Parce que… c’est l’épisode 0x229!

Préambule

Les équipes Red Team, Blue Team et Purple Team sont des méthodes de travail qui visent à améliorer la sécurité des systèmes informatiques. La VOC (Vulnerability Opérations Center) est le cœur de ces méthodes et elle est responsable du fonctionnement normal des systèmes; SOC (Sécurity Operations Center), NOC (Network Operations Center) et autres services tels que le formalisme sont inclus dans cette vaste approche. En spécifiant les responsabilités du personnel sur les différentes équipes, chaque organisation peut assurer une sécurité optimale en vérifiant préventivement les systèmes pour détecter les menaces potentielles.

Shameless plug

• Début Mars 2023 - SéQCure
• Formation Crise et résilience
  • Ateliers et conférences (Auto évaluation)
  • Formation PCA 2022
  • 4 Guides pour survivre à une CyberCrise
  • Formation PCA en ligne

Description

Introduction

Dans cet épisode technique du Pôle Secure, Nicolas reçoit Yassir Kazar pour discuter d’un concept qu’il a contribué à formaliser : le Vulnerability Operations Center, ou VOC. Ce concept, issu d’un article de blog publié par Yassir et son équipe, propose une nouvelle façon de structurer et de superviser les opérations de sécurité offensive au sein des organisations. La discussion s’articule autour d’un constat simple mais souvent ignoré : les équipes de sécurité manquent cruellement d’une tour de contrôle unifiée pour piloter leurs activités offensives.

Le constat : un volet offensif fragmenté

Depuis plusieurs années, Yassir et son équipe observent que les entreprises multiplient les activités de sécurité offensive — red teaming, tests d’intrusion (pentests), programmes de bug bounty, audits — mais le font de manière cloisonnée et hétérogène. Chaque opération est menée par des acteurs différents, avec des processus distincts, des formats de rapport variés (texte, slides, documents), et aucune vision centralisée.

Cette fragmentation engendre plusieurs problèmes concrets. Premièrement, elle rend difficile la comparaison entre les résultats de différentes opérations. Par exemple, si un test d’intrusion interne, un pentest réalisé avec un partenaire externe et un programme de bug bounty pointent tous vers la même vulnérabilité sur un même actif, cela devrait déclencher une alarme immédiate. Mais si ces opérations ne sont pas consolidées dans un tableau de bord commun, ce signal critique risque tout simplement de passer inaperçu.

Le VOC : transposer le SOC au côté offensif

Face à ce constat, l’idée du VOC s’est imposée naturellement. Le Security Operations Center (SOC) est bien connu comme tour de contrôle pour le versant défensif de la sécurité : il centralise les alertes, suit les incidents et s’appuie sur un triptyque technologie-ressources-processus. Yassir et son équipe ont simplement appliqué cette logique au côté offensif.

Le VOC vise ainsi à unifier dans une seule plateforme toutes les opérations offensives d’une organisation. Il permet de superviser qui fait quoi, quand, sur quel actif, avec quelles compétences, et surtout de comparer les résultats de façon homogène pour prendre de meilleures décisions. Sur la plateforme de Yassir, cette approche s’est concrétisée par l’observation que déjà 30 % des clients utilisent au moins deux services distincts — bug bounty, VDP ou pentest — souvent sans coordination formelle entre eux.

Réduire le stress des équipes de sécurité

L’un des enjeux les plus soulignés dans cet échange est la charge mentale des équipes de sécurité. Les études disponibles montrent que la grande majorité des professionnels du secteur déclarent des niveaux de stress atteignant 8 sur 10 en permanence. Un tel niveau, maintenu de façon chronique, mène inévitablement à l’épuisement professionnel, aux erreurs critiques ou aux démissions. Ce n’est pas un problème marginal : c’est une crise structurelle.

Le VOC s’attaque directement à ce problème en réduisant la charge cognitive liée à la gestion de multiples opérations non coordonnées. Lorsque les informations sont centralisées, formalisées et comparables, les décideurs — notamment les RSSI — passent moins de temps à reconstituer un puzzle épars et plus de temps à agir efficacement. Cela passe aussi par des détails opérationnels apparemment simples, comme la visibilité sur la disponibilité des ressources : savoir en temps réel quels testeurs ou analystes sont disponibles évite les interruptions inutiles et optimise l’allocation des compétences.

Séparer l’offensif du défensif

Yassir et Nicolas s’accordent sur un principe fondamental : les compétences offensives et défensives sont fondamentalement différentes et ne doivent pas être mélangées sous prétexte de rationalisation budgétaire. Les exercices de type Purple Team ont leur utilité dans des contextes d’entraînement ou de simulation, mais au quotidien, demander à une même personne d’attaquer et de défendre simultanément relève de la schizophrénie organisationnelle. Cela dégrade la performance et épuise les individus.

L’enjeu est donc de structurer des équipes distinctes, avec des responsabilités claires, tout en disposant d’une tour de contrôle — le VOC — qui assure la coordination et l’arrimage entre ces deux mondes. La bonne affectation des compétences est elle aussi critique : placer un expert en sécurité réseau sur des tests d’applications mobiles, par exemple, ne donnera pas de résultats optimaux. La connaissance fine des profils et de leurs spécialités, centralisée dans le VOC, permet d’aligner les bons experts sur les bons sujets.

La pénurie de talents et l’élasticité des plateformes

Les deux interlocuteurs abordent également la pénurie structurelle de profils en cybersécurité. Les systèmes éducatifs n’ont pas été conçus pour produire en masse les compétences dont les organisations ont besoin aujourd’hui, et les cycles de formation sont trop lents par rapport aux évolutions technologiques. Dans cinq ans, quand les formations actuelles commenceront à porter leurs fruits, les besoins du marché auront déjà évolué — vers des sujets comme la cryptographie post-quantique, par exemple.

Face à cette réalité, les plateformes comme celle de Yassir offrent une forme d’élasticité humaine : elles permettent d’accéder à des compétences rares au-delà des frontières d’une organisation, à la demande, sans les contraintes d’un recrutement permanent. C’est un levier essentiel pour les entreprises qui ne peuvent pas se permettre d’internaliser tous les profils dont elles ont besoin.

La souveraineté des données et le retour du on-premise

Un dernier point abordé concerne la maîtrise des données. Si le modèle SaaS a longtemps dominé, on observe un retour progressif vers des déploiements on-premise ou en cloud privé, notamment pour des raisons réglementaires ou de souveraineté. Yassir note que de nombreux clients qui déploient un VOC aujourd’hui exigent que les données restent dans un environnement qu’ils contrôlent entièrement. Cette tendance semble appelée à s’accélérer dans les années à venir, avec l’émergence d’un modèle hybride cherchant à combiner les avantages du SaaS et la maîtrise du on-premise.

Conclusion

Le VOC représente une évolution naturelle et nécessaire de la maturité en cybersécurité offensive. En centralisant, formalisant et rendant comparables toutes les opérations offensives, il permet non seulement de prendre de meilleures décisions, mais aussi de préserver les équipes d’un épuisement qui fragilise l’ensemble de la posture de sécurité des organisations.

Notes

• What is a Vulnerability Operations Center (VOC)?

Collaborateurs

• Nicolas-Loïc Fortin
• Yassir Kazar

Crédits

• Montage audio par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: blueteam, bugbounty, noc, purpleteam, redteam, soc, voc, vulnerabilite