Maxime Nadeau, pirate informatique éthique chez GoSecure, nous fait part de son point de vue sur cette capacité de l’industrie en pleine expansion qui permet d’améliorer rapidement et durablement la sécurité grâce à un engagement collaboratif.

 

En quoi consistent les services « Purple Team »?

Les services « Purple Team » sont un engagement collaboratif où des testeurs de sécurité professionnels travaillent sur les scénarios d’attaques réels en divisant ces activités en étapes et en exécutant ces éléments avec des équipes de sécurité internes. Les services « Purple Team » fonctionnent le mieux en complément d’un solide programme de tests d’intrusion avec des scénarios avancés et à multiples facettes pour tester les capacités de défense et de réponse avec une organisation qui dispose de ressources de sécurité dédiées pouvant bénéficier du partenariat. Un mandat de « Purple Team » permet à une organisation d’identifier les forces et les faiblesses des personnes, des processus et de la technologie dans un environnement sûr, et ce, avant que les menaces ne deviennent une réalité.

 

Pourquoi une organisation envisagerait-elle les services « Purple Team »?

Il y a de nombreuses raisons pour qu’une organisation envisage de faire appel au « Purple Team ». En se basant sur mon expérience, voici quelques-unes des principales raisons :

  • Les organisations veulent voir une amélioration rapide et durable de leur maturité en matière de sécurité – Chez GoSecure, nous nous concentrons sur l’amélioration continue tout au long du mandat dans l’objectif d’élever la maturité de la sécurité pour l’organisation rapidement, mais d’une manière qui sera durable. Nous y parvenons grâce à une approche « Tester, résoudre et tester à nouveau » – et en fournissant autant d’informations que possible aux équipes internes au cours des sessions d’atelier. Avec chaque scénario, nous sommes en mesure d’apporter des ajustements immédiats, de tester à nouveau pour voir s’il y a une amélioration, puis d’apporter d’autres ajustements pour garantir que les défenses et les capacités de réponse soient pleinement optimisées.
  • Les équipes veulent améliorer leurs processus de détection et apprendre de nouvelles techniques pour identifier les vulnérabilités ou mener des activités proactives de chasse aux menaces – L’approche collaborative de l’engagement « Purple Team » offre une occasion unique de former et d’encadrer l’équipe de sécurité de l’organisation. Grâce aux scénarios, nous pouvons déterminer où il peut y avoir des failles dans les compétences et cibler ces domaines pour le transfert de connaissances de nos professionnels certifiés hautement expérimentés et qualifiés. Des sessions de formation visant à combler certaines lacunes observées au cours des activités peuvent être proposées afin de renforcer les capacités des équipes internes.
  • L’équipe de sécurité peut vouloir identifier les domaines d’investissement potentiel et élaborer un dossier qu’elle peut présenter à la direction – Les scénarios d’attaque réels mettent en évidence les failles dans les capacités, les processus et la technologie qui peuvent nécessiter un investissement supplémentaire de la part de l’organisation. Il est important de noter que nous sommes neutres vis-à-vis des fournisseurs, nous pouvons recommander l’ajout de certains outils ou ressources, mais sans toutefois mentionner ce qu’il faut acheter ni où se le procurer. De plus, lors de nos recommandations, nous garderons toujours à l’esprit le budget existant ainsi que les exigences du fournisseur.

 

Quelle est la différence entre un mandat « Purple Team » et un mandat « Red Team »?

Un mandat « Red Team » est un outil important pour les équipes internes qui souhaitent obtenir une évaluation ponctuelle des contrôles de sécurité préventifs, ainsi que des capacités de détection et de réponse, face à des professionnels spécialisés dans la percée des défenses. Lors d’un exercice « Red Team », les professionnels de la sécurité d’une organisation ne savent pas exactement à quoi s’attendre ni quand l’attaque aura lieu. Des professionnels comme l’équipe de GoSecure conçoivent une série d’attaques réelles avec de multiples vecteurs de menace qui, selon nous, ont les meilleures chances de percer les défenses. Pendant les mandats « Red Team », l’équipe de sécurité offensive utilisera des vecteurs de menace techniques, d’ingénierie sociale et physique pour tenter d’accéder à des cibles prédéfinies appelées « Crown Jewels », ou afin d’atteindre les objectifs finaux de l’évaluation. Le client recevra un rapport contenant des recommandations pratiques spécifiques aux risques et aux failles que nous avons découverts. Un an plus tard, si nous effectuons à nouveau des tests pour ce client, nous constaterons probablement une amélioration dans ces domaines. Cependant, il est possible que d’autres faiblesses puissent nous donner l’occasion d’infiltrer à nouveau son environnement.

