Qu'est-ce que le red teaming ?

7 novembre 2024

5 min de lecture

Auteurs

Evan Anderson

Chief Offensive Strategist, Randori, an IBM Company

Matthew Kosinski

Enterprise Technology Writer

Qu'est-ce que le red teaming ?

Le Red Teaming est un processus visant à tester l'efficacité de la cybersécurité dans le cadre duquel des pirates informatiques éthiques mènent une cyberattaque simulée et non destructive. La simulation d'attaque aide une organisation à identifier les vulnérabilités de son système et à apporter des améliorations ciblées à ses opérations de sécurité.

Aujourd’hui, les cyberattaques se déplacent plus rapidement que jamais. Selon l' IBM X-Force Threat Intelligence Index, le temps nécessaire pour exécuter des attaques de ransomware a diminué de 94 % au cours des dernières années, passant de 68 jours en 2019 à moins de quatre jours en 2023.

Les opérations de red teaming permettent aux organisations de découvrir, de comprendre et de corriger de manière proactive les risques de sécurité avant que les acteurs malveillants ne puissent les exploiter. Les équipes rouges adoptent une optique antagoniste, ce qui peut les aider à identifier les vulnérabilités de sécurité que les véritables attaquants sont les plus susceptibles d'exploiter.

L'approche proactive et contradictoire du red teaming permet aux équipes de sécurité de renforcer les systèmes de sécurité et de protéger les données sensibles, même face à des cybermenaces accrues.

Comment les tests de red teaming sont-ils menés ?

Le travail de red teaming est un type de piratage éthique dans lequel les experts en sécurité imitent les tactiques, les techniques et les procédures (TTP) de véritables pirates informatiques.

Les pirates éthiques ont les mêmes compétences et utilisent les mêmes outils que les pirates malveillants, mais leur objectif est d'améliorer la sécurité du réseau. Les membres de l'équipe rouge et autres pirates éthiques suivent un code de conduite strict. Ils obtiennent l’autorisation des organisations avant de les pirater, et ils ne causent aucun préjudice réel à un réseau ou à ses utilisateurs.

Au lieu de cela, les équipes rouges utilisent des simulations d’attaque pour comprendre comment des pirates malveillants peuvent causer des dommages réels à un système. Au cours d’un exercice de lecture en équipe, les membres de l’équipe rouge se comportent comme s’ils étaient des adversaires du monde réel. Ils tirent parti de diverses méthodologies de piratage, des outils d’émulation de menaces et d’autres tactiques pour imiter les attaquants sophistiqués et les menaces persistantes avancées.

Ces simulations d’attaques permettent de déterminer dans quelle mesure les systèmes de gestion des risques d’une organisation (personnes, processus et technologies) peuvent résister et répondre à différents types de cyberattaques.

Les exercices de red teaming sont généralement limités dans le temps. Un test peut durer entre quelques semaines et un mois ou plus. Chaque test commence généralement par la recherche du système cible, y compris l'information publique, l'intelligence open source et la reconnaissance active.

Ensuite, l’équipe rouge lance des attaques simulées contre différents points de la surface d’attaque du système, en découvrant différents vecteurs d’attaque. En voici les exemples les plus courants :

Lors de ces attaques simulées, les équipes rouges affrontent souvent des équipes bleues, qui agissent comme les défenseurs du système. Les équipes rouges essaient de contourner les défenses de l'équipe bleue en remarquant comment elles s'y prennent. L'équipe rouge enregistre également toutes les vulnérabilités qu'elle découvre et indique ce qu'elle peut y faire. 

Les exercices de red teaming se terminent par une analyse finale, au cours de laquelle l’équipe rouge rencontre les équipes informatiques et de sécurité pour partager ses conclusions et formuler des recommandations sur la résolution des vulnérabilités.

Outils et techniques utilisés dans les missions de red teaming

Les activités de l’équipe rouge utilisent les mêmes outils et techniques que ceux utilisés par les pirates du monde réel pour enquêter sur les mesures de sécurité d’une organisation.

