Le « purple teaming » : 1+1 = 3
Les avantages d'une stratégie combinée offensive-défensive en cybersécurité
Bruxelles, le 9 septembre 2022 - Bien que le purple teaming – une combinaison d’attaque et de défense – ne soit pas un concept nouveau en cybersécurité, la méthode est encore relativement peu répandue. Un constat surprenant à une époque où la menace des pirates informatiques est permanente et devient chaque jour plus sophistiquée et dangereuse, souligne Erik Van Buggenhout, co-fondateur et associé chez NVISO, instructeur senior au SANS Institute. « Car si aucune approche n’est infaillible, mais une stratégie mixte offre la meilleure protection possible contre les attaques en ligne. »
Le « purple teaming » est une expression militaire à l’origine, et fait référence à une combinaison de stratégies offensives (Red Team) et défensives (Blue Team). Associées, elles offrent l’approche la plus complète possible pour évaluer la résistance des systèmes et employés d’une organisation à toutes sortes de cyberattaques, en identifiant les tentatives d'attaque qui ont été repoussées avec succès et celles qui auraient permis une intrusion.
Si le purple teaming est aussi utile pour prévenir les cyberattaques, c’est parce que cette approche combinée donne une meilleure idée de la réaction d’une organisation en cas d’attaque réelle, et montre clairement quelles mesures prendre pour prévenir les intrusions. Elle est donc plus intéressante qu’une approche exclusivement offensive, ou « rouge », car elle vise spécifiquement à améliorer le système avant d’essayer de le hacker. Or, c’est là une étape essentielle que trop d’organisations et d’entreprises sautent encore.
Un état d'esprit permanent aux avantages clairs
Plus qu’une véritable équipe composite, le purple teaming est idéalement principalement un échange permanent entre le rouge et le bleu, consistant à réunir la matière grise des deux équipes dans le même but : armer au mieux l’organisation contre les cyberpirates. En combinant les connaissances et tactiques défensives d’une part et les informations recueillies sur les menaces et les vulnérabilités d’autre part, les deux équipes peuvent se renforcer mutuellement pour assurer à l’organisation une protection optimale.
Concrètement, en unissant leurs forces, les deux équipes auront une meilleure compréhension de leur mode de fonctionnement respectif, ce qui leur permettra de mieux faire face à la partie adverse et de mieux évaluer sa façon de penser, afin d’anticiper ses éventuelles actions. Dans une étape suivante, on peut même penser à la façon dont les attaquants adapteraient leurs tactiques, lorsqu’ils remarquent que leurs attaques sont repoussées ou comprennent comment œuvrent les défenseurs.
Le purple teaming offre ainsi des capacités de simulation avancées, obligeant constamment les membres des deux équipes à réfléchir à de nouvelles techniques, méthodes et procédures. Elles actualisent donc sans cesse leurs connaissances sur les nouvelles menaces et comment les contrer : c’est une formation permanente à l’anticipation.
Pas de scénarios hypothétiques, mais des résultats et un impact réels
Autre avantage non négligeable : une approche de purple teaming combinée permet aux équipes d’établir conjointement un état détaillé de la situation actuelle de l’organisation en matière de sécurité, basé sur des résultats réels et non sur des scénarios hypothétiques. Cela rend les choses beaucoup plus concrètes et compréhensibles, ce qui assure une meilleure compréhension au sein de l’organisation. La communication avec le conseil d’administration est également facilitée, car les menaces et leur impact potentiel peuvent être démontrés de manière beaucoup plus tangible. Il est alors beaucoup plus facile de mobiliser et justifier les ressources nécessaires, ce qui favorise l’innovation.
Le constat est clair : avec le purple teaming, le tout est (beaucoup) plus que la somme de ses parties. Qu’attend votre organisation ?
Erik Van Buggenhout est co-fondateur et associé chez NVISO et instructeur senior au SANS Institute, la référence globale par excellence en formation et certification cybersécurité.
À propos du SANS Institute
Le SANS Institute, organisme coopératif de recherche et d’éducation, a été créé en 1989. Aujourd’hui, SANS est le fournisseur le plus fiable et de loin le plus important de formation et de certification en cybersécurité pour les professionnels des institutions gouvernementales et commerciales du monde entier. Des formateurs SANS de renom dispensent plus de 60 cours lors d’événements de cybersécurité en personne et virtuels, ainsi que sur demande.
Le GIAC, affilié à l’institut SANS, valide les compétences des praticiens par plus de 35 certifications pratiques et techniques en cybersécurité, et fournit l’assurance la plus élevée et la plus rigoureuse des connaissances et compétences en cybersécurité au niveau mondial. Le SANS Technology Institute, une filiale indépendante accréditée au niveau régional, offre des diplômes de Master et de licence, des certificats d’études supérieures et un certificat de premier cycle en cybersécurité. SANS Security Awareness, une division de SANS, fournit aux organisations une solution complète de sensibilisation à la sécurité, leur permettant de gérer leur risque « humain » de cybersécurité de manière simple et efficace. SANS fournit également de nombreuses ressources gratuites à la communauté InfoSec, y compris des projets de consensus, des rapports de recherche, des webcasts, des podcasts et des bulletins d’information. L’organisation exploite également le système d’alerte précoce d’Internet, baptisé « Internet Storm Center ».
SANS est centrée sur les nombreux professionnels de la sécurité, représentant diverses organisations internationales, des entreprises aux universités, qui œuvrent ensemble pour soutenir et éduquer la communauté mondiale de la sécurité de l’information. www.sans.org
Paul Geens