15/11/2024

Cybersécurité

Qu’est-ce qu’une Red Team, une Blue Team et une Purple Team ?

I. Présentation

Dans cet article, nous allons expliquer et démystifier des termes très utilisés aujourd'hui dans le domaine de la cybersécurité : Red Team, Blue Team et Purple Team.

Nous allons voir ensemble ce qui se cache précisément derrière ces trois termes, d'où ils viennent et pourquoi ils sont utilisés aujourd’hui.

Je veillerai notamment à détailler le rôle exact qu'à chacune des "team" vis-à-vis de la gestion de la cybersécurité au sein d'une entité. Ainsi, qu’à présenter des exemples concrets de métiers qui se rapportent à chacune d'entre elles.

Nous verrons d'ailleurs que les concepts fondamentaux sont à mettre en relief avec les noms donnés à certaines prestations de service qui, au risque parfois de les déformer, utilisent souvent ces différentes appellations.

II. Un concept né pendant la guerre froide

Comme beaucoup de concepts, noms et idées du domaine de la cybersécurité, l'idée de Red Team et de Blue Team provient du domaine militaire. C'est dans les années 1960 que ce concept émerge, notamment dans le cadre de la guerre froide, qui voit s'opposer les deux blocs : L'Union soviétique (couleur dominante : rouge) et les États-Unis (bleu). Il s'agit alors et depuis d'une représentation classique de deux camps qui s'affrontent, les rouges étant classiquement les méchants adversaires et les bleus, les gentils défenseurs.

Depuis et encore aujourd'hui, on retrouve cette représentation de l'opposition bleue/rouge dans de nombreux domaines comme les jeux vidéo, le sport, les bords politiques, etc.

Au-delà de la couleur, le besoin était, et est toujours aujourd’hui, de devoir donner une forme plus concrète aux camps qui s’opposent. Cela notamment afin de pouvoir physiquement représenter un adversaire, et donc le rendre plus réel, pouvoir le nommer même s’il n’est pas clairement identifié, etc.

De nos jours, ces appellations sont beaucoup utilisées en cybersécurité, mais comme énormément de concepts dans ce domaine, on peut observer des similitudes et même leur utilisation dans les mêmes conditions dans les domaines des forces de l'ordre, l'armée et les services de renseignement et, si vous y êtes attentifs, un peu partout dans notre quotidien.

III. La Red Team : l'attaquant

D'après ce concept issu des années 1960, la Red Team représente l'adversaire, celui qui a des intentions malveillantes à l'égard d'une entité et contre lequel celle-ci doit se protéger. Dans le domaine de la cybersécurité, l'équipe rouge (Red Team) représente donc l'attaquant. Elle permet de se représenter le cyberattaquant de manière plus ou moins concrète en fonction des exercices.

Dans les faits, la logique d'attaque/défense suppose que les mécanismes de défense que l'on met en place soient testés, de façon hypothétique, c'est-à-dire en formulant des hypothèses (et si l'attaquant vol ce mot de passe ?), ou de manière réaliste et concrète (simulation d'une attaque). Dans ce contexte, c'est la Red Team qui représente, simule et joue le rôle de l'adversaire, donc du cyberattaquant.

Pour être plus précis, le rôle de la Red Team est d'attaquer le système d'information d'une entreprise afin de tester, évaluer et contourner les défenses mises en place. Elle doit enfiler la casquette (et donc réutiliser les outils, la méthodologie, les pratiques) d'un attaquant réel et "faire comme si" en étant le plus réaliste possible. Ainsi, une entreprise peut se faire une idée de ce qu'il adviendrait en cas de cyberattaque.

Cette Red Team peut prendre différentes formes, il peut s'agir d'une équipe interne à l'entreprise ou d'un prestataire de service. Dans tous les cas, lorsqu’il s’agit de simuler le comportement d’un attaquant, l’opération est réalisée dans un cadre légal, à la demande de l’entité attaquée (avec des règles d’engagement, un contrat, des limites, etc.).

red team c'est quoi

A. Prestation de service

Dans le jargon de la prestation de service, le terme « Red Team » désigne la plupart du temps un type de prestation bien précis, ce qui permet notamment de la distinguer d'un autre : le test d'intrusion.

