Sécurité offensive vs défensive

Notions théoriques

Attaque et défense

La cybersécurité est essentielle pour protéger les systèmes informatiques contre les menaces.

On distingue 2 types de sécurité :

1. La sécurité défensive : La sécurité défensive vise à protéger les systèmes en mettant en place des mesures de sécurité pour empêcher les attaques.

2. La sécurité offensive : La sécurité offensive consiste à tester la sécurité d’un système en adoptant la posture d’un attaquant.

   L’objectif est de détecter les failles avant qu’un pirate ne les exploite.

1. Sécurité défensive

La protection des systèmes

La sécurité défensive est assurée par des blue teams (équipes bleues) et des administrateurs système.

info

Leur rôle est de protéger les infrastructures contre les attaques.

Mesures de protection :

• Pare-feu : Bloquer les connexions suspectes.
• Systèmes de détection d’intrusion (IDS) : Identifier les comportements anormaux.
• Chiffrement des données : Rendre les informations illisibles sans clé de déchiffrement.
• Mises à jour de sécurité : Corriger les failles avant qu’elles ne soient exploitées.

2. Sécurité offensive

L’attaque éthique

La sécurité offensive est pratiquée par des pentesters (testeurs d’intrusion) et des red teams (équipes rouges).

info

Leur mission est de simuler des attaques pour identifier les vulnérabilités.

Techniques utilisées :

• Scan de ports : Identifier les services ouverts sur un serveur.
• Exploitation des failles : Utiliser des vulnérabilités connues pour entrer dans un système.
• Ingénierie sociale : Tromper un utilisateur pour obtenir des informations sensibles.
• Attaques par force brute : Tester de nombreux mots de passe jusqu’à trouver le bon.

3. Red Team vs Blue Team

Une bataille permanente

Les red teams attaquent pour tester la sécurité, tandis que les blue teams défendent.

Certaines entreprises organisent des simulations où ces deux équipes s’affrontent pour améliorer la sécurité globale.

Les différents acteurs de la cybersécurité

Équipes (Teams)

Équipes (Teams)	Rôle
Red Team	Attaque et test d’intrusion
Blue Team	Défense et protection
Purple Team	Collaboration entre attaque et défense
Green Team	Formation et sensibilisation
Yellow Team	Développement sécurisé

Les différentes équipes en cybersécurité (Teams)

En cybersécurité, plusieurs équipes sont spécialisées dans des aspects précis de la sécurité des systèmes informatiques. Elles sont souvent désignées par des couleurs :

• Red Team (Équipe rouge) :

  • Son rôle est d’attaquer un système pour tester sa sécurité.
  • Elle simule des attaques réelles pour identifier les vulnérabilités avant qu’un pirate ne les exploite.
  • Elle utilise des techniques comme le pentesting (test d’intrusion), l’ingénierie sociale et l’exploitation de failles.

• Blue Team (Équipe bleue) :

  • Elle est chargée de défendre les systèmes contre les attaques.
  • Elle met en place des pare-feu, des systèmes de détection d’intrusion (IDS) et surveille les activités suspectes.
  • Son objectif est de réagir rapidement aux menaces et de renforcer la sécurité.

• Purple Team (Équipe violette) :

  • Elle fait le lien entre la Red Team et la Blue Team.
  • Elle analyse les attaques de la Red Team et aide la Blue Team à améliorer ses défenses.
  • Elle favorise la collaboration entre attaque et défense pour renforcer la sécurité globale.

• Green Team (Équipe verte) :

  • Elle se concentre sur la formation et la sensibilisation des employés à la cybersécurité.
  • Elle enseigne les bonnes pratiques pour éviter les erreurs humaines, comme les phishing ou les mots de passe faibles.

• Yellow Team (Équipe jaune) :

  • Elle est spécialisée dans le développement sécurisé des logiciels et applications.
  • Elle travaille avec les développeurs pour éviter d’introduire des failles dès la conception.

