Red teaming: c'est-à-dire être du côté des méchants au point d'oublier de faire partie des gentils. Cette activité particulière de cybersécurité est devenue partie intégrante de tout processus d'évaluation du risque informatique à tel point qu'elle est aujourd'hui communément appelée red teaming assessment et red teaming penetration presque comme des synonymes des plus célèbres vulnerability assessment et penetration test. En réalité, il s'agit de concepts différents et cet article vise précisément à les élucider, puisque notre plateforme offre un catalogue complet de services de cybersécurité.
Red teaming : différent et complémentaire du penetration testing
En résumé, le "red teaming" consiste à cibler un système informatique et, dans la peau d'un cybercriminel, à utiliser n'importe quel expédient pour réussir à en prendre possession ou à le compromettre. Dans le cas d’une red teaming penetration donc, l'objectif final est de mener à bien une cyberattaque prédéfinie, comme le ferait un hacker black hat. L’approche est plus directe et plus agressive - si l'on peut dire - contrairement au penetration testing, qui visent plutôt à détecter une série de vulnérabilités par le biais d'un vulnerability assessment, puis à les exploiter à l'aide d'exploits.
Une activité organique
Il s'ensuit que le red teaming, comparé à un penetration testing, est une activité beaucoup plus organique, qui implique souvent des vulnérabilités multiples et qui donne un cadre encore plus réaliste du niveau de protection d'une entreprise. Cela mène à l'absurdité suivante : une entreprise peut être bien protégée d’un penetration test, mais vulnérable à une activité de red teaming.
Pour ceux qui ne maîtrisent pas le sujet, il est facile à ce stade de poser une question commune : que faut-il privilégier entre vulnerability assessment, penetration test et red teaming ?
Dans la peau d'un méchant
Chez UNGUESS, nous faisons aussi attention aux coûts et nous savons qu'une réponse telle que "aucune préférence ne devrait être donnée" peut sembler un peu trop diplomatique et commerciale, mais à vrai dire, jamais, comme dans le cas présent, trois activités ne sont complémentaires.
- Le vulnerability assessment détecte un large éventail de vulnérabilités exploitables.
- Le penetration test tente d'exploiter ces vulnérabilités, l'une après l'autre, pour voir dans quelles conditions elles sont exploitables.
- Le red teaming planifie une stratégie d'attaque impliquant ce qui a été préalablement découvert, en jouant toutes les cartes pour atteindre la cible.
Informations précieuses en matière de sécurité
C'est pour cette raison que le red teaming fournit des informations différentes de celles des deux collègues les plus courants. En particulier, red teaming assessment et red teaming penetration montrent comment et quand un système de protection réagit si une attaque est détectée. Ou, si elle n'est pas détectée, ils montrent quelle combinaison de vulnérabilités et d'exploits permet aux cybercriminels d'accéder au système. En utilisant une métaphore du football, nous pourrions dire que vulnerability assessment et penetration test sont des milieux de terrain dévoués qui pensent à suivre les directives de l'entraîneur sans faillir. Quant au red teaming, c’est le fantaisiste talentueux capable de saper le jeu de l'adversaire et d'atteindre le but.
Des figures spécialisées sont nécessaires
Si le vulnerability assessment et le penetration test sont déjà des activités très complexes, qui requièrent des figures et des compétences spécialisées, le red teaming place la barre encore plus haut. Non seulement parce qu'il est nécessaire d'élaborer une stratégie d'attaque qui témoigne d'une certaine familiarité avec le modus operandi des cybercriminels, mais aussi parce que le red teaming fait appel à des équipes de différents éléments, chacun se consacrant à des tâches spécifiques, tout comme dans un gang de cybercriminels.
Une plateforme également pour le red teaming
Chez UNGUESS, nous savons à quel point il est important pour une entreprise de pouvoir compter sur le red teaming, mais aussi à quel point il est difficile de trouver des hackers éthiques pour s'en occuper. C'est pourquoi nous avons créé notre plateforme, grâce à laquelle une entreprise peut lancer une campagne d'évaluation selon ses propres besoins, en s'appuyant sur une communauté croissante de centaines de hackers éthiques certifiés aux compétences variées et reconnues. De cette manière, qu’il s’agisse de vulnerability assessment, penetration test ou de red teaming, l'entreprise sait qu'elle peut compter sur des résultats fiables et exploitables pour construire ou mettre à jour ses technologies de protection.