Voici quelques outils et techniques courants de red teaming :

  • Ingénierie socialeutilise des tactiques telles que le phishing, le smishing, le vishing, le phishing ciblé et le whale phishing pour obtenir des informations sensibles ou accéder aux systèmes de l'entreprise auprès d'employés sans méfiance.

  • Tests de sécurité physique : les tests des contrôles de sécurité physique d’une organisation, y compris les systèmes de surveillance et les alarmes.

  • Tests d’intrusion applicatifs : teste les applications web pour détecter les problèmes de sécurité résultant d’erreurs de codage, telles que les vulnérabilités d’injection SQL.

  • Reniflage de réseau :surveille le trafic réseau à la recherche d'informations sur un système informatique telles que les détails de configuration et les identifiants des utilisateurs.

  • Compromission du contenu partagé : ajoute du contenu sur un lecteur réseau ou un autre emplacement de stockage partagé contenant des logiciels malveillants ou d'autres codes dangereux. Lorsqu'il est ouvert par un utilisateur peu méfiant, le code malveillant s'exécute, permettant à l'attaquant de se déplacer latéralement.

  • Forçage brut des identifiants : devine systématiquement les mots de passe en essayant les identifiants des violations précédentes, en testant des listes de mots de passe couramment utilisés ou en utilisant des scripts automatisés.
Homme regardant un ordinateur

Renforcez vos renseignements de sécurité

Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think.

Red teaming automatisé et continu (CART) 

Le red teaming peut contribuer à renforcer la posture de sécurité de l'organisation et à promouvoir la résilience, mais il peut aussi poser de sérieux problèmes aux équipes de sécurité. Deux des plus grands défis sont le coût et la durée de l'exercice de l'équipe rouge.

Dans une organisation classique, les missions de l'équipe rouge ont tendance à se produire périodiquement dans le meilleur des cas, ce qui ne donne qu'un aperçu de la cybersécurité de l'organisation à un moment donné. Le problème est que la posture de sécurité de l'entreprise peut être solide au moment du test, mais ne pas le rester.

Les solutions de red teaming automatisé continu (CART) permettent aux organisations d’évaluer continuellement et en temps réel leur posture de sécurité. Les solutions CART utilisent l'automatisation pour découvrir les actifs, classer les vulnérabilités par ordre de priorité et mener des attaques à l'aide d'outils et d'exploits développés et maintenus par des experts du secteur.

En automatisant une grande partie du processus, CART peut rendre le Red Teaming plus accessible et permettre aux professionnels de la sécurité de se concentrer sur des tests intéressants et novateurs.

Les avantages du red teaming

Les exercices de Red Teaming aident les organisations à obtenir le point de vue d’un attaquant sur leurs systèmes. Cette perspective permet à l'organisation de voir dans quelle mesure ses défenses résisteraient à une cyberattaque réelle.

Une attaque simulée oppose les contrôles de sécurité, les solutions et même le personnel à un adversaire dédié, mais non destructeur, afin de déterminer ce qui fonctionne ou non. Le red teaming peut permettre aux responsables de la sécurité d'évaluer concrètement le niveau de sécurité de leur organisation.

Le red teaming peut aider une organisation à :

  • Identifiez et évaluez les vulnérabilités de la surface d’attaque (les points où un système peut être pénétré) et les chemins d’attaque (les étapes susceptibles d’être suivies lors du début d’une attaque).

  • Évaluez les performances des investissements actuels en matière de sécurité, notamment les capacités de détection, de prévention et de réponse aux menaces, face aux menaces réelles.

  • Identifiez et préparez-vous à des risques de sécurité jusque-là inconnus ou inattendus.

  •  Donnez la priorité à l'amélioration des systèmes de sécurité.

Équipes rouges contre équipes bleues contre équipes violettes

Les équipes rouges, les équipes bleues et les équipes violettes travaillent ensemble pour améliorer la sécurité informatique. Les équipes rouges mènent des attaques simulées, les équipes bleues jouent un rôle défensif et les équipes violettes facilitent la collaboration entre les deux. 

