Le “purple teaming” dans la lutte contre les cyberpirates : une formation permanente à l’anticipation

Bien que le purple teaming – une combinaison d’attaque et de défense – ne soit pas un concept nouveau en cybersécurité, la méthode est encore relativement peu répandue. Un constat surprenant à une époque où la menace des pirates informatiques est permanente et devient chaque jour plus sophistiquée et dangereuse, souligne Erik Van Buggenhout. “Car si aucune approche n’est infaillible, mais une stratégie mixte offre la meilleure protection possible contre les attaques en ligne.”

Le “purple teaming” est une expression militaire à l’origine, et fait référence à une combinaison de stratégies offensives (Red Team) et défensives (Blue Team). Associées, elles offrent l’approche la plus complète possible pour évaluer la résistance des systèmes et employés d’une organisation à toutes sortes de cyberattaques, en identifiant les tentatives d’attaque qui ont été repoussées avec succès et celles qui auraient permis une intrusion.

Si le purple teaming est aussi utile pour prévenir les cyberattaques, c’est parce que cette approche combinée donne une meilleure idée de la réaction d’une organisation en cas d’attaque réelle, et montre clairement quelles mesures prendre pour prévenir les intrusions. Elle est donc plus intéressante qu’une approche exclusivement offensive, ou “rouge”, car elle vise spécifiquement à améliorer le système avant d’essayer de le hacker. Or, c’est là une étape essentielle que trop d’organisations et d’entreprises sautent encore.

Plus qu’une véritable équipe composite, le purple teaming est idéalement principalement un échange permanent entre le rouge et le bleu, consistant à réunir la matière grise des deux équipes dans le même but : armer au mieux l’organisation contre les cyberpirates. En combinant les connaissances et tactiques défensives d’une part et les informations recueillies sur les menaces et les vulnérabilités d’autre part, les deux équipes peuvent se renforcer mutuellement pour assurer à l’organisation une protection optimale.

Concrètement, en unissant leurs forces, les deux équipes auront une meilleure compréhension de leur mode de fonctionnement respectif, ce qui leur permettra de mieux faire face à la partie adverse et de mieux évaluer sa façon de penser, afin d’anticiper ses éventuelles actions. Dans une étape suivante, on peut même penser à la façon dont les attaquants adapteraient leurs tactiques, lorsqu’ils remarquent que leurs attaques sont repoussées ou comprennent comment oeuvrent les défenseurs.

Le purple teaming offre ainsi des capacités de simulation avancées, obligeant constamment les membres des deux équipes à réfléchir à de nouvelles techniques, méthodes et procédures. Elles actualisent donc sans cesse leurs connaissances sur les nouvelles menaces et comment les contrer : c’est une formation permanente à l’anticipation.

Autre avantage non négligeable : une approche de purple teaming combinée permet aux équipes d’établir conjointement un état détaillé de la situation actuelle de l’organisation en matière de sécurité, basé sur des résultats réels et non sur des scénarios hypothétiques. Cela rend les choses beaucoup plus concrètes et compréhensibles, ce qui assure une meilleure compréhension au sein de l’organisation. La communication avec le conseil d’administration est également facilitée, car les menaces et leur impact potentiel peuvent être démontrés de manière beaucoup plus tangible. Il est alors beaucoup plus facile de mobiliser et justifier les ressources nécessaires, ce qui favorise l’innovation.

Le constat est clair : avec le purple teaming, le tout est (beaucoup) plus que la somme de ses parties. Qu’attend votre organisation ?