Sécurité offensive vs défensive
Notions théoriques
Attaque et défense
La cybersécurité est essentielle pour protéger les systèmes informatiques contre les menaces.
On distingue 2 types de sécurité :
-
La sécurité défensive : La sécurité défensive vise à protéger les systèmes en mettant en place des mesures de sécurité pour empêcher les attaques.
-
La sécurité offensive : La sécurité offensive consiste à tester la sécurité d’un système en adoptant la posture d’un attaquant.
L’objectif est de détecter les failles avant qu’un pirate ne les exploite.
1. Sécurité défensive
La protection des systèmes
La sécurité défensive est assurée par des blue teams (équipes bleues) et des administrateurs système.
Leur rôle est de protéger les infrastructures contre les attaques.
Mesures de protection :
- Pare-feu : Bloquer les connexions suspectes.
- Systèmes de détection d’intrusion (IDS) : Identifier les comportements anormaux.
- Chiffrement des données : Rendre les informations illisibles sans clé de déchiffrement.
- Mises à jour de sécurité : Corriger les failles avant qu’elles ne soient exploitées.
2. Sécurité offensive
L’attaque éthique
La sécurité offensive est pratiquée par des pentesters (testeurs d’intrusion) et des red teams (équipes rouges).
Leur mission est de simuler des attaques pour identifier les vulnérabilités.
Techniques utilisées :
- Scan de ports : Identifier les services ouverts sur un serveur.
- Exploitation des failles : Utiliser des vulnérabilités connues pour entrer dans un système.
- Ingénierie sociale : Tromper un utilisateur pour obtenir des informations sensibles.
- Attaques par force brute : Tester de nombreux mots de passe jusqu’à trouver le bon.
3. Red Team vs Blue Team
Une bataille permanente
Les red teams attaquent pour tester la sécurité, tandis que les blue teams défendent.
Certaines entreprises organisent des simulations où ces deux équipes s’affrontent pour améliorer la sécurité globale.
Les différents acteurs de la cybersécurité
Équipes (Teams)
Équipes (Teams) | Rôle |
---|---|
Red Team | Attaque et test d’intrusion |
Blue Team | Défense et protection |
Purple Team | Collaboration entre attaque et défense |
Green Team | Formation et sensibilisation |
Yellow Team | Développement sécurisé |
Les différentes équipes en cybersécurité (Teams)
En cybersécurité, plusieurs équipes sont spécialisées dans des aspects précis de la sécurité des systèmes informatiques. Elles sont souvent désignées par des couleurs :
-
Red Team (Équipe rouge) :
- Son rôle est d’attaquer un système pour tester sa sécurité.
- Elle simule des attaques réelles pour identifier les vulnérabilités avant qu’un pirate ne les exploite.
- Elle utilise des techniques comme le pentesting (test d’intrusion), l’ingénierie sociale et l’exploitation de failles.
-
Blue Team (Équipe bleue) :
- Elle est chargée de défendre les systèmes contre les attaques.
- Elle met en place des pare-feu, des systèmes de détection d’intrusion (IDS) et surveille les activités suspectes.
- Son objectif est de réagir rapidement aux menaces et de renforcer la sécurité.
-
Purple Team (Équipe violette) :
- Elle fait le lien entre la Red Team et la Blue Team.
- Elle analyse les attaques de la Red Team et aide la Blue Team à améliorer ses défenses.
- Elle favorise la collaboration entre attaque et défense pour renforcer la sécurité globale.
-
Green Team (Équipe verte) :
- Elle se concentre sur la formation et la sensibilisation des employés à la cybersécurité.
- Elle enseigne les bonnes pratiques pour éviter les erreurs humaines, comme les phishing ou les mots de passe faibles.
-
Yellow Team (Équipe jaune) :
- Elle est spécialisée dans le développement sécurisé des logiciels et applications.
- Elle travaille avec les développeurs pour éviter d’introduire des failles dès la conception.