Équipes rouges

Les équipes rouges sont composées de professionnels de la sécurité qui testent la sécurité d'une organisation en imitant les outils et les techniques utilisés par des attaquants réels.

L'équipe rouge tente de contourner les défenses de l'équipe bleue tout en évitant la détection. L'objectif de l'équipe est de comprendre comment une violation de données ou une autre action malveillante pourrait réussir contre un système particulier.

Les équipes bleues

Les équipes bleues sont les équipes de sécurité informatique internes qui défendent le système d'une organisation et ses données sensibles contre les pirates informatiques, y compris les équipes rouges.

Les équipes bleues travaillent constamment à l'amélioration de la cybersécurité de leur organisation. Leurs tâches quotidiennes incluent la surveillance des systèmes pour détecter les signes d’intrusion, l’enquête sur les alertes et la réponse aux incidents.

Équipes violettes

Les équipes violettes ne sont pas des équipes distinctes, mais plutôt un processus de partage coopératif qui existe entre les membres de l'équipe rouge et ceux de l'équipe bleue.

Les membres de l'équipe rouge et de l'équipe bleue travaillent tous deux à l'amélioration de la sécurité de l'organisation. Le rôle de l'équipe violette est d'encourager une communication et une collaboration efficaces entre les deux équipes et avec les parties prenantes.

L'équipe violette propose souvent des stratégies d'atténuation et contribue à l'amélioration continue des deux équipes et de la cybersécurité de l'organisation.

Tests d’intrusion vs. red teaming

Le red teaming et les tests d'intrusion, également appelés tests d'intrusion, sont des méthodes distinctes mais qui se chevauchent pour évaluer la sécurité des systèmes. 

Similaires au red teaming, les tests de pénétration utilisent des techniques de piratage pour identifier les vulnérabilités exploitables d'un système. La principale différence réside dans le fait que l'équipe rouge est davantage basée sur des scénarios.

Les exercices de l’équipe rouge se déroulent souvent dans un laps de temps spécifique et opposent généralement une équipe rouge offensive à une équipe bleue défensive. L’objectif est d’imiter le comportement d’un adversaire réel.

Les tests d’intrusion s’apparentent plus à une évaluation de sécurité traditionnelle. Les testeurs d’intrusions utilisent différentes techniques de piratage sur un système ou un actif pour voir lesquels fonctionnent et lesquels ne fonctionnent pas.

Les tests d’intrusion peuvent aider les organisations à identifier les vulnérabilités potentiellement exploitables d’un système. Le red teaming peut aider les organisations à comprendre comment leurs systèmes, y compris les mesures de défense et les contrôles de sécurité, fonctionnent dans un contexte de cyberattaques réelles.

Il convient de noter que les tests d'intrusion et le red teaming ne sont que deux des moyens par lesquels les hackers éthiques peuvent contribuer à améliorer la posture de sécurité des organisations. Les pirates éthiques pourraient également effectuer des évaluations de vulnérabilité, des analyses de logiciels malveillants et d’autres services de sécurité de l’information.

Solutions connexes
Solutions de sécurité d’entreprise

Transformez votre programme de sécurité avec le portefeuille de solutions le plus complet.

Découvrir les solutions de cybersécurité
Services de cybersécurité

Transformez votre entreprise et gérez les risques avec des services de conseil en cybersécurité, de cloud et de sécurité gérée.

 

    Découvrir les services de cybersécurité
    Cybersécurité et intelligence artificielle (IA)

    Accélérez et précisez le travail des équipes de sécurité, et rendez-les plus productives grâce à des solutions de cybersécurité cyberalimentées par l’IA.

     

    Découvrir AI cybersecurity
    Passez à l’étape suivante

    Que vous ayez besoin de solutions de sécurité des données, de gestion des points de terminaison ou de gestion des identités et des accès (IAM), nos experts sont prêts à travailler avec vous pour atteindre une excellente posture de sécurité. Transformez votre entreprise et maîtrisez vos risques avec un leader mondial de la cybersécurité, du cloud et des services de sécurité gérés.

    Découvrir les solutions de cybersécurité Découvrir les services de cybersécurité