Skip to main content
HashnodeLogin Sécurité - Le blogLogin Sécurité - Le blog

Command Palette

Search for a command to run...

Purple Team Quand l'attaque et la défense s'allient pour renforcer votre sécurité

Updated
8 min read
Purple Team Quand l'attaque et la défense s'allient pour renforcer votre sécurité
L
Login Sécurité

Introduction

Aujourd’hui, les entreprises font face à des attaquants de plus en plus organisés et techniques. Nous effectuons régulièrement des pentests chez nos clients pour anticiper la menace, fournissons des plans d’actions réalistes et actionnables, et nous accompagnons même nos clients dans les phases de remédiation pour effectivement améliorer le niveau de sécurité du système d’information. En effet, nous savons bien qu’il est toujours compliqué pour une entreprise d’avoir le temps, les bras et les connaissances nécessaires pour corriger des vulnérabilités sans perturber la prod.

Malgré tout cela, une entreprise ne sera jamais 100% protégée, sans aucune vulnérabilité. Le risque d’intrusion est toujours présent, il faut absolument en avoir conscience.

Les exercices Red Team que nous menons avec nos clients testent à la fois les capacités de détection de l’entreprise et l'efficacité des processus de réponse à incident face à des scénarios d'attaque réalistes.

Ces différentes missions d’audit et d’accompagnement sont très efficaces, mais présentent une limite importante : Elles ne permettent pas toujours une amélioration immédiate et efficace des capacités de détection. C'est là qu'intervient le Purple Team, qui combine les forces de l'attaque et de la défense pour combler les trous dans la détection.

Un Purple Team, c'est littéralement la fusion du rouge et du bleu. Rouge pour la Red Team (l'équipe d'attaque), bleu pour la Blue Team (l'équipe de défense).

Un Purple Team représente une approche collaborative où les équipes d'attaque et de défense travaillent main dans la main, en temps réel, pour identifier et corriger immédiatement les failles de détection. C'est un changement de paradigme fondamental : on passe d'une logique d'audit à une logique de collaboration.

L'équipe Purple Team chez Login Sécurité

Ce qui nous distingue fondamentalement chez Login Sécurité, c'est notre approche multi-casquettes. Nous ne sommes pas seulement des pentesters, ni uniquement des analystes SOC. Nous sommes les deux à la fois, et c'est là toute notre force.

Nos consultants évoluent entre les différentes activités : ils mènent des tests d'intrusion une semaine, analysent des incidents de sécurité au sein du SOC la semaine suivante, et accompagnent nos clients dans l'amélioration de leurs règles de détection le mois d’après. Cette polyvalence n'est pas un hasard, c'est notre conviction profonde qu’un profil cybersécurité se construit en développant des connaissances autour des différents piliers de la cyber.

Un consultant Login Sécurité qui a passé des mois à analyser des alertes au sein du SOC comprend alors les défis de la détection : les faux positifs qui polluent les tableaux de bord, les corrélations complexes à mettre en place, les limites des outils de SIEM. Quand ce même consultant passe en mode "attaquant" pour un pentest, il sait exactement quelles techniques ont le plus de chances de passer inaperçues.

À l'inverse, un expert qui maîtrise les dernières techniques d'attaque apporte une valeur inestimable quand il travaille côté défense. Il sait reconnaître les IOC (Indicators of Compromise), anticiper les mouvements de l'attaquant, et proposer des règles de détection vraiment efficaces.

Cette double compétence attaque/défense de nos équipes est l'élément clé qui rend nos exercices Purple Team si efficaces. Nos consultants comprennent les contraintes opérationnelles du SOC autant que les motivations de l'attaquant.

Résultat ? Des exercices Purple Team où chaque recommandation est opérationnellement réaliste et chaque amélioration proposée a été éprouvée sur le terrain.

Notre méthodologie

Contrairement à un pentest classique où l'auditeur est majoritairement autonome lors de son audit, nous travaillons en binômes attaque/défense pour créer une dynamique d'amélioration continue.

