Le travail en équipe bleue consiste à créer et à protéger un environnement de sécurité et à réagir aux incidents qui menacent cet environnement. Les opérateurs de cybersécurité de l’équipe bleue sont capables de surveiller l’environnement de sécurité qu’ils protègent pour détecter les vulnérabilités, qu’elles soient préexistantes ou induites par les attaquants. Les membres de l’équipe bleue gèrent les incidents de sécurité et utilisent les enseignements tirés pour renforcer l’environnement contre de futures attaques.
Pourquoi les équipes bleues sont-elles importantes ? Quels rôles jouent-elles réellement ?
Pourquoi les équipes bleues sont-elles importantes ?
Les produits et services basés sur la technologie ne sont pas à l’abri des cyberattaques. Il incombe tout d’abord aux fournisseurs de technologie de protéger leurs utilisateurs contre les cyberattaques internes ou externes susceptibles de compromettre leurs données ou leurs actifs. Les utilisateurs de la technologie partagent également cette responsabilité, mais ils ne peuvent pas faire grand-chose pour défendre un produit ou un service dont la sécurité laisse à désirer.
Les utilisateurs ordinaires ne peuvent pas engager un département d’experts en informatique pour concevoir des architectures de sécurité ou mettre en œuvre des fonctionnalités qui renforcent leur propre sécurité. C’est la responsabilité fiduciaire d’une entreprise qui s’occupe du matériel et de l’infrastructure du réseau.
Les organismes de réglementation tels que le National Institute of Standards and Technology (NIST) jouent également un rôle. Le NIST, par exemple, conçoit des cadres de cybersécurité que les entreprises utilisent pour s’assurer que les produits et services informatiques répondent aux normes de sécurité.
Tout est connecté
Tout le monde se connecte à l’internet par le biais d’infrastructures matérielles et de réseau (pensez à votre ordinateur portable et au Wi-Fi). Les communications et les entreprises importantes reposent sur ces infrastructures, de sorte que tout est connecté. Par exemple, vous prenez et enregistrez des photos sur votre téléphone. Vous sauvegardez ces fichiers dans le nuage. Plus tard, les applications de médias sociaux sur votre téléphone vous aident à partager des moments avec votre famille et vos amis.
Les applications bancaires et les plateformes de paiement vous permettent de régler vos achats sans avoir à faire la queue à la banque ou à envoyer un chèque, et vous pouvez déclarer vos impôts en ligne. Tout cela se passe sur des plateformes auxquelles vous vous connectez par l’intermédiaire d’une technologie de communication sans fil intégrée dans un téléphone ou un ordinateur portable.
Si un pirate informatique parvient à compromettre votre appareil ou votre réseau sans fil, il peut voler vos photos privées, vos données de connexion bancaire et vos documents d’identité. Il peut même se faire passer pour vous et voler des informations aux personnes de votre entourage. Il peut ensuite vendre ce trésor d’informations volées à d’autres pirates ou vous demander une rançon.
Pire encore, le cycle ne s’arrête pas avec un seul piratage. Le fait d’être victime d’un piratage ne signifie pas que les autres attaquants vous éviteront. Il y a de fortes chances que cela fasse de vous un aimant. Il est donc préférable d’empêcher les attaques de commencer. Et si la prévention ne fonctionne pas, il est important de limiter les dégâts et de prévenir les attaques futures. De votre côté, vous pouvez limiter l’exposition à l’aide d’une sécurité à plusieurs niveaux. L’entreprise délègue la tâche à son équipe bleue.
Les acteurs de l’équipe bleue
L’équipe bleue est composée d’opérateurs de sécurité techniques et non techniques ayant des rôles et des responsabilités spécifiques. Mais, bien sûr, les équipes bleues peuvent être si grandes qu’il existe des sous-groupes de plusieurs opérateurs. Parfois, les rôles se chevauchent. Les exercices opposant l’équipe rouge à l’équipe bleue font généralement intervenir les acteurs suivants :
- L’équipe bleue planifie les opérations de défense et attribue les rôles et les responsabilités aux autres opérateurs de la cellule bleue.
- La cellule bleue est composée d’opérateurs qui assurent la défense.
- Les agents de confiance sont des personnes qui sont au courant de l’attaque ou qui ont même engagé l’équipe rouge. Malgré leur connaissance préalable de l’exercice, les agents de confiance sont neutres. Les agents de confiance ne se mêlent pas des affaires de l’équipe rouge et ne conseillent pas les défenses.
- La cellule blanche est composée d’opérateurs qui jouent le rôle de tampon et assurent la liaison avec les deux équipes. Ce sont des arbitres qui veillent à ce que les activités de l’équipe bleue et de l’équipe rouge ne causent pas de problèmes involontaires en dehors du champ d’engagement.
- Les observateurs sont des personnes dont le travail consiste à regarder. Ils regardent l’engagement se dérouler et notent leurs observations. Les observateurs sont neutres. Dans la plupart des cas, ils ne savent même pas qui fait partie de l’équipe bleue ou de l’équipe rouge.
- L’équipe rouge est composée d’opérateurs qui lancent un assaut sur l’architecture de sécurité ciblée. Leur travail consiste à trouver des vulnérabilités, à percer des trous dans la défense et à essayer de déjouer l’équipe bleue.
Quels sont les objectifs de l’équipe bleue ?
Les objectifs d’une équipe bleue dépendent de l’environnement de sécurité dans lequel elle se trouve et de l’état de l’architecture de sécurité de l’entreprise. Cela dit, les équipes bleues ont généralement quatre objectifs principaux.
- Identifier et contenir les menaces.
- Éliminer les menaces.
- Protéger et récupérer les biens volés.
- Documenter et examiner les incidents afin d’affiner la réponse aux menaces futures.
Comment fonctionne l’équipe bleue ?
Dans la plupart des entreprises, les opérateurs de l’équipe bleue travaillent dans un centre d’opérations de sécurité (SOC). C’est dans ce centre que les experts en cybersécurité gèrent la plateforme de sécurité de l’entreprise et qu’ils surveillent et traitent les incidents de sécurité. C’est également au sein du SOC que les opérateurs assistent le personnel non technique et les utilisateurs des ressources de l’entreprise.
Prévention des incidents
L’équipe bleue est chargée de comprendre et de créer une carte de l’étendue de l’environnement de sécurité. Elle note également tous les actifs de l’environnement, leurs utilisateurs et l’état de ces actifs. Forte de ces connaissances, l’équipe met en place des mesures pour prévenir les attaques et les incidents.
Parmi les mesures mises en œuvre par les opérateurs de l’équipe bleue pour prévenir les incidents, citons la définition des privilèges d’administration. De cette manière, les personnes non autorisées n’ont pas accès aux ressources qu’elles ne devraient pas avoir en premier lieu. Cette mesure est efficace pour limiter les mouvements latéraux si un attaquant parvient à entrer.
Outre la restriction des privilèges d’administration, la prévention des incidents comprend également le cryptage intégral des disques, la mise en place de réseaux privés virtuels, de pare-feu, de connexions sécurisées et d’authentification. De nombreuses équipes bleues mettent également en œuvre des techniques de déception, des pièges installés avec des actifs factices pour attraper les attaquants avant qu’ils ne causent des dommages.
Réponse aux incidents
La réponse à un incident fait référence à la manière dont l’équipe bleue détecte, traite et récupère une violation. Plusieurs incidents déclenchent des alertes de sécurité et il n’est pas possible de répondre à chacun d’entre eux. L’équipe bleue doit donc établir un filtre pour déterminer ce qui est considéré comme un incident.
Généralement, elle le fait en mettant en place un système de gestion des informations et des événements de sécurité (SIEM). Les SIEM informent les opérateurs de l’équipe bleue lorsque des événements de sécurité, tels que des connexions non autorisées associées à des tentatives d’accès à des fichiers sensibles, se produisent. En général, dès qu’un SIEM est notifié, un système automatisé examine la menace et fait appel à un opérateur humain si nécessaire.
Les opérateurs de l’équipe bleue répondent généralement aux incidents en isolant le système qui a été compromis et en éliminant la menace. La réponse à l’incident peut consister à désactiver toutes les clés d’accès en cas d’accès non autorisé, à publier un communiqué de presse lorsque l’incident affecte les clients et à diffuser un correctif. Plus tard, l’équipe procède à un audit judiciaire après une violation afin de recueillir des preuves qui permettront d’éviter qu’une telle situation ne se reproduise.
Modélisation des menaces
La modélisation des menaces consiste pour les opérateurs à utiliser des vulnérabilités connues pour simuler une attaque. L’équipe élabore un cahier des charges pour répondre aux menaces et communiquer avec les parties prenantes. Ainsi, lorsqu’une attaque réelle se produit, l’équipe bleue dispose d’un plan qui lui permet de hiérarchiser les actifs ou d’allouer des ressources humaines à la défense. Bien entendu, les choses se déroulent rarement comme prévu. Néanmoins, le fait de disposer d’un modèle de menace aide les opérateurs de l’équipe bleue à garder une vue d’ensemble.
Une équipe bleue solide est proactive
Le travail des opérateurs de l’équipe bleue garantit la sécurité de vos données et vous permet d’utiliser la technologie en toute sécurité. Toutefois, en raison de l’évolution rapide du paysage de la cybersécurité, une équipe bleue ne peut pas prévenir ou éliminer toutes les menaces. Elle ne peut pas non plus durcir un système à l’excès, car il pourrait devenir inutilisable. Ce qu’elle peut faire, c’est tolérer un niveau de risque acceptable et travailler avec l’équipe rouge pour améliorer continuellement la sécurité.