Aller au contenu principal

Sécurité offensive vs défensive

Notions théoriques

Attaque et défense

La cybersécurité est essentielle pour protéger les systèmes informatiques contre les menaces.

On distingue 2 types de sécurité :

  1. La sécurité défensive : La sécurité défensive vise à protéger les systèmes en mettant en place des mesures de sécurité pour empêcher les attaques.

  2. La sécurité offensive : La sécurité offensive consiste à tester la sécurité d’un système en adoptant la posture d’un attaquant.

    L’objectif est de détecter les failles avant qu’un pirate ne les exploite.

1. Sécurité défensive

La protection des systèmes

La sécurité défensive est assurée par des blue teams (équipes bleues) et des administrateurs système.

info

Leur rôle est de protéger les infrastructures contre les attaques.

Mesures de protection :

  • Pare-feu : Bloquer les connexions suspectes.
  • Systèmes de détection d’intrusion (IDS) : Identifier les comportements anormaux.
  • Chiffrement des données : Rendre les informations illisibles sans clé de déchiffrement.
  • Mises à jour de sécurité : Corriger les failles avant qu’elles ne soient exploitées.

2. Sécurité offensive

L’attaque éthique

La sécurité offensive est pratiquée par des pentesters (testeurs d’intrusion) et des red teams (équipes rouges).

info

Leur mission est de simuler des attaques pour identifier les vulnérabilités.

Techniques utilisées :

  • Scan de ports : Identifier les services ouverts sur un serveur.
  • Exploitation des failles : Utiliser des vulnérabilités connues pour entrer dans un système.
  • Ingénierie sociale : Tromper un utilisateur pour obtenir des informations sensibles.
  • Attaques par force brute : Tester de nombreux mots de passe jusqu’à trouver le bon.

3. Red Team vs Blue Team

Une bataille permanente

Les red teams attaquent pour tester la sécurité, tandis que les blue teams défendent.

Certaines entreprises organisent des simulations où ces deux équipes s’affrontent pour améliorer la sécurité globale.

Les différents acteurs de la cybersécurité

Équipes (Teams)

Équipes (Teams)Rôle
Red TeamAttaque et test d’intrusion
Blue TeamDéfense et protection
Purple TeamCollaboration entre attaque et défense
Green TeamFormation et sensibilisation
Yellow TeamDéveloppement sécurisé
Les différentes équipes en cybersécurité (Teams)

En cybersécurité, plusieurs équipes sont spécialisées dans des aspects précis de la sécurité des systèmes informatiques. Elles sont souvent désignées par des couleurs :

  • Red Team (Équipe rouge) :

    • Son rôle est d’attaquer un système pour tester sa sécurité.
    • Elle simule des attaques réelles pour identifier les vulnérabilités avant qu’un pirate ne les exploite.
    • Elle utilise des techniques comme le pentesting (test d’intrusion), l’ingénierie sociale et l’exploitation de failles.
  • Blue Team (Équipe bleue) :

    • Elle est chargée de défendre les systèmes contre les attaques.
    • Elle met en place des pare-feu, des systèmes de détection d’intrusion (IDS) et surveille les activités suspectes.
    • Son objectif est de réagir rapidement aux menaces et de renforcer la sécurité.
  • Purple Team (Équipe violette) :

    • Elle fait le lien entre la Red Team et la Blue Team.
    • Elle analyse les attaques de la Red Team et aide la Blue Team à améliorer ses défenses.
    • Elle favorise la collaboration entre attaque et défense pour renforcer la sécurité globale.
  • Green Team (Équipe verte) :

    • Elle se concentre sur la formation et la sensibilisation des employés à la cybersécurité.
    • Elle enseigne les bonnes pratiques pour éviter les erreurs humaines, comme les phishing ou les mots de passe faibles.
  • Yellow Team (Équipe jaune) :

    • Elle est spécialisée dans le développement sécurisé des logiciels et applications.
    • Elle travaille avec les développeurs pour éviter d’introduire des failles dès la conception.

Hackers (Hats)

Chapeaux (Hats)Type de hacker
Black HatCybercriminel, attaque illégale
White HatHacker éthique, améliore la sécurité
Gray HatEntre bien et mal, signale les failles sans autorisation
Red HatJusticier, traque les cybercriminels
Blue HatTesteur de sécurité avant lancement
Green HatDébutant en cybersécurité
Les différents types de hackers (Chapeaux)

Les hackers sont souvent classés en fonction de leurs intentions et de leurs actions, en utilisant des couleurs de chapeaux :

  • Black Hat (Chapeau noir) :

    • Ce sont les cybercriminels qui exploitent les failles pour voler des données, propager des virus ou demander des rançons.
    • Ils agissent illégalement et causent des dommages aux entreprises et aux particuliers.
  • White Hat (Chapeau blanc) :