La différence entre test d'intrusion et opération Red Team porte sur plusieurs critères. Voici les principaux :

  • L'objectif à atteindre : alors qu’un test d’intrusion a pour objectif classique d’évaluer un niveau de robustesse et de découvrir un maximum de faiblesses sur un périmètre, l’opération Red Team vise à atteindre des objectifs très précis, souvent issus de risques métiers. On peut citer en exemple « Lire les e-mails du PDG » ou « voler les plans de notre dernier modèle de voiture ».
  • L'effet de surprise : lors d’un test d’intrusion, l’entité et l’équipe informatique savent qu’elles vont être attaquées, où et quand. Lors d’une opération Red Team, l’objectif est également d’évaluer la pertinence ainsi que l’efficacité des mécanismes de défense et de détection en place. Dès lors, les équipes de sécurité ne sont pas prévenues, comme un attaquant réel, la Red Team bénéficie d’un effet de surprise et doit opérer discrètement.
  • Le périmètre et les moyens : alors qu’un test d’intrusion s’opère sur un périmètre restreint et clairement défini (une application, quelques réseaux, une agence précise), l’opération Red Team vise l’entité au sens large et peut utiliser des moyens plus réalistes, incluant intrusion physique ou l'ingénierie sociale (phishing mail/téléphonique).

Vous l'aurez compris, dans les deux cas, la prestation vise dans les grandes lignes à tester les mécanismes de défense en place en prenant la casquette d'un attaquant réel. Mais, des différences importantes sont dans les faits présentes entre ces deux exercices. Ainsi, il est fréquent que les « prestations de Red Team » soient demandées par les entités matures en termes de sécurité, qui ont déjà subi de nombreux audits et tests d'intrusion et qui veulent à présent tester la sécurité de l'entreprise entière dans des conditions très réalistes, et non plus d'un sous-périmètre bien défini de celle-ci.

Cette différence entre le rôle fondamental de la Red Team dans la représentation de la cybersécurité et le contenu d'une prestation de service est donc à garder en tête. À haut niveau dans une entreprise, il est ainsi possible de dire "la red team a compromis notre domaine en 2 jours, puis à déployé en ransomware" alors que la prestation réalisée était un simple test d'intrusion. Cela parce que l'idée est de positionner l'attaquant vis-à-vis de l'entreprise, de décrire sa progression, réelle ou hypothétique, et donc mieux se représenter l'adversaire dans ce jeu du chat et de la souris.

Pour finir, il est assez courant que la simulation d'une cyberattaque pour faire prendre forme à la Red Team passe par une prestation de service, ceci pour plusieurs raisons :

  • Indépendance : engager un prestataire externe pour effectuer la simulation apporte une certaine impartialité et objectivité à l'exercice. Cela permet d'éviter les biais internes et assure une évaluation plus juste des défenses du système d'information.
  • Utilisation en fonction des besoins : il est fréquent que ce genre d'exercice soit réalisé occasionnellement et non de façon continue. Cela permet à l'équipe de sécurité d'avoir le temps de renforcer son système d'information à la suite de l'opération. Ainsi, l'appel à un prestataire permet de planifier et de réaliser l'exercice selon les besoins et les contraintes de l'organisation, sans mobiliser continuellement des ressources internes et en limitant les coûts.
  • Expertise : faire appel à un prestataire spécialisé dans la simulation d'attaques offre l'avantage de bénéficier de l'expertise et de l'expérience accumulées par ses équipes, souvent spécialisées dans le domaine et accumulant de nombreuses expériences.

Cependant, des entreprises peuvent également disposer de leur propre Red Team interne, qui sera en charge de continuellement tester les défenses en place.

B. Quels métiers ?

Que ce soit en interne ou par le biais d'un prestataire de service, être dans une "Red Team" nécessite une expertise certaine en système et réseau, en cybersécurité, mais surtout en hacking (sécurité offensive). Étant donné le rôle joué par la Red Team, il est notamment nécessaire de comprendre et de savoir utiliser les mêmes outils et méthodologies que les attaquants, et donc au passage se maintenir constamment à leur niveau.

Voici, par exemple, la description courte du métier d’auditeur de sécurité technique dans le document "Panorama des métiers de la cybersécurité de l’ANSSI" :

Description du métier d’auditeur de sécurité technique - ANSSI
Description du métier d’auditeur de sécurité technique - ANSSI

Les métiers d’auditeur de sécurité technique, expert en test d'intrusion (pentester), parfois appelé "ethical hacker" (hacker éthique) sont ceux qui composent la Red Team dans le cadre des exercices de simulation de cyberattaque.

