Cybersécurité – De bleu, de rouge et de mauve

Dans le domaine de la sécurité informatique, il y a des spécialistes qui possèdent leurs particularités propres. Voici un survol :

Une équipe de sécurité offensive, l’équipe rouge, a pour but d’inspecter, de découvrir et d’exploiter les failles d’un système informatique pour en extraire des informations de valeur. Le principe est d’utiliser des techniques similaires à celles de pirate pour évaluer et démontrer le niveau de préparation face à une cyberattaque. Par ailleurs, dans certains types de mandat, il est primordial de ne pas se faire remarquer par les outils de détection de la victime et d’être le plus furtif possible. 

La sécurité offensive comprend plusieurs activités. Tout d’abord, les tests d’intrusions consistent à énumérer l’ensemble des vulnérabilités d’un système. Ensuite, les opérations de sécurité offensive ont pour but de vérifier de façon furtive si un système est vulnérable sans alerter la victime. Puis, les simulations d’adversaires consistent à attaquer une victime en utilisant les techniques et tactiques d’un adversaire particulier. Finalement, le principe du bug bounty est d’aviser une entité d’une vulnérabilité dans leur système contre une rétribution monétaire. D’ailleurs, le gouvernement du Québec à un programme de bug bounty où une personne peut être récompensée pour avoir démontré une vulnérabilité dans un des systèmes.

Il est à noter que les tests d’intrusions peuvent inclure une partie physique où la cible n’est pas seulement un système informatique, mais un lieu physique. Par exemple, le but pourrait être d’accéder à une salle de serveurs informatiques pour y brancher un équipement qui va permettre de s’introduire dans le réseau informatique. 

Une équipe de sécurité défensive, l’équipe bleue, a pour objectif de sécuriser l’infrastructure informatique en déployant des outils de surveillance et de monitorage, comme un logiciel antivirus. Par la suite, devant les nombreuses alertes produites par le logiciel, un processus de triage et de confirmation de vulnérabilité devra être effectué par un membre de l’équipe. Si une vulnérabilité est confirmée, un correctif doit être testé et installé sur le système informatique — habituellement une mise à jour de logiciel. 

La sécurité défensive comprend les opérations de centre de sécurité, d’analyse de menace et de production de correctifs de sécurité. Le centre de sécurité va être responsable d’installer et de maintenir un logiciel de détection des menaces ainsi que de trier correctement les alertes. L’analyse de menace va enquêter sur les attaques informatiques récentes pour accumuler des renseignements sur celles-ci dans le but d’aider le centre de sécurité et l’équipe de correctifs de sécurité à détecter les menaces et développer des mises à jour logiciel.

La combinaison de l’offensive et défensive, l’équipe mauve est le principe qu’au sein de la même équipe, des activités offensives et défensives sont effectuées dans un but commun d’assurer l’intégrité d’un système informatique. Par exemple, l’équipe pourrait travailler sur un aspect spécifique du système et d’un côté, tenter de trouver des failles et les exploiter et de l’autre de s’assurer de détecter des intrusions, de repérer les failles et les colmater avant qu’elles ne soient exploitées. 

Finalement, il y en a pour tous les goûts, les intérêts et les spécialités. Une équipe aux compétences diversifiées est certainement une plus-value pour la cybersécurité.

Simon Benoît – Consultant en cybersécurité