Les mandats « Purple Team » sont des mandats de collaboration dans lesquelles nos professionnels travaillent avec l’équipe interne sur des scénarios d’attaque réels ou des techniques d’attaque granulaires. Les services « Red Team » et « Purple Team » comprennent tous deux des tests en situation réelle des défenses et des capacités de réaction de l’organisation. La différence réside dans le fait que, dans le cadre d’un mandat « Purple Team », nous adoptons une approche « tester, résoudre, et tester à nouveau » et nous nous concentrons sur la responsabilisation de l’équipe interne. Cela peut se faire par le biais de sessions de formation ou d’exploitations en direct, de chasse à la menace et/ou de création de cas d’utilisation ou de remédiation dans un format de mini-atelier. Le rapport que nous fournissons montre les améliorations que nous avons déjà apportées dans l’environnement du client et comment nous les avons testées à nouveau pour démontrer la maturité de sécurité accrue qui en résulte. Avec les services « Purple Team », l’équipe interne bénéficie du transfert de connaissances de nos professionnels expérimentés qui possèdent les principales certifications de l’industrie et des années d’expérience dans l’identification des menaces avancées.

 

Qu’est-ce qui différencie GoSecure des autres fournisseurs de services « Purple Team »?

Les mandats « Purple Team » de GoSecure sont menés avec des experts en détection, en chasse aux menaces et en sécurité offensive ayant des années d’expérience dans leurs domaines. Cela permet d’identifier des améliorations qui peuvent être mises en œuvre plus rapidement, puisque tous les aspects des attaques et des questions sont couverts pendant les attaques et des questions sont répondues pendant les activités. L’autre élément clé de GoSecure est la flexibilité. Les activités peuvent changer en fonction des observations précédentes, des menaces nouvellement identifiées ou de la chaîne d’outils actuellement utilisée dans l’environnement afin d’offrir la meilleure valeur possible. Si l’équipe interne a besoin de renforcer ses compétences, nous disposons de ressources nécessaires pour offrir un encadrement et une formation dans des domaines tels que la chasse aux menaces.

En outre, l’approche de GoSecure consistant à « tester, remédier, et tester à nouveau » permet de nous assurer que lorsque nous quittons l’organisation, celle-ci est davantage sécurisée qu’en début de mandat. GoSecure tient également compte du budget quotidien et des exigences du client en matière de fournisseurs dans ses recommandations, qui peuvent inclure l’utilisation d’outils gratuits ou open source pour apporter des améliorations.

 

Avez-vous des exemples concrets de résultats positifs lors d’un mandat « Purple Team »?

Un mandat récent « Purple Team » me vient à l’esprit. L’équipe avec laquelle nous travaillons utilisait des “minimal detection use cases “ , des sources d’événements limitées, des problèmes avec leurs pratiques de gestion des identités et des accès (IAM) et aucun programme proactif de chasse aux menaces.

Nous avons commencé par identifier de nouveaux événements qui pourraient être collectés sans changer les technologies en place et nous avons immédiatement offert de la visibilité en créant de multiples cas d’utilisation. Après la mise en œuvre de ces nouvelles recommandations de base, GoSecure a trouvé des occasions d’ajouter des outils à l’environnement et a identifié d’autres cas d’utilisation susceptibles de renforcer les capacités de détection de l’équipe.

Nous avons également mené des activités de formation pour aider à améliorer les capacités IAM de l’équipe et développé une pratique intégrée de chasse proactive aux menaces. Bien que les améliorations se poursuivent, le client a déjà détecté et répondu de manière appropriée à de multiples incidents, et a démontré une amélioration notable par rapport à son dernier mandat « Red Team ».

 

À propos de l’expert : Maxime Nadeau

Maxime Nadeau est un pirate informatique éthique chez GoSecure. Ayant étudié la programmation et l’ingénierie logicielle, il travaille comme professionnel de la cybersécurité depuis cinq ans et a obtenu plusieurs certifications, dont Offensive Security Certified Professional (OSCP) et Pentester Academy Certified Enterprise Security Specialist (PACES). Il s’intéresse à la simulation d’adversaires et à la sécurité physique. Lorsqu’il n’est pas en train de coder de nouveaux outils, on peut le trouver en train de transformer des objets du quotidien en implants de réseaux physiques ou encore à travailler le bois.

Détection et réponse gérées Titan
Antivirus de nouvelle génération
Détection et réponse sur les terminaux
Détection et réponse sur le réseau
Détection et réponse sur les boîtes de messagerie
Détection et réponse face aux menaces internes
Gestion des pare-feu
Gestion des SIEM
La gestion des vulnérabilités en tant que service
GoSecure Titan
Logiciel Titan
Sécurité de la messagerie
Sécurité Web
Boîte à outils «Responder PRO Forensics»
Services professionnels
Services de préparation aux brèches
Les services-conseils personnalisés en cybersécurité
Évaluation de la cybersécurité
Services de réponse aux incidents
Services des équipes « Red & Purple »
Services de tests d'intrusion
Services de conformité et d'audit
Évaluation de la compromission de la sécurité
Technologies tierces

Pin It on Pinterest

Share This