IV. Blue team : défenseur

Dans le cadre du concept blue team/red team, la Blue Team représente l’équipe qui est chargée de se défendre contre les attaques potentielles. Dans le domaine de la cybersécurité, la Blue Team est responsable de mettre en place et maintenir la sécurité ainsi que l'intégrité du système d'information de l'entreprise.

En pratique, le rôle de la Blue Team consiste à élaborer, mettre en œuvre la cybersécurité afin de prévenir, détecter et répondre aux menaces. Contrairement à la Red Team qui simule des attaques, la Blue Team est donc chargée de défendre le système en temps réel contre les véritables menaces.

Pour être plus précis, les responsabilités de la Blue Team incluent :

  • Surveillance et détection des menaces : la Blue Team surveille en permanence le système d'information à la recherche d'activités suspectes ou de signes d'intrusion. Elle utilise des outils de détection et sondes tels que les systèmes de détection d'intrusion (IDS) et des EDR (Endpoint Detection & Response) et se base en très grande partie sur les logs/journaux d’évènements pour identifier les comportements anormaux.
  • Réponse aux incidents : en cas de détection d'une menace ou d'une intrusion, la Blue Team est chargée de prendre des mesures immédiates pour contenir et neutraliser la menace. Cela peut inclure l'isolation des systèmes compromis, la restauration des données à partir de sauvegardes, et la coordination avec les autorités compétentes en matière de sécurité.
  • Analyse des vulnérabilités : la Blue Team réalise régulièrement des analyses de vulnérabilité afin d'identifier les faiblesses potentielles dans le système d'information. Le plus souvent, ces analyses peu poussées sont réalisées par des scans automatisés.
  • Renforcement des défenses : sur la base des analyses de vulnérabilité et des incidents précédents, la Blue Team va renforcer les défenses du système d'information. Cela peut inclure la mise en place de pare-feu, la configuration de politiques de sécurité, et la sensibilisation des utilisateurs aux bonnes pratiques de sécurité.

Cette défense peut donc prendre des formes très variées et doit nécessairement inclure la veille informationnelle vis-à-vis des attaques ciblant un secteur d’activité ou un pays en particulier, la sensibilisation des utilisateurs de l’entreprise face au phishing, la surveillance active des journaux d’évènements, etc. À nouveau, ces activités peuvent être menées par les équipes internes de l’entreprise (ce qui est souvent le cas, au moins partiellement), ou de prestations externes.

blue team c'est quoi

A. Prestations de service

Le terme "Blue Team" et moins utilisé que celui de "red team" dans les prestations de service, mais ce terme peut globalement réunir toutes les prestations visant à renforcer la sécurité et la défense d'une entreprise ou d'une organisation. Cela peut inclure :

  • Externalisation de la sécurité : les prestations de service estampillées « blue team » portent le plus souvent sur la mise en place de la cybersécurité au sein d’une entité. Cela peut notamment porter sur la mise en place de solution de sécurité (pare-feu, EDR, solution d’analyse de vulnérabilité,) et leur maintenance.
  • Conseil en sécurité : sur la base des résultats des audits, un prestataire de service fournit des conseils et des recommandations pour renforcer les défenses de l'entreprise et améliorer son niveau sécurité.
  • Formation et sensibilisation : toujours dans l’idée de renforcement de la sécurité, les prestations "blue team" peuvent porter sur des campagnes de formation et de sensibilisation en cybersécurité pour aider les employés à reconnaître et à prévenir les cyberattaques.
  • Surveillance et détection des menaces : les prestations de services de type SOC externalisé peuvent également entrer dans cette catégorie des prestations "blue team". Elles visent à fournir des services de surveillance et de détection des menaces pour aider les entreprises à détecter et à répondre rapidement aux activités suspectes dans leur système d'information.

À l’inverse de la Red Team, les membres d’une Blue Team sont souvent internes à l’entreprise ou y sont présents de manière quasi permanente, puisque le rôle de défenseur ne peut pas être réalisé par intermittence.

