'objectif ultime
est d'identifier ces points faibles afin de les renforcer.

Les compétences indispensables

Les membres de la Red Team devront posséder à la fois des compétences techniques et des
capacités de réflexion créative. Ils doivent posséder les connaissances en développement
logiciel nécessaires pour découvrir et exploiter les vulnérabilités du back-end. Ils doivent
également faire preuve de créativité pour développer de nouvelles méthodologies permettant
d'exposer les faiblesses.
Il est également avantageux pour la Red Team d'avoir une connaissance opérationnelle des
techniques d'ingénierie sociale. Ces tactiques psychologiques exploitent les vulnérabilités des
employés ou des procédures d'une entreprise, plutôt que d'utiliser des exploitations directes du
système. Tout ce qu'un attaquant malveillant utiliserait pour exploiter les faiblesses de la
sécurité, un membre de la Red Team doit être capable de a. comprendre le problème et b.
connaître les méthodes utilisées pour perturber la qualité des logiciels. Il est également
nécessaire qu'il suive l'évolution des tactiques de ces cybermenaces réelles.

3 exercices courants de la Red Team

Test de pénétration (Pentesting)
Il s'agit de ce que vous pourriez considérer comme le "piratage traditionnel". La Red Team
utilise souvent des outils logiciels tels que des craqueurs de mots de passe ou des programmes
malveillants (malware). Pour attaquer un système de sécurité au niveau du réseau.
Les tests d'automatisation peuvent simuler le comportement de Bot, comme les attaques
DDoS. Cela permet de sonder continuellement les faiblesses de sécurité sans intervention
directe.

Tentative de phishing
Tout comme les courriels de phishing que nous recevons souvent dans nos dossiers de spam,
mais un peu plus sophistiqués. Les équipes rouges envoient souvent des e-mails d'apparence
légitime à d'autres employés pour tenter d'obtenir des informations. En général, ils tentent de
tromper le membre du personnel pour qu'il révèle des informations d'accès.
Évaluation des vulnérabilités
Ces équipes sont souvent des sociétés de sécurité tierces ou des entrepreneurs indépendants.
Cela signifie que la première étape consiste à se familiariser avec un système de sécurité.
Elles peuvent ensuite utiliser ces informations pour identifier les vulnérabilités potentielles.
Cela peut inclure :
 Identifier les systèmes d'exploitation utilisés
 Créer des cartes de réseau
 Identifier les marques et modèles spécifiques d'équipements de réseau
 Acquérir une compréhension des systèmes de sécurité physique. Par exemple, les
caméras, les alarmes et les serrures électroniques.
 Recherche de ports réseau ouverts

Présentation de la Blue Team

La Blue Team : les gentils qui protègent les biens de l'entreprise.

La tâche de la Blue Team

La Blue Team constitue la première ligne de défense contre les intrusions. Elle travaille en
tandem avec l'équipe de sécurité informatique de l'entreprise. Leur tâche consiste à identifier
les menaces et les solutions, tandis que la sécurité informatique met en œuvre les mesures de
défense à long terme.
Cela peut aller du simple test automatisé de sites Web à l'aide d'outils RPA. Il peut également
s'agir d'évaluer les mesures de sécurité physique et d'examiner les processus sur site. Les
besoins exacts varient d'une entreprise à l'autre et peuvent même inclure des conseils sur la
manière de configurer un logiciel de vidéoconférence en toute sécurité.
La Blue Team identifiera les vulnérabilités du réseau de manière proactive afin de prévenir les
attaques. Bien sûr, dans le monde de la cybersécurité, une prévention à 100 % des menaces est
pratiquement impossible. La Blue Team doit également être capable de détecter et de
remédier à toute violation de la sécurité.

Les compétences indispensables

Les membres de la Blue Team sont des professionnels de la sécurité hautement qualifiés,
souvent spécialisés dans la réponse aux incidents. Ils doivent être capables d'effectuer des
évaluations complètes des risques. Elles couvrent toutes les vulnérabilités potentielles. C'est-
à-dire pour les réseaux, les actifs et les personnes.
Ils doivent avoir une connaissance approfondie des systèmes de sécurité et de la stratégie de
sécurité de l'organisation. Une connaissance technique des protocoles de réseau et du DNS est
également requise. Ils peuvent avoir eu une expérience en tant que testeur manuel, identifiant
les failles de sécurité des logiciels.
Les membres de la Blue Team sont généralement des personnes proactives dotées d'un esprit
d'analyse. C'est essentiel, car ils s'efforcent d'anticiper les menaces et de détecter les
vulnérabilités avant qu'elles ne soient exploitées.

3 exercices courants de la Blue Team

Configuration du contrôle d'accès du pare-feu
Un pare-feu identifie et suit le trafic entrant et sortant sur un réseau. Les contrôles d'accès
déterminent les règles selon lesquelles le trafic est filtré. L'une des premières étapes pour la
Blue Team est de configurer ces contrôles d'accès de manière sécurisée.

