Fondamentaux

Sous le nom de Red Team se cache une équipe d’experts en cybersécurité. Cette petite armée organisée s’occupe de trouver les failles d’un réseau, aussi bien en ligne que physiquement. À l’inverse de la Blue Team qui prend un rôle défensif, l’équipe rouge se veut offensive. Son intervention sur un réseau ou une infrastructure est autorisée par l’entreprise ou l’organisation qui en fait la demande. Découvrez les missions d’une Red Team et les objectifs de ces équipes en matière de cybersécurité.

Qu’est-ce qu’une Red Team ?

Une Red Team est une équipe de hackers éthiques. Ils sont experts dans la cybersécurité et des méthodes d’attaques des pirates malveillants. Ce groupe intervient en toute légalité auprès d’une entreprise ou une organisation pour tester la sécurité informatique. Considérée comme une véritable armée, elle génère des attaques réelles sur les systèmes, tel que pourraient le faire de vrais hackers.

Quels sont les objectifs d’une Red Team ?

Les objectifs d’un groupe rouge sont multiples. Il s’agit de réaliser un Red Teaming pour évaluer la sécurité de votre entreprise. L’équipe de hackers éthiques intervient donc sur les failles du réseau informatique et sur les systèmes d’information. Elle va également plus loin en effectuant des intrusions physiques dans les locaux. Contrairement au Pentest (test d’intrusion), la simulation d’attaques en temps réel s’intéresse à la compromission globale d’une entreprise face à une cyberattaque réelle.

Évaluer le niveau de sécurité informatique de l’entreprise

Le premier objectif d’une intervention de Red Teaming est de vérifier la sécurité des réseaux informatiques d’une entreprise. Les procédés d’attaques visent à révéler les failles d’un réseau ou d’un système. L’objectif ici est de tester les équipes internes et les outils de détection déjà en place lors d’une simulation de cyberattaque en conditions réelles.

Évaluer les actions de la Blue Team sur les incidents créés par la Red Team

L’intervention d’une équipe rouge va effectivement plus loin qu’un simple Pentest. Le groupe met en place des scénarios d’intrusion et vérifie comment les équipes SOC (Security Operations Center) ou la Blue Team sont capables de réagir. L’exercice, aussi appelé audit Red Team, dispose d’un mode de fonctionnement différent, totalement inconnu des services SOC.

Comment fonctionne une Red Team ?

Le Red Teaming ne consiste pas uniquement à surveiller des réseaux connectés. Toute l’infrastructure d’une entreprise ou d’une organisation est testée. L’équipe rouge déploie toutes les solutions possibles pour s’introduire dans le système, qu’elles soient sociales ou techniques.

Définition du cadre du Red Teaming et des trophées à obtenir

Le test d’intrusion et le Red Teaming disposent de points communs dans leur fonctionnement. Ils bénéficient tous les deux d’une définition d’un cadre précis et d’objectifs à atteindre. Le cadrage de la mission s’exprime notamment par des trophées à obtenir.

L’orientation du Red Teaming définit également les modalités d’échanges des informations obtenues par l’audit. Ces données doivent rester confidentielles. Il est donc nécessaire de définir les interlocuteurs à qui seront restituées les informations. À terme, les traces de cet audit sont amenées à être détruites.

La reconnaissance du terrain par l’équipe de Red Teaming

Les premiers pas d’un exercice de Red Teaming consistent à prendre connaissance de tous les aspects de sa surface d’attaque. Cela correspond notamment aux applications connectées, aux serveurs et aux données exposées en ligne sur les réseaux. L’équipe rouge doit connaître parfaitement l’entreprise pour laquelle elle intervient : activité, type de client, fonctionnement interne, logiciels utilisés, etc. Contrairement à la Blue Team qui maîtrise initialement toute l’infrastructure de l’entreprise, l’équipe rouge doit enquêter par ses propres moyens.

Les hackers ont pour objectif de se fondre dans la masse. L’étude du code vestimentaire de l’entreprise peut faire partie de la stratégie d’intrusion physique.

Une intervention réalisée en toute discrétion

Alors qu’un test d’intrusion est réalisé dans un cadre défini (objectifs de surveillance, durée de la mission, rapport de vulnérabilités, etc.), le Red Teaming se fait en complète discrétion. L’équipe de hackers éthiques s’occupe donc de tester un écosystème entier sans prévenir qui que ce soit du début des hostilités. La Blue Team n’est pas tenue informée de l’exercice, le but étant d’éprouver les systèmes de défense en conditions réelles.

Mise en place de scénarios d’attaque par l’équipe de Red Teaming

L’équipe rouge n’intervient qu’une fois la phase de reconnaissance terminée. Elle peut alors mettre au point une trame de compromission, simulant l’attaque d’un pirate. L’objectif est de réaliser le cheminement de la cyberattaque jusqu’aux trophées. Les hackers de l’équipe rouge disposent de toutes les connaissances des hackers professionnels. La stratégie d’attaque de la Red Team repose avant tout sur des outils et des méthodes. Les scripts d’intrusion sont joués à distance ou sur le terrain, dans les locaux de l’entreprise.

La durée d’une phase de Red Teaming

Si le demandeur a connaissance d’une intervention de Red Teaming, il n’est en revanche pas informé de son commencement. Personne, en interne, ne sait quand elle a lieu ni quelles sont les astuces employées. La simulation d’attaque s’effectue sur plusieurs semaines. L’équipe rouge peut ainsi intervenir en conditions réelles. Les intrusions peuvent être successives et étendues dans le temps.

La livraison des informations obtenues par le Red Teaming

Le bilan permet à l’entreprise de prendre connaissance des faiblesses rencontrées. L’équipe rouge reporte toutes ses méthodologies d’intrusion et ses actions réalisées. L’audit apporte une prise de conscience sur les conséquences d’une cyberattaque sur l’entreprise. Ce bilan est livré aux services informatiques, mais aussi à l’ensemble des employés concernés. L’un des enjeux du Red Teaming est de se rendre compréhensible aux moins initiés à la cybersécurité.

À qui s’adresse le Red Teaming ?

Le Red Teaming s’adresse à toutes les entreprises. En matière de cybersécurité, toutes les organisations connectées sont des cibles. Il ne suffit pas, en effet, de gérer des données sensibles pour activer un audit de Red Teaming. Les entreprises connectées peuvent être la cible d’attaque DDoS, uniquement pour être l’un des points de connexion d’un botnet qui agresserait des objectifs plus importants.

Les grandes entreprises matures sont généralement les plus concernées par un audit de Red Teaming. Il faut en effet disposer des ressources humaines et financières pour un exercice de cette envergure.

Pourquoi faire appel à une Red Team ?

Le Red Teaming intervient après une phase de test en interne et de correction des failles détectées. Cet audit permet de mettre en avant l’efficacité de la sécurité de vos systèmes d’information. Tant que votre réseau n’a pas été attaqué, vous ne pouvez pas connaître son niveau de sécurité. L’exploitation des comptes rendus après un Red Teaming est l’une des bases les plus fiables pour opérer les changements. Vous orientez les actions à mener, tant sur le matériel que dans la formation des salariés.

Que nécessite l’intervention d’une Red Team ?

L’intervention d’une équipe rouge se prépare en amont. Vous devez définir quatre points essentiels pour élaborer un cadre précis pour l’exercice de Red Teaming.

  • Vous devez disposer d’une équipe bleue, maîtrisant parfaitement l’infrastructure de l’entreprise. 
  • Un premier Pentest est essentiel pour corriger les vulnérabilités les plus évidentes.
  • Vous devez connaître l’importance et le rayonnement de votre réseau connecté.
  • Vous avez besoin de définir un budget et le champ d’application de l’équipe rouge.

Quels sont les outils et tactiques courantes d’une Red Team ?

Une équipe rouge dispose de différents outils. En réalisant une simulation d’attaque complète, ils mettent en place plusieurs tactiques d’intrusion.

Les tests d’intrusion physique dans l’entreprise

L’équipe cherche à entrer dans les locaux de l’entreprise et à accéder au réseau interne. Il s’agit de connecter un implant et de pirater les systèmes. Le hacker peut, par exemple, entrer dans le bureau d’un employé et atteindre ses dossiers grâce à une session ouverte. La sécurité des réseaux sans fil est également testée.

Les tests d’ingénierie sociale ou les tests sur les employés de l’entreprise

Les techniques utilisées dans l’ingénierie sociale sont nombreuses. Il s’agit, dans un premier temps, de réaliser des essais d’hameçonnage ou de phishing. L’équipe de Red Teaming teste la naïveté des employés et ses méconnaissances en matière de cybersécurité. Le baiting (ou l’appât en français) repose sur la curiosité ou l’avidité des salariés. Cette technique peut notamment se baser sur la distribution d’objets publicitaires ou de cadeaux, telles des clés USB, contenant des fichiers malveillants.

Dans le cas de l’ingénierie sociale, les équipes de Red Teaming doivent cibler les employés à compromettre. Ces employés ne sont pas identifiés par le client. L’audit consiste à suivre les employés « à risques » via notamment les réseaux sociaux, le type de poste occupé, etc.

Tests d’intrusion d’application et de réseau

L’équipe de Red Teaming cherche les vulnérabilités sur les couches applicatives, mais aussi sur l’ensemble du système d’information de l’entreprise. Les assauts sont offensifs et exploitent toutes les techniques de hackers, comme l’attaque DDoS, l’intrusion par compromission des serveurs, etc.

Comment devenir un Red Teamer ?

Le Red Teamer appartient aux métiers de la sécurité informatique. Un niveau bac + 5 est recommandé, tout comme l’école d’ingénieur avec une spécialisation dans la cybersécurité. Le cursus proposé par la Cyber Management School vous permet d’accéder à ce type de poste. Vous apprenez la maîtrise nécessaire des outils et aux connaissances des enjeux d’une cyberattaque sur une organisation.

Le Red Teamer doit avoir des facultés à se fondre dans son environnement. La maîtrise d’outils techniques, la gestion du stress et une capacité à s’adapter devant toute situation sont des points forts. Notez que si l’approche offensive du Red Teamer ne vous motive pas, vous pouvez envisager de jouer un rôle plus défensif en devenant Blue Teamer.