Dans son podcast de référence, l'équipe de NoLimitSécu consacre un épisode à la notion de "Red Team" et de "Blue Team" en cybersécurité.
Dès l'entame, se pose LA question : Quel est la différence entre une prestation d'audit classique et une prestation "Red Team" ?
Sans surprise, la réponse n'est pas si simple qu'il n'y paraît et dépend de votre interlocuteur. Il semble que les deux notions (audit classique et red team) diffèrent en premier lieu sur les objectifs visés:
"tester l'organisation (dans son ensemble) face à un nombre de scénarios d'attaques réalistes"
il ne s'agit donc pas de fournir un rapport listant l'ensemble des vulnérabilités détectées sur un périmètre fixé. Pour autant, "la tactique" d'une prestation red team ne diffère pas sensiblement d'un audit classique et c'est bien cela qui pose problème. Si certains intervenants du podcast proposent justement de différencier audit et red team par la nature des actions qui seront conduites, se pose rapidement la question des limites juridiques et réglementaires de ce type d'activité. Puis-je usurper un compte personnel d'un employé à son insue ? suis-je autoriser à effectuer des pénétrations physiques sur les sites de l’entreprise, etc... En outre, de nombreuses vulnérabilités existent dans les interactions entre l'entreprise et ses prestataires. Comment dès-lors évaluer le niveau de risque associé ?
Bref un épisode très instructif qui soulève beaucoup de questions un must listen !
Il est en outre intéressant de constater qu'une fois de plus, ce sont des notions empruntées au vocable militaire qui irriguent le marché de la cybersécurité (à l'image de la Threat Intelligence). Il faut d'abord insister sur le fait que ce "process" fait parti des outils utilisés en planification, il s'agit donc de contribuer à l'amélioration de la prise de décision. Le Red Team s'adresse donc aux décideurs.
Red teaming is the independent application of a range of structured, creative and critical thinking techniques to assist the end user make a better informed decision or produce a more robust product.[Red Teaming Guide]
Dans la terminologie de l'OTAN on parle d'Alternative Analysis. Il n'est donc pas uniquement question de "penser comme un attaquant potentiel", mais il faut revoir et analyser toutes les hypothèses et les étapes du raisonnement qui ont conduit le défenseur à adopter telle ou telle posture, tel ou tel produit et architecture. Pousser à son paroxysme, la démarche red team n'est donc pas simplement la mise en place d'une équipe d'attaquants qui ont "carte blanche" pour ramener des "flags" sur une entreprise cliente (cette phase n'est qu'une étape de la phase "challenge" ci-dessous).
Dans la floraison des offres, il convient de ne pas succomber à l'effet de mode et de bien exprimer son besoin. Un audit répond à un problème spécifique, la red team à un autre, l'un ne peut se substituer à l'autre !
De quoi largement occuper 55 minutes de podcast !
Liens utilisé : Red Teaming Guide (UK DoD)
Aucun commentaire:
Enregistrer un commentaire