Hackers (Hats)

Chapeaux (Hats)	Type de hacker
Black Hat	Cybercriminel, attaque illégale
White Hat	Hacker éthique, améliore la sécurité
Gray Hat	Entre bien et mal, signale les failles sans autorisation
Red Hat	Justicier, traque les cybercriminels
Blue Hat	Testeur de sécurité avant lancement
Green Hat	Débutant en cybersécurité

Les différents types de hackers (Chapeaux)

Les hackers sont souvent classés en fonction de leurs intentions et de leurs actions, en utilisant des couleurs de chapeaux :

• Black Hat (Chapeau noir) :

  • Ce sont les cybercriminels qui exploitent les failles pour voler des données, propager des virus ou demander des rançons.
  • Ils agissent illégalement et causent des dommages aux entreprises et aux particuliers.

• White Hat (Chapeau blanc) :

  • Ce sont les hackers éthiques qui utilisent leurs compétences pour améliorer la sécurité.
  • Ils travaillent souvent pour des entreprises en tant que pentesters ou chercheurs en cybersécurité.

• Gray Hat (Chapeau gris) :

  • Ils sont entre le bien et le mal : ils peuvent exploiter des failles sans autorisation, mais sans intention malveillante.
  • Par exemple, ils trouvent une faille et la signalent à l’entreprise, mais parfois en demandant une récompense.

• Red Hat (Chapeau rouge) :

  • Ils sont comparés à des "justiciers" de la cybersécurité.
  • Contrairement aux White Hats, ils traquent activement les Black Hats et peuvent utiliser des méthodes agressives pour les neutraliser.

• Blue Hat (Chapeau bleu) :

  • Ce sont des hackers qui testent la sécurité d’un système avant son lancement.
  • Ils sont souvent engagés par des entreprises pour détecter des failles avant qu’un produit ne soit mis sur le marché.

• Green Hat (Chapeau vert) :

  • Ce sont des débutants en hacking qui cherchent à apprendre.
  • Ils posent beaucoup de questions et veulent améliorer leurs compétences en cybersécurité.

Exemple pratique

Un test d’intrusion dans une entreprise

Une entreprise veut tester la sécurité de son réseau interne. Elle engage une red team pour simuler une attaque et une blue team pour défendre le système.

Étape 1 : Phase de reconnaissance (Red Team)

• La red team scanne le réseau avec nmap pour identifier les services ouverts.
• Elle trouve un serveur web avec une version obsolète d’Apache.

Étape 2 : Exploitation de la faille (Red Team)

• La red team utilise Metasploit pour exploiter une faille connue sur Apache.
• Elle obtient un accès non autorisé au serveur.

Étape 3 : Détection et réponse (Blue Team)

• La blue team détecte une activité suspecte grâce à son IDS (Intrusion Detection System).
• Elle bloque l’adresse IP de l’attaquant et applique un correctif de sécurité.

Étape 4 : Analyse post-attaque

• La blue team analyse les journaux pour comprendre comment l’attaque a eu lieu.
• Elle met en place une politique de mise à jour automatique pour éviter ce type d’attaque à l’avenir.

Grâce à cet exercice, l’entreprise renforce sa sécurité et corrige ses failles avant qu’un véritable pirate ne les exploite.

Test de mémorisation/compréhension

Quel est l'objectif principal de la sécurité offensive ?

Défendre un système contre les éventuelles attaques

Simuler des attaques pour détecter les failles

Créer des virus pour tester leur efficacité

Quelle équipe est responsable de la défense d'un système ?

Red Team

Blue Team

Hackers indépendants

Quelle technique appartient à la sécurité offensive ?

Mise en place d'un pare-feu

Scan de ports

Chiffrement des données

Quel outil est souvent utilisé pour tester les failles de sécurité ?

Metasploit

Firewall

Antivirus

Que signifie IDS en cybersécurité ?

Internet Data Service

Intrusion Detection System

Information Defense System

Quelle est la principale mission d'une red team ?

Corriger les vulnérabilités d'un système

Simuler des attaques pour tester la sécurité

Surveiller les connexions réseau en temps réel

Quelle action fait partie de la sécurité défensive ?

Exploiter une faille pour tester un système

Bloquer une adresse IP suspecte

Utiliser un keylogger pour récupérer des mots de passe

Pourquoi les mises à jour de sécurité sont-elles importantes ?

