Pentest – Test d’intrusion BLUE TEAM

S’assurer de la sécurité informatique de son système d’information doit être une priorité pour toute entreprise. Le test d’intrusion, aussi nommé pentest, est un outil puissant pour déceler les failles dans la sécurité d’un système. Il existe plusieurs approches pour réaliser un pentest. La Red Team va utiliser tous les moyens possibles pour mener à bien une cyberattaque de l’extérieur et compromettre le système. La Blue Team, complémentaire, va quant à elle s’atteler à identifier les risques de l’intérieur afin de mettre en place les contre-mesures défensives nécessaires.

Qu’est-ce qu’un test d’intrusion Blue Team ?

Comme le pentest Red Team, le test d’intrusion Blue Team a pour objectif d’évaluer la sécurité informatique d’une entreprise et d’en identifier les vulnérabilités.

Cependant, contrairement à la Red Team qui va tenter de compromettre le système depuis l’extérieur sans en connaître l’architecture, la Blue Team va agir de l’intérieur. L’équipe Blue Team est donc intégrée à l’entreprise et a accès à l’ensemble de l’infrastructure informatique ainsi qu’aux documentations existantes.

C’est en exploitant ces connaissances que l’équipe chargée du test d’intrusion Blue Team va être capable d’identifier les faiblesses du système et les risques associés. L’objectif va être alors de renforcer la sécurité des applications et du système informatique en général de façon à mieux résister en cas de cyberattaque réelle.

Pourquoi utiliser un test d’intrusion Blue Team ?

Le test d’intrusion Blue Team, réalisé à l’intérieur de l’entreprise, va permettre de repérer d’éventuelles failles qui ne sont pas forcément visibles de l’extérieur. Mais ce n’est pas parce qu’elles ne sont pas visibles qu’elles ne sont pas dangereuses, au contraire. Un hacker malveillant qui parviendrait à pénétrer le système pourrait utiliser l’une de ces failles pour aller plus vite et plus loin, et donc faire encore plus de dégâts.

La Blue Team va donc recueillir des données sur le fonctionnement interne de l’entreprise. Cela passe par le matériel, l’infrastructure réseau, les applications… mais également par les habitudes de travail du personnel. Vous pouvez par exemple instaurer une politique de mot de passe très stricte, si les employés ont l’habitude de les conserver sur un post-it à côté de leur poste de travail ou dans un fichier non protégé, tous ces efforts seront vains.

Le déroulement du test d’intrusion Blue Team

La première étape va consister à rassembler un maximum d’informations. Un état des lieux le plus exhaustif possible des données stockées et utilisées par l’entreprise va être fait. Une fois cet inventaire fait, la Blue Team, en collaboration étroite avec la direction et les décideurs de façon générale, va classer les données en fonction de leur criticité et de leur valeur pour l’entreprise. Les données les plus critiques vont devoir naturellement être protégées en priorité. Mais il est impossible d’attribuer un même niveau de sécurité à toutes les informations. Pour estimer la criticité d’une donnée, la Blue Team va déterminer l’impact sur l’entreprise de sa perte. Si l’entreprise peut difficilement se passer de ses données comptables, de la liste de ses clients et des projets, ce n’est pas le cas par exemple de son site web. Un site web piraté est problématique en termes d’image, mais s’il a été normalement isolé, cela ne devrait pas causer de gros dégâts et pouvoir être facilement réparé. Une analyse coût/bénéfice permet généralement de déterminer les priorités.

Une fois les données critiques identifiées, le risque calculé et les priorités données, la Blue Team va pouvoir construire un plan d’actions. Les actions proposées sont destinées à mettre en place des contrôles et des contre-mesures afin de réduire les risques en cas de cyberattaque.

Qu’obtient-on à l’issue d’un test d’intrusion Blue Team ?

L’audit de sécurité lié à un test d’intrusion Blue Team va conduire l’entreprise à renforcer ses défenses et améliorer la sécurité de son système informatique. La mise en œuvre du plan d’actions préconisé va dépendre des décisions prises par l’entreprise et du budget qu’elle est prête à y consacrer. Les mesures à prendre concernent aussi bien le matériel et les logiciels que la formation du personnel.

Au-delà des constats et des actions mises en place, la Blue Team va devoir constamment s’assurer que les protections du système d’information restent efficaces face aux nouvelles technologies émergentes. Des exercices réguliers vont être réalisés de façon à s’en assurer.

Il est intéressant de noter que le pentest Blue Team est complémentaire du test d’intrusion Red Team. L’offensive d’une Red Team peut permettre de vérifier l’efficacité des mesures de sécurité mises en place par la Blue Team. La Blue Team peut ou non être au courant d’un test d’intrusion Red Team en cours. C’est un excellent moyen de tester un scénario en situation réelle. La Red Team tente une cyberattaque de l’extérieur et la Blue Team doit la détecter et la contrer.