L'exercice se déroule en minimum deux sessions distinctes, chacune apportant sa valeur ajoutée spécifique. Cette approche en deux temps nous permet de valider l'efficacité des améliorations apportées et de tester la robustesse des nouvelles règles de détection. Ces deux sessions peuvent être répétées plusieurs fois pour un cycle d’amélioration qui va plus en profondeur.

Première session : Identification et amélioration

Réunion de cadrage Purple Team

Tout commence par une réunion de cadrage approfondie avec vos équipes. Cette étape est cruciale car elle détermine la pertinence de l'ensemble de l'exercice. Nous validons ensemble le périmètre technique, identifions vos objectifs prioritaires (améliorer la détection des mouvements latéraux ? Optimiser la détection d'exfiltration ?), et confirmons les capacités théoriques de détection.

Mais surtout, nous proposons des scénarios d'attaques précis adaptés à votre environnement. Chaque scénario est pensé pour tester vos points de vigilance spécifiques et challenger vos règles existantes.

Réalisation des audits en mode collaboratif

Nous avons développé deux modes de collaboration selon votre maturité et vos préférences :

• Mode collaboration directe : Nos équipes Red et Blue travaillent en communication semi-permanente. Nous utilisons le framework Vectr pour documenter en temps réel chaque action d'attaque et chaque réaction (ou absence de réaction) de votre SOC. Des réunions d'avancement quotidiennes permettent d'analyser immédiatement ce qui a été détecté ou non, et surtout pourquoi. Cette approche ultra-collaborative est particulièrement efficace pour les équipes SOC qui souhaitent monter rapidement en compétences et comprendre les subtilités des techniques d'attaque.

• Mode semi-indépendance : Pour reproduire au maximum le comportement d'un vrai attaquant, nous espaçons les communications entre les équipes. Les informations sont regroupées lors de réunions à intervalles définis, toujours documentées dans Vectr. Cette approche permet de tester la détection dans des conditions plus réalistes.

Dans les deux cas, nous accompagnons vos équipes pour améliorer les règles de détection en direct. Quand une technique passe inaperçue, nous ne nous contentons pas de le noter : nous travaillons immédiatement avec vos analystes pour comprendre pourquoi et proposer des améliorations.

Réunion de bilan de session

À l'issue de cette première session, nous organisons une réunion de bilan :

  • Analyse de la détection : Nous voyons ensemble ce qui a été détecté ou non, afin d’expliquer les causes des non-détections, et donc d’identifier les angles morts de la couverture.

  • Échanges sur les faiblesses : Nous discutons des choix stratégiques pour corriger les faiblesses. Faut-il améliorer la collecte de logs ? Affiner les corrélations ? Modifier les seuils d'alerte ? Ces décisions se prennent ensemble, en tenant compte de vos contraintes opérationnelles.

  • Adaptation des scénarios : Pour les attaques qui ont été détectées, notre équipe Red prépare déjà des scénarios alternatifs pour la seconde session, et développera et/ou modifiera des outils qui permettent d’atteindre les mêmes objectifs d’attaque, mais de différentes manières. L'objectif ? Vérifier que vos règles de détection sont robustes et ne se limitent pas à détecter une variante spécifique d'une technique.

Exemple de scénario d'attaque dans Vectr

Seconde session : Validation et robustesse

La seconde session se concentre sur deux aspects essentiels :

  • Test des variations d'attaque : Nous reprenons tous les scénarios qui ont été détectés lors de la première session, mais cette fois avec des variations techniques. Si votre SOC a détecté un mouvement latéral via l’outil psexec.py de la suite « impacket », nous testerons la même technique mais avec quelques modifications apportées à l’outil. L'objectif ? S'assurer que votre détection ne repose pas sur un IOC trop spécifique mais capture bien l'essence de l'attaque.

