Types de simulations - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de simulations

Il existe trois principaux types de simulations :

  • Exercices sur table — L'approche théorique des simulations est strictement une session basée sur des discussions auxquelles participent les différentes parties prenantes de la réponse aux incidents afin de mettre en pratique leurs rôles et leurs responsabilités et d'utiliser des outils de communication et des manuels établis. L'animation d'exercices peut généralement être réalisée en une journée complète dans un lieu virtuel, un lieu physique ou une combinaison des deux. En raison de sa nature axée sur la discussion, l'exercice théorique met l'accent sur les processus, les personnes et la collaboration. La technologie fait partie intégrante de la discussion ; toutefois, l'utilisation effective d'outils ou de scripts de réponse aux incidents ne fait généralement pas partie de l'exercice théorique.

  • Exercces de l'équipe violette : les exercices de l'équipe violette augmentent le niveau de collaboration entre les intervenants en cas d'incident (équipe bleue) et les acteurs de menaces simulées (équipe rouge). La Blue Team est généralement composée de membres du Security Operations Center (SOC), mais peut également inclure d'autres parties prenantes qui seraient impliquées lors d'un véritable cyberévénement. L'équipe rouge est généralement composée d'une équipe de tests de pénétration ou de parties prenantes clés formées à la sécurité offensive. L'équipe rouge travaille en collaboration avec les animateurs de l'exercice lors de la conception d'un scénario afin que celui-ci soit précis et réalisable. Lors des exercices Purple Team, l'accent est principalement mis sur les mécanismes de détection, les outils et les procédures opérationnelles standard (SOPs) qui soutiennent les efforts de réponse aux incidents.

  • Exercces de l'équipe rouge : au cours d'un exercice de l'équipe rouge, l'attaque (l'équipe rouge) effectue une simulation pour atteindre un objectif donné ou un ensemble d'objectifs à partir d'une portée prédéterminée. Les défenseurs (Blue Team) ne seront pas nécessairement au courant de la portée ni de la durée de l'exercice, ce qui permet d'évaluer de manière plus réaliste la manière dont ils réagiraient en cas d'incident réel. Étant donné que les exercices Red Team peuvent être des tests invasifs, vous devez être prudent et mettre en œuvre des contrôles pour vérifier que l'exercice ne cause pas de dommages réels à votre environnement.

Note

AWS demande aux clients de consulter la politique relative aux tests d'intrusion disponible sur le site Web des tests de pénétration avant d'effectuer des exercices Purple Team ou Red Team.

Le tableau 1 résume quelques différences clés entre ces types de simulations. Il est important de noter que les définitions sont généralement considérées comme des définitions vagues et peuvent être personnalisées pour répondre aux besoins de votre organisation.

Tableau 1 — Types de simulations

Exercice de table Exercice Purple Team Exercice de l'équipe rouge
Résumé Des exercices sur support papier qui se concentrent sur un scénario d'incident de sécurité spécifique. Ils peuvent être de haut niveau ou techniques et sont entraînés par une série d'injections de papier. Une offre plus réaliste que les exercices sur table. Au cours des exercices Purple Team, les animateurs travaillent en collaboration avec les participants pour accroître leur engagement et proposer des formations si nécessaire. Il s'agit généralement d'une offre de simulation plus avancée. Il y a généralement un niveau élevé de discrétion, les participants ne connaissant peut-être pas tous les détails de l'exercice.
Ressources nécessaires Ressources techniques limitées requises Diverses parties prenantes sont requises et des ressources techniques de haut niveau sont nécessaires Diverses parties prenantes sont requises et des ressources techniques de haut niveau sont nécessaires
Complexité Faible Medium Élevé

Envisagez d’animer des simulations cybernétiques à intervalles réguliers. Chaque type d'exercice peut apporter des avantages uniques aux participants et à l'organisation dans son ensemble. Vous pouvez donc choisir de commencer par des types de simulation moins complexes (tels que des exercices théoriques) et de passer ensuite à des types de simulation plus complexes (exercices de l'équipe rouge). Vous devez sélectionner un type de simulation en fonction de la maturité de votre sécurité, de vos ressources et des résultats souhaités. Certains clients peuvent décider de ne pas effectuer les exercices de l'équipe rouge en raison de leur complexité et de leur coût.