Que sont les équipes rouges et les équipes bleues ?
Les exercices de l’équipe rouge et de l’équipe bleue identifient les domaines d’amélioration grâce à une approche à faible impact et à faible risque. Les équipes rouges s’efforcent de surmonter les défenses de cybersécurité d’une organisation lors d’une attaque simulée afin d’évaluer la force des capacités de sécurité existantes de l’organisation. Les équipes Blue travaillent pour protéger les actifs critiques de l’organisation contre ces menaces de cybersécurité simulées, ainsi que contre les menaces réelles qui peuvent survenir.
« L’équipe rouge est similaire mais pas identique aux tests d’intrusion. Elle implique la poursuite d’un ou plusieurs objectifs, généralement exécutés sous forme de campagne. Les principales différences entre l’équipe rouge et les tests d’intrusion sont la profondeur et la portée », explique Stew Wolfe, responsable de la cybersécurité de la technologie et de la transformation pour Cisco. « Les tests d’intrusion sont conçus pour identifier et exploiter autant de vulnérabilités que possible sur une courte période de temps, tandis que l’équipe rouge est une évaluation plus approfondie menée sur une période de plusieurs semaines. Il est conçu pour tester les capacités de détection et de réponse d’une organisation et atteindre les objectifs fixés, tels que l’exfiltration de données.
EXPLORER: Apprenez à créer un plan de réponse aux incidents efficace pour les soins de santé.
Les équipes bleues, quant à elles, font référence à une équipe de sécurité interne qui se défend à la fois contre les vrais attaquants et les équipes rouges, qui sont souvent indépendantes de l’équipe informatique d’un établissement de santé. Cependant, une équipe interne dédiée peut être chargée des exercices de red teaming.
Les membres de l’équipe Red doivent avoir une expérience des tactiques, des techniques, des protocoles et des procédures de cybersécurité, ainsi qu’une compréhension de la manière d’accéder aux réseaux sans déclencher d’alarmes, explique Drex DeFord, stratège exécutif en soins de santé chez CrowdStrike. Le besoin de ces compétences conduit souvent les organisations de santé à se tourner vers des partenaires de sécurité ayant une expertise en matière de menaces.
Dans une évaluation de l’équipe rouge, l’équipe bleue n’est pas informée du moment où l’exercice aura lieu. Bien que la collaboration soit généralement recommandée dans l’informatique des soins de santé, l’équipe rouge et l’équipe bleue doivent fonctionner de manière isolée pour que l’exercice fonctionne.
« Les experts en sécurité du monde entier soulignent souvent que la sécurité absolue est un mythe. Les organisations ne peuvent pas penser que, puisqu’elles ont mis en place toutes les mesures de sécurité possibles, elles ne peuvent pas être attaquées. Le paysage des menaces change constamment, et ce genre d’état d’esprit peut faire plus de mal que de bien », déclare Wolfe. « Le maintien de la sécurité de l’infrastructure informatique est un processus continu. Si la mise en œuvre d’un plan de réponse aux incidents ou son test dans des environnements contrôlés peut donner des résultats parfaits, les failles ne sont identifiées que lorsqu’une véritable attaque est détectée. Alors que l’équipe rouge mène une attaque qui est défendue par l’équipe bleue en temps réel, la question de savoir si la réponse de l’organisation aux incidents fonctionne ou non est résolue au cours d’une attaque.
Comment les responsables informatiques de la santé mènent-ils les exercices de l’équipe rouge par rapport à l’équipe bleue ?
Les activités de l’équipe rouge suivent généralement le cadre MITRE ATT&CK, qui est une base de connaissances accessible à l’échelle mondiale sur les tactiques, les techniques et les méthodes de l’adversaire basées sur l’expérience et les événements du monde réel. Le cadre MITRE ATT&CK sert de base au développement de capacités de prévention, de détection et de réponse qui peuvent être personnalisées en fonction des besoins uniques de chaque établissement de santé ainsi que des nouveaux développements dans le paysage des menaces.
« L’objectif principal est de réaliser un scénario d’attaque réel pour identifier les menaces potentielles pour l’écosystème informatique d’une organisation dans une perspective plus large, plutôt que de se limiter à un ensemble spécifique d’actifs identifiés », explique Wolfe. « Lorsqu’une équipe rouge effectue ses exercices, l’efficacité de son homologue bleue à se défendre contre une attaque peut être analysée. »
Lorsqu’une équipe bleue détecte qu’une attaque est en cours, le plan de réponse aux incidents de l’organisation entrera en jeu.
LIRE LA SUITE: Découvrez 8 façons de créer une solide culture de sécurité dans les soins de santé.
« D’un côté, l’équipe rouge tente d’utiliser ses tactiques pour lancer une attaque. L’équipe bleue, d’autre part, se défend contre l’attaque, tout en s’assurant que les temps d’arrêt sont minimes et que les effets sur les opérations de santé normales sont minimisés », explique Wolfe. « Si l’équipe bleue ne parvient pas à se défendre contre une attaque, la rapidité avec laquelle elle réagit à un incident de sécurité est un autre résultat précieux pour une organisation. »
DeFord explique que ces exercices peuvent évoluer à mesure que l’équipe de sécurité d’un organisme de santé acquiert de l’expérience. Ils peuvent commencer par des attaques planifiées dont l’équipe bleue est au courant. Finalement, après que des ajustements aient été apportés au fil du temps en fonction des résultats de ces exercices, les attaques de l’équipe rouge peuvent se produire à tout moment.
« À ce stade, l’équipe bleue doit toujours être prête, car c’est le monde réel, et c’est l’endroit où nous vivons aujourd’hui », explique DeFord.
Cliquez sur la bannière ci-dessous pour plus de contenu de planification de la sécurité et de la réponse aux incidents de HealthTech.
