Les équipes en cybersécurité

Saviez-vous que la cybersécurité regroupait plusieurs équipes ?

En cybersécurité, il existe trois grandes équipes opérationnelles, qui lorsqu’elles travaillent ensemble, créent trois autres équipes. Elles sont toutes gérées par une équipe principale.

Je vous propose un aperçu des différentes équipes et de leurs interactions ensemble. Ce concept s’appelle la « roue de la sécurité de l’information » dont voici une représentation.

Les équipes principales

Ces équipes peuvent être internes ou externes à une entreprise. Une grande compagnie aura généralement l’ensemble de ces équipes en interne alors que de plus petites entreprises pourraient n’en avoir qu’une ou deux seulement et faire appel à des firmes de consultants pour combler le manque.

Équipe Rouge - Red Team

L’équipe rouge, ou équipe offensive, est une équipe composée d’employés ou de consultants externes à l’entreprise et dont le mandat est d’attaquer celle-ci à la manière d’un pirate, afin de détecter les vulnérabilités existantes qu’un acteur malveillant pourrait exploiter.
Ses mandats sont variés et ont différentes portées, ils peuvent aller du simple test d’une application ou d’un site web à une simulation d’attaque complète, visant à tester les équipes de sécurité physique et cyber ainsi que les mesures défensives en place.

Équipe Bleue - Blue Team

L’équipe bleue est l’équipe défensive. C’est elle qui est responsable, à l’aide d’outils, de protéger l’organisation des menaces externes, mais aussi internes.
L’équipe bleue ne fait pas que surveiller le réseau. C’est une équipe pluridisciplinaire, elle est aussi constituée de chercheurs de menaces (Threat Hunter), d’employés en réponse aux incidents (Incident Response), en recherche d’information (Cyber Threat Intel) et aussi en enquêtes numériques (Digital Forensic). D’autres professions non citées ici font aussi partie de l’équipe défensive.

Équipe Jaune - Yellow Team

C’est une équipe qui a toute sa place ici, bien que récemment arrivée dans le paysage de la cybersécurité. Dans cette équipe qu’on surnomme les bâtisseurs, on trouve entre autres les développeurs d’applications et de logiciels ainsi que des architectes système.
Il est bien important d’inclure ces personnes dans les équipes de la cybersécurité, car ce sont elles qui créent les systèmes, logiciels et intégrations permettant à l’organisation d’être productive. Intégrer les principes de la cybersécurité dès le début du développement peut fortifier considérablement un logiciel et aider à la protection de l’organisation.

Les équipes mixtes

Nous savons déjà qu’il est important pour les équipes offensives et défensives de travailler ensemble afin de mettre de en lumière et corriger les faiblesses de l’organisation. Mais il est tout aussi important que ces deux équipes travaillent aussi avec celle des bâtisseurs afin que les solutions apportées par cette équipe soient développées et implémentées de façon sécuritaire.

Équipe Mauve - Purple Team

L’équipe mauve, probablement la plus connue des équipes mixtes, est la collaboration des équipes rouge (offensive) et bleue (défensive). Le but de cette collaboration est de parfaire la posture de sécurité d’une organisation en améliorant les détections et les systèmes de défense.
Un autre objectif est de bonifier les compétences des employés des deux équipes grâce au partage de connaissance.
Cette citation tirée de « L’Art de la guerre » de Sun Tzu illustre bien l’essence de cette équipe :

Si tu connais ton ennemi et que tu te connais toi-même, tu n’as pas besoin de craindre l'issue de cent batailles. Si tu te connais toi-même, mais pas ton ennemi, pour chaque victoire tu subiras aussi une défaite. Si tu ne connais ni ton ennemi ni toi-même, tu t’effondreras à chaque bataille.

Équipe Orange - Orange Team

L’équipe orange, c’est l’association des attaquants (rouge) et des bâtisseurs (jaune). L’objectif de cette équipe est d’amener les bâtisseurs à être plus conscients de la cybersécurité, de ses enjeux et des défis qu’elle représente.
En les sensibilisant à la façon dont les cybercriminels pensent et exploitent les réseaux ou logiciels, les bâtisseurs seront amenés à développer en ayant cette pensée en tête, ce qui finalement leur permettra de produire un code plus robuste.

Équipe Verte - Green Team

Mélangez l’équipe bleue (défensive) et l’équipe jaune (bâtisseurs) et vous obtenez l’équipe verte.
Une équipe dont le but est d’améliorer les défenses en place grâce à la standardisation et la priorisation des journaux et des évènements de sécurité, l’obtention de meilleurs journaux et de données nécessaires aux équipes défensives. Grâce aux bâtisseurs de l’équipe jaune, l’équipe verte permettra aussi de bonifier la surveillance avec la mise en place d’antivirus nouvelle génération ou de systèmes de protection des terminaux.

Équipe Blanche - White Team

Au-dessus de toutes ces équipes se trouve l’équipe blanche. Les membres de cette équipe proviennent de nombreux autres métiers comme la gouvernance, la conformité, la logistique et la gestion, par exemple.
Le but de cette équipe n’est pas d’interagir avec une autre comme le font l’équipe rouge et l’équipe jaune, mais plutôt de gérer toutes ces équipes. L’équipe blanche va s’assurer que les politiques et procédures sont bien mises en place. Elle va aussi demander à ce que des tests de sécurité et de pénétration soient effectués sur des applications développées à l’interne ou afin de tester certains systèmes, et dans certains cas, même, de tester des équipes pour déterminer si leurs procédures sont bien suivies et suffisantes. Elle assurera le suivi des ajustements apportés à la suite de ces tests et de l’application des politiques de sécurité.


Le mot de la fin

Être un professionnel en cybersécurité, ce n’est pas juste être un « gentil hacker ». On peut être en cybersécurité sans savoir hacker.
Être un professionnel en cybersécurité, c’est faire partie d’une famille, d’une équipe, et même de plusieurs si vos compétences touchent différents domaines. C’est un monde passionnant, constitué de personnes passionnées. La cybersécurité est en constante évolution et, de nos jours, la cybersécurité est indispensable!