Mise en œuvre de la solution SIEM

Les systèmes SIEM (Security Information and Event Management) sont des outils de collecte
et d'analyse de données. Ils surveillent, collectent et rapportent des données sur les incidents
de sécurité et autres événements. C'est un exemple très précieux de la façon dont les outils
d'exploration automatisée des processus peuvent aider la sécurité informatique.
La Blue Team utilise des solutions SIEM pour identifier les failles de sécurité en temps réel.
Cela permet aux membres de la Blue Team de répondre et de remédier rapidement aux
incidents. Les SIEM conservent également les journaux des incidents historiques, ce qui en
fait un outil d'analyse précieux.

Utilisation d'un logiciel d'analyse des vulnérabilités

L'un des outils les plus élémentaires pour les bleus, mais aussi l'un des plus fréquemment
utilisés. Les logiciels d'analyse des vulnérabilités détectent et classent les vulnérabilités
courantes d'un réseau de sécurité. Cela permet de mettre en évidence des problèmes de base
comme les connexions inutiles au réseau SCADA.
Les experts en sécurité de la Blue Team évaluent ces informations pour créer des rapports et
un plan de remédiation. Ils travaillent ensuite avec les décideurs et les responsables de la
sécurité informatique pour mettre en place des solutions.

Comment se déroule l'exercice "Red Team Vs Blue Team" ?

Avant le début de l'exercice, il est important que les deux équipes connaissent les objectifs et
les règles d'engagement. L'objectif et les règles de l'exercice sont fixés par l'entreprise.
L'objectif peut être spécifique, comme l'évaluation d'une certaine partie d'un réseau ou d'un
lieu d'accès physique. Il peut aussi avoir des objectifs plus généraux, comme l'évaluation du
niveau de sécurité de l'entreprise.
Les règles d'engagement définissent les limites des actions de l'équipe. C'est important. Pour
simuler le plus fidèlement possible les menaces réelles, la Red Team prend souvent des
mesures semblables à celles des pirates du monde réel. La définition de règles permet à
l'entreprise de distinguer ces actions des attaques malveillantes.
La première étape du processus pour les deux équipes est la collecte d'informations. Pour la
Red Team, cela signifie l'évaluation des vulnérabilités et la planification stratégique. Pour la
Blue Team, il s'agit d'identifier et de renforcer les vulnérabilités existantes.
La phase suivante est la mise en œuvre. Le renforcement du réseau de la Blue Team est
confronté aux techniques de la Red Team. Selon les règles prédéfinies, la Blue Team peut être
au courant des intentions de la Red Team ou rester dans l'ignorance totale.
Une fois la mise en œuvre des stratégies d'attaque et de défense terminée, les équipes passent
au débriefing. Il s'agit probablement de la phase la plus importante de l'exercice, car c'est là
que les deux équipes peuvent partager librement leurs expériences et leurs informations. C'est
aussi où la Purple Team se met en avant.
La collaboration est essentielle dans les exercices de la Blue Team et de la Red Team.

Présentation de la Purple Team

La Purple Team, il est vrai, est un peu mal nommée. Bien qu'elle puisse agir comme une
équipe distincte, la Purple Team est généralement composée d'un mélange de membres des
équipes rouge et bleue. L'objectif de cette équipe est de partager les connaissances
opérationnelles entre les équipes dans un environnement non compétitif.
En raison de la nature des rôles, les équipes rouge et bleue ne sont pas incitées à partager leurs
connaissances sur le terrain. En outre, une offensive vraiment réussie de la Red Team
échappera à la détection de la Blue Team.
C'est pourquoi la Purple Team fait partie intégrante de l'exercice de la Red Team contre la
Blue Team. Elle prend les résultats de l'exercice et les transforme en un retour d'information
utile pour l'entreprise.
L'analyse et le partage des informations par la Purple Team peuvent conduire à une
amélioration des processus de sécurité. Ils peuvent également faire progresser les stratégies
d'attaque et de défense futures. Elles peuvent également fournir un retour d'information sur la
manière d'accroître la conformité des employés en matière de sécurité afin de renforcer la
culture de qualité de votre entreprise.

Conclusion
La chose la plus importante à retenir de l'exercice "Red Team Vs Blue Team" est qu'il doit
s'agir d'un processus continu. Dès qu'elle a corrigé une vulnérabilité, la Blue Team doit
chercher la suivante.
En parallèle, la Red Team doit constamment mettre à jour ses protocoles d'attaque. Il s'agit de
garder une longueur d'avance sur les adversaires réels. Elle doit également mettre à jour ses
connaissances en utilisant des bases de données comme le MITRE Att&ck Framework.
Combinez ce processus itératif avec le partage d'informations et l'analyse de données sur les
exercices réalisés. Cela permettra à votre entreprise de développer les protocoles de sécurité
robustes nécessaires pour faire face aux menaces en constante évolution.