Elles rendent le système d'exploitation et les logiciels plus rapides

Elles corrigent les vulnérabilités exploitées par les hackers

Elles suppriment les fichiers inutiles du système

Quel est un exemple d'ingénierie sociale ?

Envoyer un email frauduleux pour obtenir des informations

Scanner un réseau pour détecter des ports ouverts

Utiliser un pare-feu pour bloquer les connexions suspectes

Quelle est la meilleure approche pour sécuriser un système ?

Se concentrer uniquement sur la défense

Utiliser à la fois la sécurité offensive et défensive

Ne pas mettre à jour les systèmes pour éviter les bugs

Questions sur les acteurs de la cybersécurité

Quel est le rôle principal de la Purple Team en cybersécurité ?

Attaquer les systèmes pour identifier les failles

Défendre les systèmes contre les cyberattaques

Créer des logiciels sécurisés

Faciliter la collaboration entre Red Team et Blue Team

Former les employés aux bonnes pratiques

Quelle équipe est spécialisée dans la formation et la sensibilisation à la cybersécurité ?

Red Team

Blue Team

Purple Team

Green Team

Yellow Team

Quel type de hacker est souvent engagé par des entreprises pour tester la sécurité avant le lancement d’un produit ?

Black Hat

White Hat

Red Hat

Blue Hat

Gray Hat

Quelle est la principale différence entre un White Hat et un Gray Hat ?

Le White Hat agit légalement, le Gray Hat peut exploiter des failles sans autorisation

Le White Hat attaque les entreprises, le Gray Hat les protège

Le White Hat est un cybercriminel, le Gray Hat est un justicier

Le White Hat ne signale jamais les failles, le Gray Hat les corrige

Le White Hat travaille uniquement pour le gouvernement, le Gray Hat pour des entreprises privées

Quel est l’objectif principal d’une Yellow Team en cybersécurité ?

Tester la sécurité des systèmes

Développer des logiciels sécurisés

Former les employés aux bonnes pratiques

Attaquer les systèmes pour identifier les failles

Surveiller les activités suspectes en temps réel

Quel type de hacker est connu pour traquer activement les cybercriminels et utiliser des méthodes agressives contre eux ?

Black Hat

White Hat

Gray Hat

Red Hat

Blue Hat

Quelle équipe est responsable de la mise en place de pare-feu et de systèmes de détection d'intrusion (IDS) ?

Red Team

Blue Team

Purple Team

Yellow Team

Green Team

Quel type de hacker est généralement un débutant cherchant à apprendre les techniques de cybersécurité ?

Black Hat

White Hat

Gray Hat

Red Hat

Green Hat

Pourquoi la Purple Team est-elle essentielle dans une organisation de cybersécurité ?

Elle surveille les cybercriminels sur le dark web

Elle attaque les entreprises concurrentes pour obtenir des informations

Elle permet une meilleure communication entre les équipes offensives et défensives

Elle développe des logiciels antivirus

Elle remplace la Red Team et la Blue Team en cas d'attaque

Quel est le principal risque associé aux hackers Gray Hat ?

Ils sont souvent engagés par des gouvernements pour mener des cyberattaques

Ils exploitent des failles sans autorisation et peuvent demander une récompense pour les divulguer

Ils développent des logiciels malveillants pour infecter les entreprises

Ils forment les Black Hats aux techniques de hacking avancées

Ils sont spécialisés dans le phishing et le vol d'identité

TP pour réfléchir et résoudre des problèmes

Contexte

Une entreprise souhaite tester la sécurité de son réseau interne. Elle demande à une équipe de cybersécurité de simuler une attaque et de mettre en place des défenses.

Objectifs

1. Phase offensive :

   • Utiliser un outil comme nmap pour scanner un réseau et identifier les services ouverts.
   • Trouver une version obsolète d’un service et expliquer comment elle pourrait être exploitée.

2. Phase défensive :

   • Proposer des solutions pour bloquer l’attaque (pare-feu, IDS, mise à jour).
   • Expliquer comment surveiller les tentatives d’intrusion.

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :