Toujours dans le but d’améliorer la sécurité du système d’information, le test d’intrusion Purple Team fera le lien entre les approches Red Team et Blue Team. L’objectif de la Purple Team ne sera pas seulement de mener des actions offensives comme une Red Team et défensives comme une Blue Team, mais aussi de les mener en collaboration avec la Blue Team afin de l’entraîner.
Qu’est-ce qu’un test d’intrusion Purple Team ?
Le test d’intrusion Purple Team consiste à mener des actions offensives contre le système d’information de l’entreprise, en collaboration avec la Blue Team, de façon à l’aider à s’améliorer et à affiner ses outils et ses méthodes de détection.
La Purple Team va également collaborer avec la Red Team de façon à l’aider à améliorer et à affiner ses méthodes d’attaque. Des scénarii d’attaque vont être mis en place, avec une définition des objectifs attendus (détection d’un type d’attaque particulier, vérification de l’efficacité d’un mécanisme de défense…).
Auditeurs et équipes internes vont donc travailler conjointement à l’amélioration des compétences et de la cybersécurité de l’entreprise.
Pourquoi utiliser un test d’intrusion Purple Team ?
La gestion de la cybersécurité prend du temps et laisse peu de disponibilité aux équipes en place pour continuer à se former et à améliorer les techniques de détection et défensives de l’entreprise. Il faut traiter les incidents, analyser les causes, effectuer le reporting…
Quelles que soient les solutions logicielles et matérielles mises en place, il est impératif de les mettre régulièrement à jour, d’ajouter de nouvelles règles de détections, afin d’en garantir l’efficacité.
La mise en place de tests d’intrusion Purple Team réguliers va permettre aux équipes techniques de l’entreprise de se renforcer en termes de compétences et d’améliorer leurs outils en affinant la détection des menaces et en optimisant leur traitement. Les capacités de détection de l’entreprise vont être améliorées ainsi que ses possibilités de réponse.
Le déroulement du test d’intrusion Purple Team
Lors d’un test d’intrusion Purple Team, les auditeurs vont réaliser une cyberattaque devant l’équipe technique chargée de la sécurité informatique. Si l’attaque est détectée et contrée correctement, la Purple Team passe à l’attaque suivante. Si l’attaque n’est pas détectée, passe inaperçue et met en évidence une faille de sécurité, celle-ci est immédiatement corrigée. Cela peut passer par la mise à jour de matériel ou de logiciels et par la mise en place de nouvelles techniques et règles de détection. On ne passe pas à l’attaque suivante tant que la précédente n’est pas totalement maîtrisée.
Ce travail est rendu possible par une étroite collaboration entre la Purple Team et les équipes internes de l’entreprise. Qu’une attaque soit contrée ou qu’elle réussisse, l’entreprise et les équipes sont gagnantes. Dans le premier cas, la défense a prouvé son efficacité. Dans le second cas, l’attaque est désormais connue et pourra être repérée si elle est utilisée à nouveau par un cybercriminel.
Un test d’intrusion Purple Team est ponctuel, mais pour être réellement efficace, il est important qu’il puisse être programmé de façon récurrente. Idéalement, un budget de 10 à 12 jours/homme par mois devrait être prévu par l’entreprise pour réaliser ces audits informatiques et s’assurer ainsi d’avoir des moyens de sécurité à l’état de l’art.
Qu’obtient-on à l’issue d’un test d’intrusion Purple Team ?
Contrairement aux Red Team et Blue Team, la Purple Team ne produira pas de rapport. En revanche, au fur et à mesure de la réalisation des tests d’intrusion Purple Team, un cahier de test sera enrichi. Chaque nouvelle attaque possible sera recensée, identifiée. Les techniques de détection et les méthodes de déclenchement d’alerte seront décrites. Les méthodes permettant de contrer ce type d’attaque seront détaillées.
Ce cahier de test va devenir la référence des équipes chargées de détecter et contrer les cyberattaques. Il sera régulièrement enrichi et complété, en même temps que de nouvelles règles seront mises en place.
Vous pourriez également être intéressé par les articles suivants :
Comment préparer un pentest ?
L’organisation d’un pentest va permettre de mettre à l’épreuve la sécurité informatique de l’entreprise. C’est une méthode idéale pour identifier d’éventuelles failles de sécurité et
FAQ – Foire aux questions Test d’intrusion
Voici les questions concernant les tests d’intrusion qui nous sont le plus fréquemment posées. Si vous souhaitez nous poser d’autres questions ou obtenir des précisions,
Les différences entre un Pentest Black Box, White Box, Grey Box.
Le choix de la méthodologie de test d’intrusion que nous utilisons en matière varie selon certains critères. Parmi ces critères, la cible à atteindre influence
Les types de test d’intrusion
Depuis plusieurs années, les médias relaient des informations sur des cyberattaques ayant visé des entreprises, sur les pertes occasionnées et les fuites de données. Mais
Pentest – Test d’intrusion BLUE TEAM
S’assurer de la sécurité informatique de son système d’information doit être une priorité pour toute entreprise. Le test d’intrusion, aussi nommé pentest, est un outil
Pentest – Test d’intrusion RED TEAM
Devant la recrudescence des cyberattaques visant aussi bien les sociétés privées que les structures gouvernementales, il est impératif de s’assurer que son système d’information est
Pourquoi faire un Test d’intrusion / Pentest ?
Dans le monde hyperconnecté dans lequel nous vivons, la cybersécurité doit être au cœur de la stratégie informatique de l’entreprise. La moindre intrusion dans le
Quand et à quelle fréquence effectuer un test d’intrusion ?
Quand effectuer un pentest, c’est-à-dire tester les vulnérabilités d’un système d’information ? Cette question taraude de nombreux directeurs de systèmes d’information, responsables cybersécurité, ou dirigeants