Quel est le but de la Purple Team ?

Read in English (Lire en anglais).

L'objectif de la purple team (équipe violette) est de fournir une approche globale et coordonnée de la sécurité qui combine des stratégies offensives et défensives. En travaillant au sein d'une purple team, vous visez à améliorer le dispositif global de sécurité de votre organisation en identifiant les faiblesses et les lacunes dans ses défenses grâce à des exercices de purple team, puis en élaborant et en mettant en œuvre des plans pour y remédier.

Que sont les red teams, blue teams et purple teams en cybersécurité ?

Vous pouvez diviser les équipes de cybersécurité de plusieurs manières, mais l’une des méthodes les plus courantes consiste à les diviser en red teams (équipes rouges) et blue teams (équipes bleues). 

• Les red teams sont généralement chargées de tenter de pénétrer dans les systèmes d'une organisation, en simulant les actions d'attaquants du monde réel. 

• Les blue teams sont chargées de se défendre contre ces attaques et de sécuriser les systèmes.

La purple team combine les compétences des red teams et des blue teams. Dans sa forme la plus simple, une purple team peut être composée d'un membre d'une red team et d'un membre d'une blue team travaillant ensemble.

Votre organisation peut exiger que plusieurs professionnels travaillent ensemble au sein du groupe. Vous pouvez réunir des purple teams de manière temporaire, créer une équipe permanente ou les intégrer en tant que ressource externe dans le cadre d'un contrat de conseil ou d'une sous-traitance.

Lorsque votre organisation crée une fonction de purple team, vous pouvez transformer ce qui peut être une relation compétitive et antagoniste entre les red teams et les blue teams en un processus collaboratif où les équipes partagent une vision et alignent leurs stratégies.

Définition de la purple team

Traditionnellement, la cybersécurité est envisagée dans le contexte d'une équipe d'attaque et d'une équipe de défense travaillant dans des structures distinctes. Le purple teaming est une approche collaborative de la cybersécurité qui rassemble des red teams et des blue teams pour tester et améliorer le dispositif de sécurité d'une organisation. 

Votre purple team modifie la dynamique et la culture de l'équipe en maximisant la contribution de chaque ensemble de compétences. Vous utilisez les connaissances et les outils des équipes rouge et bleue pour identifier les faiblesses des contrôles, processus et procédures de sécurité. Vous utilisez les informations que vous apprenez pour créer des plans d'action qui peuvent améliorer la cybersécurité globale de votre organisation.

Exercices et activités de la purple team

Une purple team utilise divers outils et techniques pour identifier les faiblesses des défenses de l’organisation et contribue à améliorer le dispositif global de sécurité de l’organisation. 

Vous travaillerez sur des activités conçues pour améliorer les systèmes, les procédures et les contrôles qui protègent l'entreprise contre les menaces telles que l'ingénierie sociale, le piratage de mots de passe, les logiciels malveillants, le déni de service (DoS) et les attaques de phishing. Voici quelques-unes des activités que votre purple team réalisera :

• Effectuer des attaques d'ingénierie sociale et tenter d'accéder à des données sensibles

• Lancer des attaques de logiciels malveillants et de bugs informatiques contre des systèmes critiques

• Tenter d'exploiter les vulnérabilités des systèmes et des applications

• Réaliser de tests de pénétration de systèmes et de réseaux

• Réaliser des audits de sécurité des systèmes et des réseaux

• Élaborer et mettre en œuvre un plan de sécurité complet

• Effectuer régulièrement des analyses de vulnérabilité

• Identifier et corriger les vulnérabilités de sécurité

• Chiffrer les données stockées et celles qui circulent

• Restreindre l'accès aux données et aux systèmes sensibles

• Surveiller le trafic réseau pour détecter toute activité suspecte

• Déployer des systèmes de détection et de prévention d'intrusion

Ces activités de la purple team reflètent les deux côtés de ce que font traditionnellement les red teams et les blue teams. La différence est que les professionnels qui ont une expérience en red team et ceux qui ont une expérience en blue team se réunissent. Votre équipe examine des attaques et des vulnérabilités particulières pour voir si elle peut les détecter. Elle adapte également les systèmes et les processus pour permettre de meilleures pratiques de sécurité. 

Les activités de la purple team impliquent une approche interactive, transparente et collaborative de l'amélioration de la cybersécurité. Cela diffère considérablement de l'approche traditionnelle, où une red team délivre les résultats d’un test de pénétration ou d'autres rapports que vous pouvez ou non lire et mettre en œuvre.

Avantages du purple teaming

Le purple teaming vise à améliorer la sécurité globale d’une organisation en identifiant de manière collaborative les faiblesses et les vulnérabilités, puis en élaborant et en mettant en œuvre des plans pour atténuer ces risques. Changer pour cette dynamique d'équipe apporte plusieurs avantages :

• Renforcement plus rapide de la cybersécurité globale : le travail en équipe violette peut aider à identifier les faiblesses et les vulnérabilités du dispositif de sécurité d'une organisation. L'organisation peut résoudre ces problèmes en améliorant les politiques, les procédures et la technologie. Travailler ensemble peut permettre de s’attaquer à des vulnérabilités particulières et d’améliorer les défenses plus rapidement. Cette approche stratégique vous permet de cibler les attaques.

