Équipe bleue (sécurité informatique)

Un article de Wikipédia, l'encyclopédie libre.

Une équipe bleue est un groupe de personnes qui effectuent une analyse des systèmes d’information pour assurer la sécurité, identifier les failles de sécurité, vérifier l’efficacité de chaque mesure de sécurité et veiller à ce que toutes les mesures de sécurité continuent d’être efficaces après leur mise en œuvre[1].

Histoire[modifier | modifier le code]

À l'origine le cadre de la "United States computer security defense initiative", les équipes rouges ont été développées pour exploiter d'autres entités malveillantes qui leur font du mal. En conséquence, des équipes bleues ont été créées pour concevoir des mesures de défense contre de telles activités[2].

Réponse à l'incident[modifier | modifier le code]

Si un incident se produit au sein de l'organisation, l'équipe bleue effectuera les six étapes pour gérer événement:

  1. Préparation
  2. Identification
  3. Endiguement
  4. Éradication
  5. Récupération
  6. Leçons apprises[3]

Durcissement du système d'exploitation[modifier | modifier le code]

En prévision d'un incident de sécurité informatique, l'équipe bleue appliquera des techniques de renforcement de tous les systèmes d'exploitation de l'entreprise[4].

Défense de périmètre[modifier | modifier le code]

L'équipe bleue doit toujours garder à l'esprit le périmètre du réseau, notamment le flux de trafic, le filtrage de paquets, les pare-feu proxy et les systèmes de détection d'intrusion[4].

Outils[modifier | modifier le code]

Les équipes bleues utilisent un large éventail d’outils leur permettant de détecter une attaque, de collecter des données judiciaires, d’analyser des données, d’apporter des modifications aux menaces futures et d’atténuer les menaces.


Technologie de gestion des informations et des événements de sécurité (SIEM)[modifier | modifier le code]

Les logiciels de type SIEM prennent en charge la détection des menaces et la réponse aux incidents de sécurité en effectuant une collecte de données en temps réel et une analyse des événements de sécurité. Ce type de logiciel utilise également des sources de données extérieures au réseau, notamment des informations sur les menaces des indicateurs de compromis (IoC).

Liste de SIEM:

  • LogRhythm
  • NetWitness
  • FortiSIEM (aka AccelOps)
  • AlienVault (OSSIM)
  • Splunk
  • Rapid7
  • Solarwinds
  • Qradar (IBM)
  • InTrust

Voir également[modifier | modifier le code]

Références[modifier | modifier le code]

  1. Sypris Electronics, « DoDD 8570.1: Blue Team », Sypris Electronics (consulté le )
  2. Johnson, « How your red team penetration testers can help improve your blue team » [archive du ], SC Magazine (consulté le )
  3. Don Murdoch, Blue Team Handbook : Incident Response Edition, , 2e éd., 154 p. (ISBN 978-1-5007-3475-6)
  4. a et b SANS Institute, « Cyber Guardian: Blue Team », SANS, SANS Institute (consulté le )