Comment fonctionne un exercice Red Team
Le concept vient du monde militaire. Pendant la guerre froide, l’armée américaine utilisait des équipes “rouges” — la couleur de l’ennemi soviétique — pour simuler les tactiques adverses et tester les défenses. La cybersécurité a adopté le principe dans les années 2000.
Un exercice Red Team est une simulation d’attaque complète et réaliste. Des hackers éthiques tentent d’atteindre un objectif défini — accéder à la boîte email du PDG, exfiltrer la base clients, prendre le contrôle du domaine Active Directory — en utilisant tous les moyens qu’un vrai attaquant utiliserait.
La différence avec un test d’intrusion (pentest) : le Red Team ne se limite pas à un périmètre technique. Il combine vecteurs informatiques, physiques et humains. Et surtout, il teste la capacité de détection et de réponse de l’organisation — pas seulement la présence de failles.
Les phases d’un engagement
Cadrage et objectifs. L’entreprise et le prestataire définissent les objectifs (flags), les règles d’engagement (techniques autorisées et interdites), une cellule de crise (2-3 personnes côté client au courant), et une fenêtre temporelle de 2 à 6 semaines.
Reconnaissance (OSINT). L’équipe Red Team commence comme un vrai attaquant : organigramme LinkedIn, technologies dans les offres d’emploi, sous-domaines exposés, fuites de données passées, repérage physique des entrées et systèmes de badge. Cette phase suit les premières étapes de la Cyber Kill Chain.
Accès initial. Le Verizon DBIR 2024 confirme que l’élément humain est impliqué dans 68 % des fuites de données. Les équipes Red Team le vérifient à chaque exercice : spear phishing ciblé, vishing au helpdesk, pretexting physique (tailgating, faux badge visiteur), ou exploitation de vulnérabilités techniques. Dans la majorité des engagements, c’est le phishing qui ouvre la première porte.
Mouvement latéral et escalade. Depuis l’accès initial, l’équipe progresse : élévation de privilèges vers un compte administrateur, déplacement entre postes et segments réseau, installation de backdoors, contournement de l’EDR, du SIEM et du SOC. C’est durant cette phase que le Red Team mesure la capacité réelle de détection.
Rapport. Un récit narratif de l’attaque : chemin complet, preuves, temps écoulé entre chaque phase, moments où l’attaque aurait pu être détectée, recommandations classées par impact.
Red Team vs pentest vs audit de sécurité
| Critère | Red Team | Pentest | Audit de sécurité |
|---|---|---|---|
| Question posée | Un attaquant motivé peut-il atteindre cet objectif ? | Quelles failles existent dans ce périmètre ? | Les contrôles sont-ils conformes ? |
| Périmètre | Toute l’organisation | Défini et limité | Documentaire + technique |
| Durée | 2 à 6 semaines | 3 à 15 jours | 1 à 4 semaines |
| Discrétion | L’équipe de défense n’est pas prévenue | L’IT est informée | Toutes les équipes coopèrent |
| Vecteurs | Techniques + physiques + ingénierie sociale | Techniques | Revue documentaire + tests |
| Coût | 15 000 - 50 000 € | 3 000 - 15 000 € | 5 000 - 30 000 € |
| Livrable | Récit narratif + recommandations | Liste de vulnérabilités classées | Rapport de conformité |
| Méthodologie | MITRE ATT&CK, TIBER-EU | OWASP, PTES, OSSTMM | ISO 27001, NIS2, ANSSI |
Le pentest dit : “voici vos failles.” Il produit une liste de vulnérabilités classées par gravité avec des correctifs.
L’audit dit : “voici vos écarts par rapport à la norme.” Il mesure la conformité aux référentiels.
Le Red Team dit : “voici ce qu’un attaquant peut réellement faire.” Il raconte une histoire concrète — “nous avons envoyé un email de spear phishing à 3 développeurs, l’un a cliqué, nous avons pivoté vers Active Directory, et exfiltré 40 000 dossiers clients en 72 heures sans que le SOC ne détecte quoi que ce soit.”
Le phishing dans les exercices Red Team
Le phishing est le vecteur d’entrée dominant dans les exercices Red Team. Le Verizon DBIR 2024 montre que le phishing et le pretexting représentent plus de 40 % des vecteurs d’accès initial dans les incidents réels.
