lun. 10 Fév.
Paroles d'experts
Depuis plus de 10 ans, les opérations de Red Team sont déployées par de nombreuses organisations, selon différentes approches, pour répondre à des objectifs variés qui divergent parfois de leur rôle premier. Ces simulations offensives jouent maintenant un rôle essentiel dans l’évaluation des défenses mises en place par la Blue Team, en testant leur capacité de détection et de réaction.
Toutefois, les solutions de Breach and Attack Simulations (BAS) sont aujourd’hui un complément stratégique aux Red Teams. Dans une approche Purple Team, l’automatisation et la diversité des attaques permettent une couverture plus large et une exécution plus fréquente des tests de sécurité, pour tester plus efficacement et plus régulièrement la défense. Ainsi, les BAS ne remplacent pas les Red Teams, mais amplifient leur impact en assurant une validation continue de la posture de défense et en rendant les investigations plus réactives et efficaces.
Objectif et évolution des Red Teams
Les opérations de Red Team reproduisent des attaques réalistes en adoptant le point de vue d’un adversaire avancé afin de tester la posture de sécurité globale d’une organisation. Leur objectif principal n’est pas d’exploiter un maximum de failles, mais de valider si une menace avancée pourrait atteindre ses cibles sans être détectée.
Historiquement, elles se concentraient sur l’obtention de trophées (emails de la Direction, rapports financiers, documents RH, données issues d’activité R&D sensibles, etc.), attestant ainsi de la faisabilité de l’attaque. Pour y parvenir, la Red Team identifie des chemins d’attaque exploitables et contourne les mécanismes de protection. Son approche est résolument offensive, comme le suggère son nom.
Cependant, face à la raréfaction des ressources et à l’augmentation exponentielle des vulnérabilités, il devient difficile d’identifier et de corriger une à une chaque faille de sécurité. La croissance de la surface d’attaque – due à l’essor des logiciels, à la complexité croissante des systèmes et à la pression pour innover rapidement – limite l’efficacité de cette approche traditionnelle. Elle reste pertinente, mais doit être complétée par d’autres méthodes avec une vision plus large. Si l’on considère qu’un adversaire a toujours une chance de tirer profit d’une faille, il est impératif de se placer sur l’étape d’après : optimiser la détection et la neutralisation des attaques. Cette mission relève de la Blue Team. Le lien entre Red et Blue Teams est donc essentiel : mener des attaques pour évaluer et améliorer l’efficacité des défenses !
Facteurs influençant l’efficacité des Red Teams
L’efficacité des actions de Red Team dépend fortement de la compétence de l’équipe qui les mène et de l’objectif qui leur est assigné. Ce constat soulève plusieurs remarques :
Un fort accent sur la furtivité
De nombreuses Red Team privilégient une approche furtive, selon l’adage souvent entendu : « Une Red Team bien menée est une Red Team non détectée ». Les « Red Teamers » cherchent donc à rester discrets et à rendre leurs actions difficiles à repérer. Cependant, toutes les organisations ne disposent pas d’une capacité de détection suffisante pour relever ce défi. Il est donc crucial d’adapter l’intensité du bruit généré, afin d’évaluer chaque défense dans des conditions appropriées. Une approche progressive permet ainsi de valider les détections face à des signaux standards avant d’augmenter la furtivité. Les solutions automatiques sont donc ici un allier de poids car elles offrent d’avantage de granularité sur l’intensité et les paramètres d’exécution des attaques.
Des chemins d’attaque très directs
Contrairement aux solutions automatisées qui testent plusieurs variantes d’une attaque, la Red Team suit un chemin précis, s’adaptant uniquement lorsqu’un obstacle l’empêche de progresser. Une fois son objectif atteint, elle met en évidence des failles ciblées et localisées, offrant ainsi des pistes de correction précises. Toutefois, un attaquant réel pourrait emprunter un autre chemin, ce qui signifie que les vulnérabilités découvertes ne couvrent pas nécessairement tous les scénarios d’attaque possibles. En complément de cette approche manuelle, les solutions automatiques de BAS permettent de tester rapidement plusieurs variantes d’une attaque et de comparer immédiatement l’efficacité de la détection de chacune d’elles.
Un penchant pour l’ingénierie sociale
Certaines opérations de Red Team se concentrent davantage sur l’ingénierie sociale que sur des pratiques techniques. Or, son expertise est plutôt recherchée pour traiter des sujets techniques complexes correspondant à des comportements d’adversaires avancés ; et ainsi identifier des faiblesses qui ne se limitent pas à un collaborateur cliquant sur un PDF malveillant reçu par email. La composante humaine reste un facteur critique, mais elle mérite d’être adressée différemment.
Des contraintes d’optimisations budgétaires
Une Red Team, bien qu’outillée, est réalisée par des intervenants humains. Le temps passé est donc un facteur clé, que les intervenants cherchent à optimiser. Cette approche manuelle impose certaines contraintes : elle nécessite une planification rigoureuse, des ressources qualifiées et un temps d’exécution significatif. Ce mode de fonctionnement, ponctuel, ne permet pas non plus de rejouer aisément une campagne de Red Team pour mesurer les évolutions des défenses déployées. Les solutions de BAS qui automatisent des tests en continu et à grande échelle s’affranchissent de cette limite. Il est ainsi plus simple et moins couteux de procéder régulièrement à des tests de contrôle.
Vers une approche hybride
Les solutions de BAS automatisent l’attaque (Red) au bénéfice de la défense (Blue). Elles s’inscrivent donc dans une démarche complète de Purple Team qui vise à évaluer et améliorer les capacités de détection et de réaction, mais aussi à entraîner les équipes de SOC & CERT dans leurs tâches d’investigation et d’intervention. Comme le souligne le magazine MISC dans son hors-série n°31 : « La Purple Team est certainement bénéfique pour améliorer rapidement la capacité du SOC à détecter la Red Team et mieux comprendre le déroulé des attaques ». Au-delà de la coopération entre ces équipes dédiées à la cyber-sécurité, les exercices menés avec des BAS renforcent également les processus et réflexes avec les autres acteurs de l’IT, rendant les neutralisations d’attaques plus rapides et efficaces.
En déployant une approche Purple Team complète, les BAS complètent les Red Team et permettent d’optimiser les contraintes budgétaires en automatisant les actions. Cette automatisation améliore la régularité et la profondeur des tests de sécurité tout en allégeant la charge des équipes humaines. En fin de compte, cette synergie renforce l’efficacité globale de la sécurité et la capacité de résilience des organisations face aux menaces modernes.
