En quoi l’équipe violette est-elle différente des équipes rouges et bleues ?
Les équipes violettes existent pour maximiser l’efficacité des équipes rouges et bleues en intégrant les tactiques et les contrôles défensifs de l’équipe bleue avec les informations sur les menaces et les vulnérabilités découvertes par l’équipe rouge dans un seul récit.
Une équipe bleue est l’équipe de sécurité interne d’un établissement de santé ; une équipe rouge, qui peut être une équipe interne dédiée ou un partenaire de sécurité, tente des attaques pour tester ces défenses. Au cours des exercices d’équipe violets, les deux équipes travaillent ensemble pour déterminer comment les attaques sont détectées et déjouées.
« Idéalement, le violet ne devrait pas du tout être une équipe, mais plutôt une dynamique permanente entre le rouge et le bleu. Des soins de santé aux services publics et aux agences gouvernementales, les RSSI utilisent des analyses et des rapports d’évaluations d’équipes violettes, où les équipes rouges (infraction) et bleues (défense) travaillent en collaboration pour évaluer les systèmes d’une organisation, découvrir les zones de vulnérabilité et d’exposition, et faire rapport à le conseil d’administration sur la posture globale de cybersécurité de l’organisation », déclare Stew Wolfe, responsable de la cybersécurité de la technologie et de la transformation pour Cisco. « L’engagement de l’équipe Purple est précieux pour les dirigeants et les membres du conseil d’administration car au lieu d’avoir une conversation autour d’hypothèses, l’équipe peut montrer des résultats réels basés sur l’environnement unique de l’entreprise, les technologies et les joyaux de la couronne. Cela change la discussion de « Un attaquant aurait pu faire cela » en « Voici ce qu’un attaquant a fait et l’impact sur notre organisation ».
APPRENDRE ENCORE PLUS: Découvrez pourquoi les partenariats sont importants pour la sécurité des soins de santé et la réponse aux incidents.
Comment les exercices de l’équipe Purple profitent aux organisations de santé
Alors que les attaques de ransomware augmentent, les RSSI de la santé recherchent des méthodes efficaces pour réduire les risques au-delà des moyens traditionnels tels que les tests d’intrusion. Les exercices d’équipe violets sont un élément essentiel de toute stratégie de sécurité solide et efficace.
« Idéalement, ces exercices aident l’organisation à identifier les faiblesses des personnes, des processus et des technologies au sein du périmètre du réseau, ainsi qu’à identifier les failles de sécurité telles que les portes dérobées, la capacité de réponse aux incidents et à identifier d’autres vulnérabilités pouvant exister au sein de l’architecture de sécurité », explique Wolfe. . « Après les exercices, un établissement de santé aura quelque chose de plus tangible à discuter au niveau stratégique sur la politique, la priorisation et le financement de la sécurité, et pourra s’adapter en fonction des résultats. »
Plus une équipe bleue acquiert de l’expérience pratique dans la défense contre les cyberattaques, meilleure elle deviendra. Les exercices des équipes violettes aident les équipes bleues à améliorer leurs activités de remédiation.
« Dans le domaine de la santé, nous parlons de personnes, de processus et de technologie. Ces trois éléments peuvent poser des problèmes ou des défis en matière de cybersécurité. Les gens peuvent, grâce à des processus d’ingénierie sociale, être convaincus de renoncer à leurs références. Le processus et les aspects technologiques sont plus explicites », explique Drex DeFord, stratège exécutif en soins de santé chez CrowdStrike. «Nous avons des façons particulières de faire les choses à l’intérieur des réseaux ou à l’intérieur des programmes de cybersécurité, et parfois, ces choses ont trop d’étapes, où il y a quelque chose que nous avons omis. Nous recherchons toutes ces choses. Tout ce que nous pouvons trouver là où il y a une vulnérabilité dans ces personnes, processus, technologie ou pièces, c’est un bon résultat et c’est une bonne raison de faire les exercices.
Ces exercices peuvent également mettre en évidence des faiblesses d’infrastructures pas nécessairement liées à la sécurité. DeFord explique que les organisations de soins de santé construisent souvent leurs infrastructures informatiques progressivement au fil du temps d’une manière qui peut créer des faiblesses.
« Si une certaine chose se produit dans l’infrastructure, cela peut en fait provoquer un effet de cascade dans les temps d’arrêt », ajoute-t-il. « Il s’agit en grande partie de trouver des problèmes et des problèmes qui facilitent les temps d’arrêt, qui peuvent être causés par des incidents de cybersécurité ou également par d’autres facteurs. Si l’équipe rouge en est la cause, cependant, c’est une opportunité pour nous d’apprendre, et c’est vraiment le but de tout l’exercice. »
Cliquez sur la bannière ci-dessous pour plus de contenu HealthTech sur la planification de la sécurité et de la réponse aux incidents.
