Red Team, Blue Team, Purple Team : Quelles différences et rôles en cybersécurité ?
Présentation
Dans cet article, nous allons expliquer et démystifier des termes très utilisés aujourd’hui dans le domaine de la cybersécurité : Red Team, Blue Team et Purple Team.
Nous allons voir ensemble ce qui se cache précisément derrière ces trois termes, d’où ils viennent et pourquoi ils sont utilisés aujourd’hui.
Je veillerai notamment à détailler le rôle exact qu’à chacune des “team” vis-à-vis de la gestion de la cybersécurité au sein d’une entité. Ainsi, qu’à présenter des exemples concrets de métiers qui se rapportent à chacune d’entre elles.
Nous verrons d’ailleurs que les concepts fondamentaux sont à mettre en relief avec les noms donnés à certaines prestations de service qui, au risque parfois de les déformer, utilisent souvent ces différentes appellations.
Un concept né pendant la guerre froide
Comme beaucoup de concepts, noms et idées du domaine de la cybersécurité, l’idée de Red Team et de Blue Team provient du domaine militaire. C’est dans les années 1960 que ce concept émerge, notamment dans le cadre de la guerre froide, qui voit s’opposer les deux blocs : L’Union soviétique (couleur dominante : rouge) et les États-Unis (bleu). Il s’agit alors et depuis d’une représentation classique de deux camps qui s’affrontent, les rouges étant classiquement les méchants adversaires et les bleus, les gentils défenseurs.
Depuis et encore aujourd’hui, on retrouve cette représentation de l’opposition bleue/rouge dans de nombreux domaines comme les jeux vidéo, le sport, les bords politiques, etc.
Au-delà de la couleur, le besoin était, et est toujours aujourd’hui, de devoir donner une forme plus concrète aux camps qui s’opposent. Cela notamment afin de pouvoir physiquement représenter un adversaire, et donc le rendre plus réel, pouvoir le nommer même s’il n’est pas clairement identifié, etc.
La Red Team : l’attaquant
D’après ce concept issu des années 1960, la Red Team représente l’adversaire, celui qui a des intentions malveillantes à l’égard d’une entité et contre lequel celle-ci doit se protéger. Dans le domaine de la cybersécurité, l’équipe rouge (Red Team) représente donc l’attaquant. Elle permet de se représenter le cyberattaquant de manière plus ou moins concrète en fonction des exercices.
Dans les faits, la logique d’attaque/défense suppose que les mécanismes de défense que l’on met en place soient testés, de façon hypothétique, c’est-à-dire en formulant des hypothèses (et si l’attaquant vol ce mot de passe ?), ou de manière réaliste et concrète (simulation d’une attaque). Dans ce contexte, c’est la Red Team qui représente, simule et joue le rôle de l’adversaire, donc du cyberattaquant.
Pour être plus précis, le rôle de la Red Team est d’attaquer le système d’information d’une entreprise afin de tester, évaluer et contourner les défenses mises en place. Elle doit enfiler la casquette (et donc réutiliser les outils, la méthodologie, les pratiques) d’un attaquant réel et “faire comme si” en étant le plus réaliste possible.
La Blue Team : défenseur
Dans le cadre du concept Blue Team/Red Team, la Blue Team représente l’équipe qui est chargée de se défendre contre les attaques potentielles. Dans le domaine de la cybersécurité, la Blue Team est responsable de mettre en place et maintenir la sécurité ainsi que l’intégrité du système d’information de l’entreprise.
En pratique, le rôle de la Blue Team consiste à élaborer, mettre en œuvre la cybersécurité afin de prévenir, détecter et répondre aux menaces. Contrairement à la Red Team qui simule des attaques, la Blue Team est donc chargée de défendre le système en temps réel contre les véritables menaces.
Les responsabilités de la Blue Team incluent la surveillance et détection des menaces, la réponse aux incidents, l’analyse des vulnérabilités et le renforcement des défenses du système d’information.
Source : www.it-connect.fr
