L’organisation de simulation d’attaques par des attaquants « éthiques », la Red Team et l’équipe de défense (Blue Team) est une technique désormais bien connue pour vérifier l’efficacité d’un SOC.
Le rôle d’une Red Team est aujourd’hui bien connu : il s’agit de consultants, éventuellement de hackers éthiques qui vont attaquer le système d’information d’une entreprise afin d’en déceler les failles et surtout mettre à l’épreuve les processus internes de défense. L’idée est de mener des tests de pénétration et d’analyser la création du personnel de l’entreprise et de son équipe de sécurité qui joue alors le rôle des bleus, la Blue Team. Selon le niveau de surprise souhaité, le camp bleu peut être prévenu ou pas de l’imminence de l’exercice.
C’est un bon moyen de tester à la fois l’efficacité d’un SOC en termes de détection, mais aussi la réactivité des équipes internes dès lors que l’attaque leur est signalée. Si on pense souvent à des moyens techniques d’intrusion, la Red Team peut tout aussi bien mener des actions d’ingénierie sociale auprès du personnel pour extorquer un mot de passe, obtenir un accès au système d’information.
Vers une approche plus collaborative de la simulation d’attaques
Plus récente, la notion de Purple Team est apparue afin de transformer cet affrontement en un travail plus collaboratif entre attaquants et défenseurs : l’objectif est de créer lors de l’exercice les règles qui permettent d’éradiquer les attaques qui ont réussi à passer le rideau de défense. La Purple Team analyse les résultats, supervise les corrections à apporter. Cette évolution des simulations d’attaques vise à faire bénéficier l’entreprise de retours beaucoup plus constructifs qu’un simple rapport d’attaque et profiter des forces en présence pour améliorer significativement sa posture de sécurité.