Hackers (Hats)
Chapeaux (Hats) | Type de hacker |
---|---|
Black Hat | Cybercriminel, attaque illégale |
White Hat | Hacker éthique, améliore la sécurité |
Gray Hat | Entre bien et mal, signale les failles sans autorisation |
Red Hat | Justicier, traque les cybercriminels |
Blue Hat | Testeur de sécurité avant lancement |
Green Hat | Débutant en cybersécurité |
Les différents types de hackers (Chapeaux)
Les hackers sont souvent classés en fonction de leurs intentions et de leurs actions, en utilisant des couleurs de chapeaux :
-
Black Hat (Chapeau noir) :
- Ce sont les cybercriminels qui exploitent les failles pour voler des données, propager des virus ou demander des rançons.
- Ils agissent illégalement et causent des dommages aux entreprises et aux particuliers.
-
White Hat (Chapeau blanc) :
- Ce sont les hackers éthiques qui utilisent leurs compétences pour améliorer la sécurité.
- Ils travaillent souvent pour des entreprises en tant que pentesters ou chercheurs en cybersécurité.
-
Gray Hat (Chapeau gris) :
- Ils sont entre le bien et le mal : ils peuvent exploiter des failles sans autorisation, mais sans intention malveillante.
- Par exemple, ils trouvent une faille et la signalent à l’entreprise, mais parfois en demandant une récompense.
-
Red Hat (Chapeau rouge) :
- Ils sont comparés à des "justiciers" de la cybersécurité.
- Contrairement aux White Hats, ils traquent activement les Black Hats et peuvent utiliser des méthodes agressives pour les neutraliser.
-
Blue Hat (Chapeau bleu) :
- Ce sont des hackers qui testent la sécurité d’un système avant son lancement.
- Ils sont souvent engagés par des entreprises pour détecter des failles avant qu’un produit ne soit mis sur le marché.
-
Green Hat (Chapeau vert) :
- Ce sont des débutants en hacking qui cherchent à apprendre.
- Ils posent beaucoup de questions et veulent améliorer leurs compétences en cybersécurité.
Exemple pratique
Un test d’intrusion dans une entreprise
Une entreprise veut tester la sécurité de son réseau interne. Elle engage une red team pour simuler une attaque et une blue team pour défendre le système.
Étape 1 : Phase de reconnaissance (Red Team)
- La red team scanne le réseau avec nmap pour identifier les services ouverts.
- Elle trouve un serveur web avec une version obsolète d’Apache.
Étape 2 : Exploitation de la faille (Red Team)
- La red team utilise Metasploit pour exploiter une faille connue sur Apache.
- Elle obtient un accès non autorisé au serveur.
Étape 3 : Détection et réponse (Blue Team)
- La blue team détecte une activité suspecte grâce à son IDS (Intrusion Detection System).
- Elle bloque l’adresse IP de l’attaquant et applique un correctif de sécurité.
Étape 4 : Analyse post-attaque
- La blue team analyse les journaux pour comprendre comment l’attaque a eu lieu.
- Elle met en place une politique de mise à jour automatique pour éviter ce type d’attaque à l’avenir.
Grâce à cet exercice, l’entreprise renforce sa sécurité et corrige ses failles avant qu’un véritable pirate ne les exploite.
Test de mémorisation/compréhension
Questions sur les acteurs de la cybersécurité
TP pour réfléchir et résoudre des problèmes
Contexte
Une entreprise souhaite tester la sécurité de son réseau interne. Elle demande à une équipe de cybersécurité de simuler une attaque et de mettre en place des défenses.
Objectifs
-
Phase offensive :
- Utiliser un outil comme nmap pour scanner un réseau et identifier les services ouverts.
- Trouver une version obsolète d’un service et expliquer comment elle pourrait être exploitée.
-
Phase défensive :
- Proposer des solutions pour bloquer l’attaque (pare-feu, IDS, mise à jour).
- Expliquer comment surveiller les tentatives d’intrusion.
Une solution
Vous devez être connecté pour voir le contenu.