Kecvn : Publication via Quaero Hub

2026-06-05T12:13:42Z

Publication via Quaero Hub

← Version précédente		Version du 5 juin 2026 à 08:13
Ligne 148 :		Ligne 148 :
	[[Catégorie:Sécurité informatique]]		[[Catégorie:Sécurité informatique]]
	[[Catégorie:Métiers de la cybersécurité]]		[[Catégorie:Métiers de la cybersécurité]]

			[[Catégorie:Cybersécurité]]

Kecvn : Publication via Quaero Hub

2026-06-05T11:54:00Z

Publication via Quaero Hub

Nouvelle page

Une '''red team''' (littéralement « équipe rouge ») est un groupe de professionnels de la [[Cybersécurité|cybersécurité]] mandatés pour simuler des attaques réalistes contre les systèmes d'information, les processus et les personnes d'une organisation, dans le but d'identifier des failles avant qu'un acteur malveillant ne les exploite. Distincte du simple [[Test d'intrusion|test d'intrusion]], une red team adopte les tactiques, techniques et procédures (TTP) d'adversaires réels, souvent sur des durées de plusieurs semaines à plusieurs mois. Le terme trouve son origine dans les exercices militaires de la guerre froide, où une « équipe rouge » incarnait l'adversaire potentiel pour tester la robustesse des plans défensifs.

== Origines et histoire ==

=== Contexte militaire ===
L'expression « red team » émerge dans les années 1960 au sein des forces armées américaines, notamment à la CIA et au Pentagone. Les équipes rouges étaient alors chargées d'adopter la perspective de l'adversaire soviétique pour évaluer la solidité des plans stratégiques et tactiques. Cette pratique s'est institutionnalisée après les travaux de la commission Pike (1975) et les révisions des processus de renseignement américains, qui ont mis en évidence les biais cognitifs liés à l'analyse de la menace.

=== Transition vers la cybersécurité ===
La transposition au domaine informatique s'opère à partir des années 1990, portée par la NSA et le Department of Defense des États-Unis. L'exercice classifié « Eligible Receiver 97 » de 1997, dans lequel des agents de la NSA simulaient des [[Cyberattaque|cyberattaques]] nord-coréennes sur les infrastructures américaines sans outils commerciaux spéciaux, constitue un tournant fondateur. Les premières certifications spécialisées red team apparaissent dans les années 2000, avec l'Offensive Security Certified Professional (OSCP) lancé en 2008 par Offensive Security. En Europe, la Banque centrale européenne publie en 2018 le cadre [[TIBER-EU|TIBER-EU]], première normalisation sectorielle des exercices red team.

== Définition et périmètre ==

=== Red team et test d'intrusion : différences fondamentales ===
Un [[Test d'intrusion|test d'intrusion]] (pentest) est généralement une évaluation technique ciblée, limitée dans le temps (5 à 10 jours), portant sur un périmètre précis — une application, un réseau, une API. La red team s'en distingue sur plusieurs points :

* Elle opère sur un périmètre large incluant les systèmes, les processus organisationnels et le facteur humain ;
* Elle s'étend sur 4 à 12 semaines en moyenne ;
* Elle fixe un objectif précis, appelé « drapeau » (''flag'') — par exemple accéder à la base de données RH ou usurper l'identité d'un administrateur de domaine — plutôt qu'une liste exhaustive de [[Vulnérabilité informatique|vulnérabilités]] ;
* Elle maintient une discrétion maximale pour tester la capacité de détection du [[SOC (Security Operations Center)|SOC]] ;
* Elle est connue uniquement d'un « circle of trust » restreint (direction sécurité, RSSI), à l'exclusion des équipes défensives opérationnelles.

Un [[Audit de cybersécurité|audit de cybersécurité]] traditionnel évalue la conformité à des référentiels ([[ISO/IEC 27001|ISO/IEC 27001]], [[ISO/IEC 27002|ISO/IEC 27002]]) ; la red team teste la résistance effective à une attaque simulée réaliste, indépendamment de la conformité documentaire.

=== Red team, blue team et purple team ===
L'écosystème des équipes de sécurité offensives et défensives s'organise autour de trois pôles complémentaires :

{| class="wikitable"
! Équipe !! Rôle !! Indicateur de succès principal
|-
| [[Blue team|Blue team]] || Défense : détection, réponse, remédiation || Temps moyen de détection (MTTD), temps moyen de réponse (MTTR)
|-
| Red team || Attaque simulée, identification de failles || Objectifs (drapeaux) atteints sans détection
|-
| [[Purple team|Purple team]] || Collaboration red/blue en temps réel, amélioration continue || Taux de couverture des TTP testées
|}

La [[Purple team|purple team]] n'est pas une troisième équipe indépendante, mais un mode opératoire où les équipes rouge et bleue travaillent en parallèle ou en séquence courte pour accélérer la remédiation et capitaliser sur chaque exercice. Ce modèle réduit le délai entre la découverte d'une faille et sa correction de plusieurs semaines à quelques jours.

== Méthodologie ==

=== Phases d'un engagement red team ===

==== 1. Reconnaissance ====
La phase de reconnaissance consiste à collecter des informations sur la cible sans interaction directe avec ses systèmes. Elle mobilise des sources ouvertes (OSINT) : registres WHOIS, certificats TLS publiés dans les Certificate Transparency Logs, profils LinkedIn des collaborateurs, offres d'emploi révélant les technologies internes, dépôts de code publics. La [[Threat intelligence|threat intelligence]] alimente cette phase en fournissant des indicateurs sur les vecteurs d'attaque privilégiés par les groupes APT actifs dans le secteur visé.

==== 2. Compromission initiale ====
L'accès initial peut emprunter plusieurs vecteurs, souvent combinés :

* [[Hameçonnage|Hameçonnage]] ciblé (''spear phishing'') — envoi d'e-mails personnalisés avec pièces jointes malveillantes ou liens vers des pages de collecte de credentials ;
* [[Ingénierie sociale|Ingénierie sociale]] vocale (''vishing'') — usurpation d'identité téléphonique visant le support informatique ou les ressources humaines ;
* Intrusion physique dans les locaux pour brancher des implants matériels ou accéder à des postes déverrouillés ;
* Exploitation de [[Vulnérabilité informatique|vulnérabilités informatiques]] sur des services exposés (VPN, portails Exchange, applications web, interfaces RDP).

==== 3. Post-exploitation et mouvement latéral ====
Une fois l'accès initial obtenu, l'équipe cherche à élever ses privilèges (''privilege escalation''), à se déplacer latéralement dans le réseau et à atteindre ses objectifs. Cette phase teste directement l'efficacité des contrôles comme la [[Microsegmentation réseau|microsegmentation réseau]], le [[Modèle Zero Trust|modèle Zero Trust]], la [[Gestion des identités et des accès|gestion des identités et des accès]] et l'[[Authentification multifacteur|authentification multifacteur]]. Dans les environnements Active Directory, des techniques comme Kerberoasting, Pass-the-Hash ou DCSync sont couramment employées.

==== 4. Persistance et exfiltration ====
L'équipe simule la mise en place de mécanismes de persistance (backdoors, tâches planifiées malveillantes, modification de clés de registre) et l'exfiltration de données sensibles. Cette phase évalue la capacité du [[SIEM (informatique)|SIEM]] et du [[SOC (Security Operations Center)|SOC]] à détecter ces comportements anormaux, ainsi que l'efficacité des contrôles de [[Chiffrement des données|chiffrement des données]] et des [[Pare-feu|pare-feu]] de nouvelle génération.

==== 5. Rapport et restitution ====
Le rapport final documente chaque étape de la kill chain, les failles exploitées, les données auxquelles l'accès a été obtenu, et formule des recommandations priorisées par criticité et effort de remédiation. Il est accompagné d'une session de restitution technique (''technical debrief'') à destination des équipes sécurité et d'une présentation exécutive synthétique pour la direction.

=== Le cadre MITRE ATT&CK ===
Le cadre [[MITRE ATT&CK|MITRE ATT&CK]] (Adversarial Tactics, Techniques, and Common Knowledge), publié pour la première fois en 2015 par la corporation MITRE, est devenu le référentiel standard pour cartographier et documenter les TTP des red teams. La version 14 (octobre 2023) recense 14 tactiques et plus de 600 techniques et sous-techniques couvrant les environnements Windows, Linux, macOS, cloud, mobile et ICS/SCADA. Les red teams l'utilisent pour planifier leurs scénarios en s'alignant sur des groupes APT réels, et les [[Blue team|blue teams]] pour mesurer leur taux de couverture défensive.

=== Outils couramment utilisés ===
Les frameworks de command-and-control (C2) les plus répandus dans les engagements red team professionnels sont :

* '''Cobalt Strike''' — framework C2 commercial, créé en 2012 par Raphael Mudge, devenu la référence du marché et acheté par HelpSystems (aujourd'hui Fortra) en 2020 ;
* '''Metasploit''' — framework open source d'exploitation de vulnérabilités maintenu par Rapid7, avec plus de 2 000 modules d'exploitation disponibles ;
* '''Sliver''' — framework C2 open source développé par BishopFox, conçu comme alternative à Cobalt Strike et écrit en Go pour faciliter la compilation d'implants multi-plateformes ;
* '''BloodHound''' — outil d'analyse des chemins d'attaque Active Directory basé sur la théorie des graphes, permettant de visualiser en quelques minutes les chemins de compromission vers les comptes à hauts privilèges.

L'utilisation de ces outils est légale uniquement dans le cadre d'un contrat écrit et d'une autorisation explicite et préalable de l'organisation cible.

== Cadre légal et éthique ==

=== Conditions d'exercice en France ===
En France, toute opération de red team doit s'appuyer sur un contrat définissant précisément le périmètre autorisé, les dates d'exercice, les vecteurs d'attaque permis et les coordonnées du « circle of trust ». L'absence d'autorisation préalable fait tomber l'opération sous le coup de l'article 323-1 du Code pénal, qui punit l'accès frauduleux à un système de traitement automatisé de données (STAD) de 2 ans d'emprisonnement et de 60 000 € d'amende. Cette peine est portée à 3 ans et 100 000 € lorsque le STAD ciblé héberge des données personnelles, au sens de la [[Conformité RGPD|réglementation RGPD]].

=== TIBER-EU et encadrement sectoriel ===
Le cadre [[TIBER-EU|TIBER-EU]] (Threat Intelligence-Based Ethical Red Teaming), publié par la Banque centrale européenne en mai 2018, normalise les exercices red team dans le secteur financier européen. Il impose une méthodologie en trois phases — collecte de Threat Intelligence, exercice Red Team, Replay — et exige que les prestataires soient certifiés par une autorité nationale désignée. En France, la Banque de France a décliné ce cadre sous la forme TIBER-FR. La [[Directive NIS2|directive NIS2]], dont la transposition en droit français était attendue avant octobre 2024, renforce l'obligation pour les entités essentielles et importantes de réaliser des évaluations de sécurité régulières, dont les exercices red team constituent une composante reconnue.

=== Référentiels et positionnement de l'ANSSI ===
L'[[ANSSI|ANSSI]] a publié en 2023 un guide des tests d'intrusion qui encadre les pratiques offensives et pose les bases déontologiques attendues des prestataires. Le [[RGS (Référentiel Général de Sécurité)|RGS]] impose des audits de sécurité aux systèmes d'information de l'État ; certains de ces audits prennent la forme d'exercices red team, notamment pour les systèmes d'information sensibles. Le [[CERT-FR|CERT-FR]] publie régulièrement des avis sur les techniques offensives observées dans des attaques réelles, alimentant directement les scénarios des red teams.

== Métiers et formation ==

=== Compétences requises ===
Un opérateur red team maîtrise généralement un socle technique couvrant :

* Les systèmes d'exploitation Windows et Linux, avec une expertise approfondie d'Active Directory et de ses mécanismes d'authentification (Kerberos, NTLM, LDAP) ;
* Les protocoles réseau fondamentaux (TCP/IP, HTTP/S, SMB, DNS) et les équipements de sécurité ([[Pare-feu|pare-feu]], proxy, EDR) ;
* Les langages de scripting (Python, PowerShell, Bash) et au moins un langage compilé (C, C++, Go, Rust) pour développer des implants personnalisés contournant les détections par signature ;
* Les techniques d'[[Ingénierie sociale|ingénierie sociale]] permettant de cibler le facteur humain.

Au-delà des compétences techniques, la rédaction de rapports clairs destinés à des publics non techniques et la capacité à simuler le raisonnement d'un attaquant réel (créativité, adaptabilité, persistance) sont des qualités différenciantes.

=== Certifications reconnues ===
Les certifications les plus valorisées sur le marché français en 2024 incluent :

{| class="wikitable"
! Certification !! Organisme !! Niveau approximatif
|-
| OSCP (Offensive Security Certified Professional) || Offensive Security || Intermédiaire
|-
| CRTO (Certified Red Team Operator) || Zero-Point Security || Intermédiaire-avancé
|-
| CRTE (Certified Red Team Expert) || Altered Security || Avancé
|-
| PNPT (Practical Network Penetration Tester) || TCM Security || Débutant-intermédiaire
|-
| CREST CRT (Certified Registered Tester) || CREST || Intermédiaire
|}

La certification OSCP, basée sur un examen pratique de 24 heures en environnement de laboratoire, reste la référence d'entrée dans le domaine. Le CRTO, centré sur les techniques Active Directory et l'utilisation de Cobalt Strike, s'est imposé depuis 2020 comme le standard pour les postes red team en entreprise.

=== Parcours professionnels ===
Les opérateurs red team rejoignent typiquement des cabinets de conseil spécialisés (Synacktiv, SEKOIA, Intrinsec, Devensys Cybersecurity en France), des équipes internes à de grandes banques, des opérateurs d'importance vitale (OIV) ou des agences gouvernementales. Le salaire médian d'un consultant red team senior en France se situe entre 55 000 € et 80 000 € brut annuel en 2024, selon les enquêtes de rémunération du CLUSIF et du CESIN.