    • Ce sont les hackers éthiques qui utilisent leurs compétences pour améliorer la sécurité.
    • Ils travaillent souvent pour des entreprises en tant que pentesters ou chercheurs en cybersécurité.
  • Gray Hat (Chapeau gris) :

    • Ils sont entre le bien et le mal : ils peuvent exploiter des failles sans autorisation, mais sans intention malveillante.
    • Par exemple, ils trouvent une faille et la signalent à l’entreprise, mais parfois en demandant une récompense.
  • Red Hat (Chapeau rouge) :

    • Ils sont comparés à des "justiciers" de la cybersécurité.
    • Contrairement aux White Hats, ils traquent activement les Black Hats et peuvent utiliser des méthodes agressives pour les neutraliser.
  • Blue Hat (Chapeau bleu) :

    • Ce sont des hackers qui testent la sécurité d’un système avant son lancement.
    • Ils sont souvent engagés par des entreprises pour détecter des failles avant qu’un produit ne soit mis sur le marché.
  • Green Hat (Chapeau vert) :

    • Ce sont des débutants en hacking qui cherchent à apprendre.
    • Ils posent beaucoup de questions et veulent améliorer leurs compétences en cybersécurité.

Exemple pratique

Un test d’intrusion dans une entreprise

Une entreprise veut tester la sécurité de son réseau interne. Elle engage une red team pour simuler une attaque et une blue team pour défendre le système.

Étape 1 : Phase de reconnaissance (Red Team)

  • La red team scanne le réseau avec nmap pour identifier les services ouverts.
  • Elle trouve un serveur web avec une version obsolète d’Apache.

Étape 2 : Exploitation de la faille (Red Team)

  • La red team utilise Metasploit pour exploiter une faille connue sur Apache.
  • Elle obtient un accès non autorisé au serveur.

Étape 3 : Détection et réponse (Blue Team)

  • La blue team détecte une activité suspecte grâce à son IDS (Intrusion Detection System).
  • Elle bloque l’adresse IP de l’attaquant et applique un correctif de sécurité.

Étape 4 : Analyse post-attaque

  • La blue team analyse les journaux pour comprendre comment l’attaque a eu lieu.
  • Elle met en place une politique de mise à jour automatique pour éviter ce type d’attaque à l’avenir.

Grâce à cet exercice, l’entreprise renforce sa sécurité et corrige ses failles avant qu’un véritable pirate ne les exploite.

Test de mémorisation/compréhension


Quel est l'objectif principal de la sécurité offensive ?


Quelle équipe est responsable de la défense d'un système ?


Quelle technique appartient à la sécurité offensive ?


Quel outil est souvent utilisé pour tester les failles de sécurité ?


Que signifie IDS en cybersécurité ?


Quelle est la principale mission d'une red team ?


Quelle action fait partie de la sécurité défensive ?


Pourquoi les mises à jour de sécurité sont-elles importantes ?


Quel est un exemple d'ingénierie sociale ?


Quelle est la meilleure approche pour sécuriser un système ?


Questions sur les acteurs de la cybersécurité


Quel est le rôle principal de la Purple Team en cybersécurité ?


Quelle équipe est spécialisée dans la formation et la sensibilisation à la cybersécurité ?


Quel type de hacker est souvent engagé par des entreprises pour tester la sécurité avant le lancement d’un produit ?


Quelle est la principale différence entre un White Hat et un Gray Hat ?


Quel est l’objectif principal d’une Yellow Team en cybersécurité ?


Quel type de hacker est connu pour traquer activement les cybercriminels et utiliser des méthodes agressives contre eux ?


Quelle équipe est responsable de la mise en place de pare-feu et de systèmes de détection d'intrusion (IDS) ?


Quel type de hacker est généralement un débutant cherchant à apprendre les techniques de cybersécurité ?


Pourquoi la Purple Team est-elle essentielle dans une organisation de cybersécurité ?


Quel est le principal risque associé aux hackers Gray Hat ?


TP pour réfléchir et résoudre des problèmes

Contexte

Une entreprise souhaite tester la sécurité de son réseau interne. Elle demande à une équipe de cybersécurité de simuler une attaque et de mettre en place des défenses.

Objectifs

  1. Phase offensive :

    • Utiliser un outil comme nmap pour scanner un réseau et identifier les services ouverts.
    • Trouver une version obsolète d’un service et expliquer comment elle pourrait être exploitée.
  2. Phase défensive :

    • Proposer des solutions pour bloquer l’attaque (pare-feu, IDS, mise à jour).
    • Expliquer comment surveiller les tentatives d’intrusion.
Une solution