B. Quels métiers ?

Que ce soit en interne ou par le biais d'un prestataire de service, être dans une "Blue Team" nécessite une expertise en cybersécurité, une compréhension des réseaux, des systèmes d'exploitation, des applications et des protocoles de sécurité, mais aussi en gestion des risques et en détection des menaces. Les membres de la Blue Team doivent être capables de comprendre les techniques d'attaques actuelles et de mettre en place des défenses efficaces pour protéger le système d'information d’une entreprise. Les principaux métiers associés à la Blue Team incluent :

  • Analyste cybersécurité/SOC : ils sont chargés de surveiller les activités du réseau, d'analyser les journaux d'événements, et de détecter les comportements suspects au sein du système d’information.
  • Ingénieur sécurité systèmes : ils conçoivent, déploient et gèrent les infrastructures de sécurité, y compris les pare-feu, les systèmes de détection d'intrusion (IDS), les systèmes de prévention des intrusions (IPS) et les systèmes de gestion des événements de sécurité (SIEM).
  • Administrateur sécurité : ils sont responsables de la configuration et de la gestion des solutions de sécurité, ainsi que de l'application des politiques de sécurité de l'entreprise.
  • Analyste en réponse aux incidents : ils sont chargés de répondre aux incidents de sécurité, de coordonner les investigations suite à une cyberattaque, et de mettre en œuvre des mesures correctives pour rétablir le système d’information.
  • Consultant en sécurité : ils fournissent des conseils en matière de sécurité, réalisent des évaluations de vulnérabilité et aident les entreprises à mettre en place des politiques de sécurité.

Voici, en exemple, la présentation du métier d’administrateur de solutions de sécurité dans le "Panorama des métiers de la cybersécurité" de l’ANSSI :

Description du métier d’administration de solutions de sécurité - ANSSI.
Description du métier d’administration de solutions de sécurité - ANSSI.

Vous l’aurez compris, il s’agit ici de se défendre ! Les membres de la Blue Team sont essentiels pour maintenir la sécurité et la résilience des systèmes d'information des entreprises.

V. Purple Team : l'hybride

À la différence des deux équipes précédentes, la Purple Team ne trouve pas son origine dans le modèle militaire mentionné en introduction. Ce terme est apparu récemment dans le contexte de la création de nouveaux types de prestations de service visant à renforcer la sécurité des entreprises et vise à faire collaborer Red Team et Blue Team au lieu de les opposer.

A. Prestation de service

Une Purple Team est un exercice qui combine les activités des membres de la Red Team et de la Blue Team afin de mener une analyse en temps réel des capacités de détection face à différents niveaux d'attaques. Cela permet ainsi d'évaluer la capacité de la Blue Team à détecter des opérations plus ou moins discrètes et d’améliorer la détection de ces attaques, d’un point de vue humain et technique.

Lors d'une prestation de type Purple Team, des experts en tests d'intrusion collaborent directement avec la Blue Team pour réaliser certaines attaques que cette dernière est censée détecter. Grâce à l'expertise de la Red Team et à une communication directe entre les deux équipes, l'entreprise est en mesure de déterminer le niveau de sophistication des attaques qu'elle est capable de détecter et les améliorations à apporter.

L'objectif est donc de réunir, autour d'une même table, ceux qui simulent l’attaquant et les défenseurs, et de jouer les attaques sur le système d'information afin d’entraîner les équipes et solutions de détection et d’améliorer leur efficacité.

purple team c'est quoi

B. Quels métiers ?

Naturellement, la Purple Team est composée des différents métiers mentionnés précédemment. Il s'agit simplement d'un cadre de réalisation qui favorise la communication directe entre ces deux équipes, contrairement aux scénarios habituels où les communications sont souvent limitées, voire inexistantes (comme dans le cas d'une prestation de Red Team où la Blue Team n'est pas informée).

V. Conclusion

Nous avons fait le tour des principaux points permettant de comprendre ce qu’est une Blue Team, une Red Team et une Purple Team. Il est essentiel de comprendre que, bien que le terme "Red Team" puisse être utilisé de différentes manières, il représente avant tout une approche d'attaque simulée visant à renforcer la résilience des organisations face aux cyberattaques.

Dans cet article, j’ai mentionné le document des « Panorama des métiers de la cybersécurité » de l’ANSSI, il s’agit d’une source d’information intéressante lorsque l’on souhaite se renseigner sur les métiers très diversifiés de la cybersécurité. Voici le lien du document :

author avatar
Mickael Dorigny Co-founder
Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.