Équipe bleue (sécurité informatique)
Une équipe bleue est un groupe de personnes qui effectuent une analyse des systèmes d’information pour assurer la sécurité, identifier les failles de sécurité, vérifier l’efficacité de chaque mesure de sécurité et veiller à ce que toutes les mesures de sécurité continuent d’être efficaces après leur mise en œuvre[1].
Histoire
modifierÀ l'origine le cadre de la « United States computer security defense initiative », les équipes rouges ont été développées pour exploiter d'autres entités malveillantes qui leur font du mal. En conséquence, des équipes bleues ont été créées pour concevoir des mesures de défense contre de telles activités[2].
Réponse à l'incident
modifierSi un incident se produit au sein de l'organisation, l'équipe bleue effectuera les six étapes pour gérer événement:
- Préparation
- Identification
- Endiguement
- Éradication
- Récupération
- Leçons apprises[3]
Durcissement du système d'exploitation
modifierEn prévision d'un incident de sécurité informatique, l'équipe bleue appliquera des techniques de renforcement de tous les systèmes d'exploitation de l'entreprise[4].
Défense de périmètre
modifierL'équipe bleue doit toujours garder à l'esprit le périmètre du réseau, notamment le flux de trafic, le filtrage de paquets, les pare-feu proxy et les systèmes de détection d'intrusion[4].
Outils
modifierLes équipes bleues utilisent un large éventail d’outils leur permettant de détecter une attaque, de collecter des données judiciaires, d’analyser des données, d’apporter des modifications aux menaces futures et d’atténuer les menaces.
Technologie de gestion des informations et des événements de sécurité (SIEM)
modifierLes logiciels de type SIEM prennent en charge la détection des menaces et la réponse aux incidents de sécurité en effectuant une collecte de données en temps réel et une analyse des événements de sécurité. Ce type de logiciel utilise également des sources de données extérieures au réseau, notamment des informations sur les menaces des indicateurs de compromis (IoC).
Liste de SIEM:
Voir également
modifierRéférences
modifier- Sypris Electronics, « DoDD 8570.1: Blue Team », Sypris Electronics (consulté le )
- Johnson, « How your red team penetration testers can help improve your blue team » [archive du ], SC Magazine (consulté le )
- Don Murdoch, Blue Team Handbook : Incident Response Edition, , 2e éd., 154 p. (ISBN 978-1-5007-3475-6)
- SANS Institute, « Cyber Guardian: Blue Team », SANS, SANS Institute (consulté le )