  • Validation des améliorations : Toutes les règles de détection implémentées suite à la première session sont testées en conditions réelles. C'est le moment de vérifier que les améliorations fonctionnent effectivement et qu'elles ne génèrent pas trop de faux positifs.

Capacité de détection et de blocage des attaques

Flexibilité et adaptation

Notre méthodologie reste flexible et s'adapte à vos découvertes et à l'évolution de vos besoins. La répartition entre les journées d'audit technique et d'amélioration peut évoluer en cours d'exercice selon les enjeux identifiés. Cette adaptabilité garantit que vous tirez le maximum de bénéfices de chaque journée d'intervention.

Le framework Vectr que nous utilisons vous reste accessible après notre intervention, vous permettant de capitaliser sur la documentation de l'exercice et de continuer à améliorer vos processus en autonomie.

Chaque attaque est accompagnée d'IOC et d'explications

Cas d'usage et retours d'expérience

Amélioration de la détection de mouvement latéral

Chez un client du secteur universitaire, nous avons découvert que les techniques de mouvement latéral passaient inaperçues. Des événements clés étaient effectivement émis sur les contrôleurs de domaine et sur les serveurs, mais n’étaient pas centralisés dans le SIEM.

Pendant l'exercice, nous avons travaillé avec les équipes de détection pour donner la liste de ces événements, et développer une règle permettant de détecter des attaques de type « pass-the-hash » avec un outil comme PsExec par exemple.

Cette amélioration a été effective immédiatement, pendant l'exercice. Nous avons pu valider la nouvelle règle en direct.

Détection des premières collectes

Un autre client, dans le secteur de l’alimentation, avait des difficultés à détecter des collectes effectuées par un attaquant, notamment concernant son annuaire LDAP. Un attaquant était en mesure de récupérer presque l’entièreté de son annuaire sans que ça ne lève une seule alerte.

Le Purple Team a permis de mettre ce défaut en évidence, et de fournir les informations et leviers nécessaires à l’équipe SOC pour que cette reconnaissance soit immédiatement détectée, ce qui est un point crucial pour stopper un attaquant avant même qu’il ait eu le temps de faire du mouvement latéral, voire d’élever ses privilèges.

Complémentarité avec les autres services Login Sécurité

Un Purple Team s'inscrit parfaitement dans une démarche globale de cybersécurité. Elle complète idéalement nos autres services :

  • Après un audit classique : Le Purple Team permet de valider que les correctifs apportés suite à un audit sont efficaces et bien détectés par le SOC.

  • Avant un exercice Red Team : Elle permet d'optimiser les capacités de détection avant de subir un vrai test d'intrusion en conditions réelles.

  • En complément du SOC managé : Pour les clients qui utilisent notre SOC managé, le Purple Team permet d'optimiser régulièrement les règles de détection et de maintenir un niveau de vigilance élevé.

  • Avec la formation : Nos sessions de formation en cybersécurité peuvent être adaptées suite à un exercice Purple Team pour répondre aux besoins spécifiques identifiés.

Conclusion

Le Purple Team est une approche dynamique, collaborative, et orientée amélioration continue.

Chez Login Sécurité, nous sommes convaincus que le Purple Team permet de significativement améliorer la posture de sécurité d’une entreprise en apportant une vision claire et complète de la capacité de détection de celle-ci.

Les équipes SOC qui ont participé à nos exercices Purple Team profitent de l’expertise de Login Sécurité pour mieux comprendre leurs mécanismes de détection, les événements à analyser, ce qui les rend plus performant dans leur travail quotidien d’analyse d’incidents.

Si votre organisation dispose d'un SOC opérationnel et souhaite passer au niveau supérieur en matière de détection des menaces avancées, le Purple Team pourrait être exactement ce dont vous avez besoin.

More from this blog

L

Login Sécurité - Le blog

22 posts

Le blog de Login Sécurité est votre point d’entrée pour découvrir les actualités, événements et analyses pointues en cybersécurité rédigés par des experts !