Comment une équipe Red Team construit ses campagnes
La campagne Red Team ne ressemble pas à du phishing de masse. C’est du spear phishing sur mesure :
- Sélection des cibles : 5 à 15 collaborateurs identifiés comme vecteurs probables — développeurs (accès au code), RH (reçoivent des CV), assistants de direction (accès aux agendas)
- Construction du prétexte : faux email du prestataire IT mentionnant un outil réel, invitation à un événement sectoriel, document partagé par un collègue identifié sur LinkedIn
- Infrastructure : domaine lookalike, page de collecte imitant Microsoft 365 ou Google Workspace
- Suivi : tracking des ouvertures, clics, soumissions d’identifiants
Le taux de réussite en exercice : 10 % à 30 % des cibles cliquent sur un spear phishing bien construit, 5 % à 15 % soumettent leurs identifiants.
Ce que ça démontre à la direction
Quand un Red Team commence par du phishing et atteint l’objectif final, le message est concret : les défenses techniques (pare-feu, EDR, segmentation) ne suffisent pas si un employé entre ses identifiants. L’authentification email bloque l’usurpation de domaine mais pas le compte compromis d’un fournisseur. La formation continue par des simulations régulières est un complément nécessaire.
Méthodologie Red Team
Le framework MITRE ATT&CK
Le MITRE ATT&CK est la référence mondiale pour décrire les tactiques et techniques des attaquants. Il organise les techniques en 14 tactiques — de la reconnaissance à l’exfiltration — et permet de mapper les résultats d’un exercice Red Team sur un vocabulaire commun entre attaquants, défenseurs et outils de sécurité.
Chaque exercice produit un rapport qui mappe les techniques utilisées sur ATT&CK. L’équipe de défense identifie ses lacunes technique par technique.
Alignement avec la Cyber Kill Chain
La Cyber Kill Chain de Lockheed Martin décrit les étapes séquentielles d’une attaque : reconnaissance, armement, livraison, exploitation, installation, commande et contrôle, actions sur l’objectif. Le Red Team suit cette progression naturellement. En pratique, les équipes utilisent la Kill Chain pour structurer la narration du rapport et ATT&CK pour le détail technique.
TIBER-EU pour le secteur financier
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) est le cadre de la Banque centrale européenne pour les exercices Red Team dans la finance. En France, la Banque de France pilote TIBER-FR. Le cadre ajoute une couche de Threat Intelligence : une équipe spécialisée identifie les menaces réelles ciblant l’organisation (groupes APT actifs, techniques récentes), et l’exercice Red Team reproduit ces menaces spécifiques.
Les entreprises soumises à DORA (Digital Operational Resilience Act), applicable au secteur financier européen depuis janvier 2025, doivent réaliser des tests TLPT conformes à TIBER-EU au moins tous les 3 ans.
Red Team, Blue Team et Purple Team
Blue Team
La Blue Team est l’équipe de défense : le SOC, les analystes sécurité, les administrateurs qui surveillent le SIEM et l’EDR. Pendant un exercice Red Team, elle ne sait pas qu’un exercice est en cours et réagit comme face à une vraie attaque. Les lacunes typiques révélées : alertes SIEM noyées dans le bruit, absence de corrélation entre un phishing signalé et une connexion suspecte 2 heures plus tard, temps de réponse trop long entre détection et confinement.
Purple Team
Le Purple Team n’est pas une troisième équipe. C’est un mode de collaboration où Red et Blue travaillent ensemble. La Red lance une technique (mouvement latéral via PsExec). La Blue vérifie si elle l’a détectée. Si non, les deux équipes ajustent les règles de détection ensemble.
Le Purple Team est plus collaboratif et moins réaliste que le Red Team pur. Il est souvent utilisé comme suivi après un Red Team pour combler les lacunes identifiées. Les organisations matures combinent les deux : un Red Team annuel pour la posture réelle, un Purple Team pour transformer les résultats en améliorations opérationnelles.
L’évolution vers le Continuous Red Teaming pousse les organisations les plus avancées à maintenir des tests offensifs permanents, en ligne avec les principes du Zero Trust : ne jamais supposer que les défenses fonctionnent.
Red Team pour les PME
Quand un Red Team n’est pas adapté
Pour la plupart des PME de moins de 200 collaborateurs, un Red Team complet n’est pas le meilleur investissement.
Le coût est disproportionné — 15 000 à 50 000 euros, souvent l’intégralité du budget cybersécurité annuel. Les pré-requis manquent — un Red Team suppose un SOC, un EDR, un SIEM opérationnel. Sans capacité de détection, l’exercice ne teste que l’attaque. Les bases ne sont pas en place — si le MFA n’est pas activé sur tous les comptes et que DMARC n’est pas configuré, les 30 000 euros seraient mieux investis à corriger ces lacunes.
Exercices de table (tabletop)
Alternative accessible : réunir direction, IT et fonctions exposées autour d’un scénario d’attaque simulé. “Lundi 9h, 2 employés cliquent sur un phishing et entrent leurs identifiants. Mardi 10h, l’attaquant envoie un email au DAF depuis le compte compromis. Que faites-vous ?” Coût : quelques heures de préparation, une demi-journée de réunion. Le retour est concret : on identifie les trous dans les procédures.
La simulation de phishing comme test offensif léger
Un programme de simulation de phishing continu est la forme la plus accessible de test offensif régulier pour une PME. Il teste la capacité des collaborateurs à détecter un email frauduleux, le temps de signalement et l’évolution des réflexes. Le rapport IBM Cost of a Data Breach 2024 indique que les organisations qui forment leurs employés par des simulations réduisent le coût moyen d’une fuite de données de 232 000 dollars.
Quand investir dans un Red Team complet
L’exercice prend son sens pour les ETI et grandes entreprises (200+ collaborateurs) avec un SOC opérationnel, les secteurs réglementés (banque, santé, OIV — la directive NIS2 impose des tests réguliers), après un incident (ransomware, fraude) pour valider les mesures correctives, ou pour vérifier qu’un SOC/SIEM/EDR/XDR détecte réellement les attaques. L’ANSSI recommande les exercices Red Team dans ses guides NIS2.
La combinaison recommandée pour les PME
| Type d’exercice | Budget | Fréquence | Pertinent pour |
|---|---|---|---|
| Red Team complet | 15 000 - 50 000 € | 1x/an | ETI, grandes entreprises, OIV |
| Purple Team | 10 000 - 25 000 € | 1x/an | Entreprises avec SOC mature |
| Pentest classique | 3 000 - 15 000 € | 1x/an | PME, toutes tailles |
| Simulation de phishing continue | 1 - 5 €/utilisateur/mois | Continue | Toutes tailles |
| Exercice tabletop | 500 - 3 000 € | 2x/an | Toutes tailles |
Pour une PME de 50 à 200 collaborateurs : un pentest annuel (prestataire PASSI), un programme de simulation de phishing continu, un tabletop semestriel, et un pentest social engineering tous les 2 ans. Cette combinaison coûte 2 à 4 fois moins qu’un Red Team et couvre la majorité des risques.
Avant d’envisager un exercice Red Team, posez les fondations. Testez votre configuration email pour vérifier que SPF, DKIM et DMARC protègent votre domaine, puis évaluez la résistance de vos équipes avec un programme de simulation de phishing continu.
Questions fréquentes
Qu'est-ce qu'un exercice Red Team ?
Un exercice Red Team est une simulation d'attaque réaliste menée par des experts en sécurité offensive contre une organisation. L'équipe Red Team utilise les mêmes techniques que les vrais attaquants : phishing ciblé, ingénierie sociale, exploitation de vulnérabilités, intrusion physique. L'objectif est d'évaluer la posture de sécurité globale, pas seulement les défenses techniques.
Quelle est la différence entre Red Team et pentest ?
Le pentest (test d'intrusion) a un périmètre défini et cherche des vulnérabilités techniques spécifiques dans un temps limité. Le Red Team a un objectif (accéder à une donnée, compromettre un système) et peut utiliser tous les vecteurs pour l'atteindre : technique, humain, physique. Le pentest teste les défenses techniques, le Red Team teste la capacité de détection et de réponse de toute l'organisation.
Combien coûte un exercice Red Team ?
Un exercice Red Team pour une PME française coûte entre 15 000 et 50 000 euros selon la durée, le périmètre et la complexité. Un pentest classique coûte entre 5 000 et 20 000 euros. La différence de prix reflète la durée plus longue (2 à 6 semaines vs quelques jours) et la diversité des vecteurs testés.
Le Red Team inclut-il des tests de phishing ?
Oui. Le phishing est souvent le premier vecteur utilisé par une équipe Red Team pour obtenir un accès initial. L'équipe envoie des emails de spear phishing ciblés aux collaborateurs, parfois combinés avec du vishing (appels téléphoniques) ou du pretexting. C'est un test grandeur nature de la vigilance des équipes face aux menaces réelles.
Quelle est la différence entre Red Team, Blue Team et Purple Team ?
La Red Team attaque (simulation offensive). La Blue Team défend (équipe SOC, détection, réponse aux incidents). La Purple Team fait collaborer les deux : la Red Team montre ses techniques, la Blue Team ajuste ses détections. L'approche Purple Team maximise l'apprentissage en transformant chaque test en exercice d'amélioration continue.