• Amélioration de la capacité à détecter les vulnérabilités : la collaboration purple peut aider les professionnels de la sécurité à mieux comprendre la manière dont les attaquants pensent et opèrent, ce qui facilite l'identification des vulnérabilités potentielles avant qu'ils ne puissent les exploiter. Les deux équipes acquièrent une compréhension plus approfondie du paysage global de la sécurité de votre organisation.

• Le purple teaming fonctionne pour de nombreux types ou tailles d'organisations différents : il ne s'adresse pas uniquement aux grandes entreprises ; toute organisation peut bénéficier de cette pratique.

• Retour continu d’information : le travail en purple team permet un retour d’information constant entre les red teams et blue teams, ce qui peut aider à identifier les domaines à améliorer et à garantir que les professionnels de la blue team sont à jour.

• Créativité et innovation : Lorsque des red teams et blue teams travaillent ensemble, leur capacité à sortir des sentiers battus et à développer des solutions innovantes s’en trouve améliorée. De nouvelles perspectives apportent de la créativité et une compréhension plus complète de la cybersécurité. Les professionnels rouges et bleus développent des « compétences violettes ».

Bonnes pratiques de la purple team

Les activités de la purple team sont comparables aux sprints agiles, tous deux ont des délais courts. Il est donc essentiel d'adopter une stratégie lors de la mise en place des communications et des processus de la purple team. Vous devez suivre ces bonnes pratiques lors de la constitution d'une purple team. 

Choisissez les bonnes personnes : Assurez-vous que votre équipe possède la bonne combinaison de compétences et de connaissances. La dernière chose que vous souhaitez, c'est que votre équipe soit paralysée par quelqu'un qui ne comprend pas le problème ou qui ne peut pas contribuer à la solution.

Faites des plans et définissez-en la portée avec soin : Prenez le temps de planifier votre attaque et vos défenses. Sachez ce que vous essayez d'accomplir et quelles sont les ressources dont vous disposez. Cela vous fera gagner beaucoup de temps et vous évitera bien des frustrations par la suite.

Suivez et révisez le processus : Suivez les travaux de votre équipe et apportez les modifications nécessaires. Cela comprend la modification du plan s'il ne fonctionne pas, l'ajout de nouveaux membres si nécessaire et l'ajustement de la portée du projet.

Veillez à la collaboration et à l’efficacité de la communication : il est essentiel d'établir des canaux de communication clairs entre les deux camps. Cela vous permettra de partager les informations de manière appropriée et efficace et de faire en sorte que l'équipe devienne collaborative plutôt que compétitive. 

Documentez et rendez compte : Vous devez documenter tout ce qui a été fait pendant l'exercice. Vous disposerez alors d'une trace de ce que votre équipe a accompli, qui pourra servir de référence à l'avenir.

Certifications et formations qui contribuent à l'expertise de la purple team

Il existe de nombreuses certifications et programmes de formation qui contribuent à l'expertise des purple teams. En voici quelques-uns :

• Certified Ethical Hacker (CEH)

• Certified Information Systems Security Professional (CISSP)

• Certified Information Systems Auditor (CISA)

• GIAC Security Essentials Certification (GSEC)

• GIAC Certified Incident Handler (GCIH)

• Security+

• CompTIA Advanced Security Practitioner (CASP+)

• SSCP - Systems Security Certified Practitioner | (ISC)²

• Offensive Security Certified Professional (OSCP)

Emplois potentiels de purple team

Le terme « purple team » n'est pas couramment utilisé sur le marché du travail. Cependant, vous verrez de nombreux emplois que vous pourriez considérer comme des emplois de purple team ou qui nécessitent des « compétences violettes ». Vous devrez comprendre les aspects offensifs et défensifs de la sécurité pour travailler dans ces fonctions. 

Voici quelques emplois de la purple team et les salaires annuels correspondants.

• Analyste en cybersécurité : € 40 000 [1]

• Ingénieur en sécurité informatique : € 48 000 [2]

• Consultant en cybersécurité € 45 000 [3]

• Analyste en cybersécurité : € 40 000 [4] 

• Hacker éthique (purple team) : € 58 000 [5]

Prêt à franchir la prochaine étape dans votre carrière en cybersécurité ?

Dans le cadre d'une fonction au sein d'une purple team, vous protégerez les organisations contre la cybercriminalité, protégerez les données et répondrez aux incidents de sécurité. De nombreux cours et programmes de formation en ligne peuvent vous aider à en savoir plus sur le travail en purple team et sur la manière de mener à bien ces activités de manière efficace.

Vous pourriez envisager de suivre le Certificat Professionnel en Cybersécurité de Google sur Coursera. Ce programme est conçu pour aider les personnes sans expérience préalable à trouver leur premier emploi dans le domaine de la cybersécurité, le tout à leur propre rythme. Les cours couvrent des sujets tels que les modèles de sécurité, les outils utilisés pour accéder aux menaces et les traiter, les réseaux, etc.