Les passerelles avec d'autres métiers de la cybersécurité sont fréquentes : un [[Ingénieur en cybersécurité|ingénieur en cybersécurité]] ou un analyste SOC peut évoluer vers la red team après 3 à 5 ans d'expérience en [[Réponse aux incidents de sécurité|réponse aux incidents de sécurité]] ou en [[Analyse des risques informatiques|analyse des risques informatiques]]. Le [[Responsable de la sécurité des systèmes d'information|responsable de la sécurité des systèmes d'information]] (RSSI) utilise les résultats des exercices red team pour alimenter sa stratégie et prioriser les investissements, notamment dans le cadre du [[NIST Cybersecurity Framework|NIST Cybersecurity Framework]] ou de l'[[ISO/IEC 27001|ISO/IEC 27001]].

=== Voies de formation ===
En France, plusieurs parcours mènent aux métiers red team :

* Diplômes d'ingénieur avec spécialisation sécurité (EPITA, ESIEA, IMT Atlantique, INSA Lyon) ;
* Masters spécialisés cybersécurité (Université de Rennes 1, Paris-Saclay, CY Cergy) ;
* Formations certifiantes en ligne (Hack The Box Academy, TryHackMe, INE Security) ;
* Formations continues éligibles au Compte Personnel de Formation (CPF) pour les reconversions professionnelles, notamment les préparations à l'OSCP et au PNPT.

Le [[Campus Cyber|Campus Cyber]], inauguré en février 2022 à La Défense (Puteaux), regroupe plus de 170 organisations et propose des programmes de formation et de montée en compétences dans l'ensemble des domaines de la cybersécurité, dont les activités offensives.

== Enjeux et perspectives ==

=== Intelligence artificielle et red team ===
L'[[Intelligence artificielle en cybersécurité|intelligence artificielle en cybersécurité]] transforme les pratiques red team à plusieurs niveaux. Les grands modèles de langage (LLM) permettent d'automatiser la génération de leurres de [[Hameçonnage|hameçonnage]] hyper-personnalisés et d'accélérer la phase de reconnaissance en traitant de grands volumes de données OSINT. Par ailleurs, les fournisseurs de modèles d'IA (OpenAI, Anthropic, Google DeepMind) ont institutionnalisé la notion de « red teaming IA » — des équipes chargées de tester les garde-fous des modèles avant leur déploiement public — donnant au terme une acception élargie au-delà de la sécurité des systèmes d'information traditionnels.

=== Articulation avec la résilience organisationnelle ===
Les exercices red team s'inscrivent dans une démarche de [[Résilience organisationnelle|résilience organisationnelle]], aux côtés du [[Plan de continuité d'activité|plan de continuité d'activité]] (PCA) et du [[Plan de reprise d'activité informatique|plan de reprise d'activité informatique]] (PRA). Ils permettent de valider que les procédures documentées résistent à une attaque réelle et que les équipes de [[Réponse aux incidents de sécurité|réponse aux incidents de sécurité]] activent les bons réflexes sous pression. Le [[NIST Cybersecurity Framework|NIST Cybersecurity Framework]] intègre explicitement les exercices adversariaux dans sa fonction « Detect » pour évaluer la maturité des capacités de détection.

=== Automatisation et Breach and Attack Simulation ===
Des plateformes de ''Breach and Attack Simulation'' (BAS) comme Cymulate, SafeBreach ou AttackIQ automatisent une partie des scénarios red team pour permettre des évaluations continues entre deux engagements annuels. Ces outils, qui s'intègrent avec les solutions [[XDR|XDR]] et [[SIEM (informatique)|SIEM]], ne remplacent pas l'expertise humaine pour les scénarios complexes nécessitant ingéniosité et adaptation, mais comblent les angles morts entre deux évaluations manuelles.

=== Red team et architectures modernes ===
L'essor du [[Zero Trust Network Access|Zero Trust Network Access]] (ZTNA) et du [[Modèle Zero Trust|modèle Zero Trust]] pousse les red teams à adapter leurs techniques : les mouvements latéraux classiques basés sur la confiance implicite au réseau interne sont moins efficaces dans ces environnements, ce qui accroît la valeur des vecteurs d'attaque visant l'identité (compromission de tokens OAuth, abus de rôles IAM cloud). Les environnements cloud (AWS, Azure, GCP) et les plateformes d'intégration continue constituent des surfaces d'attaque émergentes qui requièrent des compétences red team spécialisées.

[[Catégorie:Cybersécurité]]
[[Catégorie:Sécurité informatique]]
[[Catégorie:Métiers de la cybersécurité]]

Red team - Historique des versions

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub