Red team

Une red team (littéralement « équipe rouge ») est un groupe de professionnels de la cybersécurité mandatés pour simuler des attaques réalistes contre les systèmes d'information, les processus et les personnes d'une organisation, dans le but d'identifier des failles avant qu'un acteur malveillant ne les exploite. Distincte du simple test d'intrusion, une red team adopte les tactiques, techniques et procédures (TTP) d'adversaires réels, souvent sur des durées de plusieurs semaines à plusieurs mois. Le terme trouve son origine dans les exercices militaires de la guerre froide, où une « équipe rouge » incarnait l'adversaire potentiel pour tester la robustesse des plans défensifs.

L'expression « red team » émerge dans les années 1960 au sein des forces armées américaines, notamment à la CIA et au Pentagone. Les équipes rouges étaient alors chargées d'adopter la perspective de l'adversaire soviétique pour évaluer la solidité des plans stratégiques et tactiques. Cette pratique s'est institutionnalisée après les travaux de la commission Pike (1975) et les révisions des processus de renseignement américains, qui ont mis en évidence les biais cognitifs liés à l'analyse de la menace.

La transposition au domaine informatique s'opère à partir des années 1990, portée par la NSA et le Department of Defense des États-Unis. L'exercice classifié « Eligible Receiver 97 » de 1997, dans lequel des agents de la NSA simulaient des cyberattaques nord-coréennes sur les infrastructures américaines sans outils commerciaux spéciaux, constitue un tournant fondateur. Les premières certifications spécialisées red team apparaissent dans les années 2000, avec l'Offensive Security Certified Professional (OSCP) lancé en 2008 par Offensive Security. En Europe, la Banque centrale européenne publie en 2018 le cadre TIBER-EU, première normalisation sectorielle des exercices red team.

Un test d'intrusion (pentest) est généralement une évaluation technique ciblée, limitée dans le temps (5 à 10 jours), portant sur un périmètre précis — une application, un réseau, une API. La red team s'en distingue sur plusieurs points :

• Elle opère sur un périmètre large incluant les systèmes, les processus organisationnels et le facteur humain ;
• Elle s'étend sur 4 à 12 semaines en moyenne ;
• Elle fixe un objectif précis, appelé « drapeau » (flag) — par exemple accéder à la base de données RH ou usurper l'identité d'un administrateur de domaine — plutôt qu'une liste exhaustive de vulnérabilités ;
• Elle maintient une discrétion maximale pour tester la capacité de détection du SOC ;
• Elle est connue uniquement d'un « circle of trust » restreint (direction sécurité, RSSI), à l'exclusion des équipes défensives opérationnelles.

Un audit de cybersécurité traditionnel évalue la conformité à des référentiels (ISO/IEC 27001, ISO/IEC 27002) ; la red team teste la résistance effective à une attaque simulée réaliste, indépendamment de la conformité documentaire.

L'écosystème des équipes de sécurité offensives et défensives s'organise autour de trois pôles complémentaires :

Équipe	Rôle	Indicateur de succès principal
Blue team	Défense : détection, réponse, remédiation	Temps moyen de détection (MTTD), temps moyen de réponse (MTTR)
Red team	Attaque simulée, identification de failles	Objectifs (drapeaux) atteints sans détection
Purple team	Collaboration red/blue en temps réel, amélioration continue	Taux de couverture des TTP testées

La purple team n'est pas une troisième équipe indépendante, mais un mode opératoire où les équipes rouge et bleue travaillent en parallèle ou en séquence courte pour accélérer la remédiation et capitaliser sur chaque exercice. Ce modèle réduit le délai entre la découverte d'une faille et sa correction de plusieurs semaines à quelques jours.

La phase de reconnaissance consiste à collecter des informations sur la cible sans interaction directe avec ses systèmes. Elle mobilise des sources ouvertes (OSINT) : registres WHOIS, certificats TLS publiés dans les Certificate Transparency Logs, profils LinkedIn des collaborateurs, offres d'emploi révélant les technologies internes, dépôts de code publics. La threat intelligence alimente cette phase en fournissant des indicateurs sur les vecteurs d'attaque privilégiés par les groupes APT actifs dans le secteur visé.

L'accès initial peut emprunter plusieurs vecteurs, souvent combinés :

• Hameçonnage ciblé (spear phishing) — envoi d'e-mails personnalisés avec pièces jointes malveillantes ou liens vers des pages de collecte de credentials ;
• Ingénierie sociale vocale (vishing) — usurpation d'identité téléphonique visant le support informatique ou les ressources humaines ;
• Intrusion physique dans les locaux pour brancher des implants matériels ou accéder à des postes déverrouillés ;
• Exploitation de vulnérabilités informatiques sur des services exposés (VPN, portails Exchange, applications web, interfaces RDP).

Une fois l'accès initial obtenu, l'équipe cherche à élever ses privilèges (privilege escalation), à se déplacer latéralement dans le réseau et à atteindre ses objectifs. Cette phase teste directement l'efficacité des contrôles comme la microsegmentation réseau, le modèle Zero Trust, la gestion des identités et des accès et l'authentification multifacteur. Dans les environnements Active Directory, des techniques comme Kerberoasting, Pass-the-Hash ou DCSync sont couramment employées.

L'équipe simule la mise en place de mécanismes de persistance (backdoors, tâches planifiées malveillantes, modification de clés de registre) et l'exfiltration de données sensibles. Cette phase évalue la capacité du SIEM et du SOC à détecter ces comportements anormaux, ainsi que l'efficacité des contrôles de chiffrement des données et des pare-feu de nouvelle génération.

Le rapport final documente chaque étape de la kill chain, les failles exploitées, les données auxquelles l'accès a été obtenu, et formule des recommandations priorisées par criticité et effort de remédiation. Il est accompagné d'une session de restitution technique (technical debrief) à destination des équipes sécurité et d'une présentation exécutive synthétique pour la direction.

Le cadre MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), publié pour la première fois en 2015 par la corporation MITRE, est devenu le référentiel standard pour cartographier et documenter les TTP des red teams. La version 14 (octobre 2023) recense 14 tactiques et plus de 600 techniques et sous-techniques couvrant les environnements Windows, Linux, macOS, cloud, mobile et ICS/SCADA. Les red teams l'utilisent pour planifier leurs scénarios en s'alignant sur des groupes APT réels, et les blue teams pour mesurer leur taux de couverture défensive.

Les frameworks de command-and-control (C2) les plus répandus dans les engagements red team professionnels sont :

• Cobalt Strike — framework C2 commercial, créé en 2012 par Raphael Mudge, devenu la référence du marché et acheté par HelpSystems (aujourd'hui Fortra) en 2020 ;
• Metasploit — framework open source d'exploitation de vulnérabilités maintenu par Rapid7, avec plus de 2 000 modules d'exploitation disponibles ;
• Sliver — framework C2 open source développé par BishopFox, conçu comme alternative à Cobalt Strike et écrit en Go pour faciliter la compilation d'implants multi-plateformes ;
• BloodHound — outil d'analyse des chemins d'attaque Active Directory basé sur la théorie des graphes, permettant de visualiser en quelques minutes les chemins de compromission vers les comptes à hauts privilèges.

L'utilisation de ces outils est légale uniquement dans le cadre d'un contrat écrit et d'une autorisation explicite et préalable de l'organisation cible.

En France, toute opération de red team doit s'appuyer sur un contrat définissant précisément le périmètre autorisé, les dates d'exercice, les vecteurs d'attaque permis et les coordonnées du « circle of trust ». L'absence d'autorisation préalable fait tomber l'opération sous le coup de l'article 323-1 du Code pénal, qui punit l'accès frauduleux à un système de traitement automatisé de données (STAD) de 2 ans d'emprisonnement et de 60 000 € d'amende. Cette peine est portée à 3 ans et 100 000 € lorsque le STAD ciblé héberge des données personnelles, au sens de la réglementation RGPD.

Le cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), publié par la Banque centrale européenne en mai 2018, normalise les exercices red team dans le secteur financier européen. Il impose une méthodologie en trois phases — collecte de Threat Intelligence, exercice Red Team, Replay — et exige que les prestataires soient certifiés par une autorité nationale désignée. En France, la Banque de France a décliné ce cadre sous la forme TIBER-FR. La directive NIS2, dont la transposition en droit français était attendue avant octobre 2024, renforce l'obligation pour les entités essentielles et importantes de réaliser des évaluations de sécurité régulières, dont les exercices red team constituent une composante reconnue.

L'ANSSI a publié en 2023 un guide des tests d'intrusion qui encadre les pratiques offensives et pose les bases déontologiques attendues des prestataires. Le RGS impose des audits de sécurité aux systèmes d'information de l'État ; certains de ces audits prennent la forme d'exercices red team, notamment pour les systèmes d'information sensibles. Le CERT-FR publie régulièrement des avis sur les techniques offensives observées dans des attaques réelles, alimentant directement les scénarios des red teams.

Un opérateur red team maîtrise généralement un socle technique couvrant :

• Les systèmes d'exploitation Windows et Linux, avec une expertise approfondie d'Active Directory et de ses mécanismes d'authentification (Kerberos, NTLM, LDAP) ;
• Les protocoles réseau fondamentaux (TCP/IP, HTTP/S, SMB, DNS) et les équipements de sécurité (pare-feu, proxy, EDR) ;
• Les langages de scripting (Python, PowerShell, Bash) et au moins un langage compilé (C, C++, Go, Rust) pour développer des implants personnalisés contournant les détections par signature ;
• Les techniques d'ingénierie sociale permettant de cibler le facteur humain.

Au-delà des compétences techniques, la rédaction de rapports clairs destinés à des publics non techniques et la capacité à simuler le raisonnement d'un attaquant réel (créativité, adaptabilité, persistance) sont des qualités différenciantes.

Les certifications les plus valorisées sur le marché français en 2024 incluent :

Certification	Organisme	Niveau approximatif
OSCP (Offensive Security Certified Professional)	Offensive Security	Intermédiaire
CRTO (Certified Red Team Operator)	Zero-Point Security	Intermédiaire-avancé
CRTE (Certified Red Team Expert)	Altered Security	Avancé
PNPT (Practical Network Penetration Tester)	TCM Security	Débutant-intermédiaire
CREST CRT (Certified Registered Tester)	CREST	Intermédiaire

La certification OSCP, basée sur un examen pratique de 24 heures en environnement de laboratoire, reste la référence d'entrée dans le domaine. Le CRTO, centré sur les techniques Active Directory et l'utilisation de Cobalt Strike, s'est imposé depuis 2020 comme le standard pour les postes red team en entreprise.

Les opérateurs red team rejoignent typiquement des cabinets de conseil spécialisés (Synacktiv, SEKOIA, Intrinsec, Devensys Cybersecurity en France), des équipes internes à de grandes banques, des opérateurs d'importance vitale (OIV) ou des agences gouvernementales. Le salaire médian d'un consultant red team senior en France se situe entre 55 000 € et 80 000 € brut annuel en 2024, selon les enquêtes de rémunération du CLUSIF et du CESIN.

Les passerelles avec d'autres métiers de la cybersécurité sont fréquentes : un ingénieur en cybersécurité ou un analyste SOC peut évoluer vers la red team après 3 à 5 ans d'expérience en réponse aux incidents de sécurité ou en analyse des risques informatiques. Le responsable de la sécurité des systèmes d'information (RSSI) utilise les résultats des exercices red team pour alimenter sa stratégie et prioriser les investissements, notamment dans le cadre du NIST Cybersecurity Framework ou de l'ISO/IEC 27001.

En France, plusieurs parcours mènent aux métiers red team :

• Diplômes d'ingénieur avec spécialisation sécurité (EPITA, ESIEA, IMT Atlantique, INSA Lyon) ;
• Masters spécialisés cybersécurité (Université de Rennes 1, Paris-Saclay, CY Cergy) ;
• Formations certifiantes en ligne (Hack The Box Academy, TryHackMe, INE Security) ;
• Formations continues éligibles au Compte Personnel de Formation (CPF) pour les reconversions professionnelles, notamment les préparations à l'OSCP et au PNPT.

Le Campus Cyber, inauguré en février 2022 à La Défense (Puteaux), regroupe plus de 170 organisations et propose des programmes de formation et de montée en compétences dans l'ensemble des domaines de la cybersécurité, dont les activités offensives.

L'intelligence artificielle en cybersécurité transforme les pratiques red team à plusieurs niveaux. Les grands modèles de langage (LLM) permettent d'automatiser la génération de leurres de hameçonnage hyper-personnalisés et d'accélérer la phase de reconnaissance en traitant de grands volumes de données OSINT. Par ailleurs, les fournisseurs de modèles d'IA (OpenAI, Anthropic, Google DeepMind) ont institutionnalisé la notion de « red teaming IA » — des équipes chargées de tester les garde-fous des modèles avant leur déploiement public — donnant au terme une acception élargie au-delà de la sécurité des systèmes d'information traditionnels.

Les exercices red team s'inscrivent dans une démarche de résilience organisationnelle, aux côtés du plan de continuité d'activité (PCA) et du plan de reprise d'activité informatique (PRA). Ils permettent de valider que les procédures documentées résistent à une attaque réelle et que les équipes de réponse aux incidents de sécurité activent les bons réflexes sous pression. Le NIST Cybersecurity Framework intègre explicitement les exercices adversariaux dans sa fonction « Detect » pour évaluer la maturité des capacités de détection.

Des plateformes de Breach and Attack Simulation (BAS) comme Cymulate, SafeBreach ou AttackIQ automatisent une partie des scénarios red team pour permettre des évaluations continues entre deux engagements annuels. Ces outils, qui s'intègrent avec les solutions XDR et SIEM, ne remplacent pas l'expertise humaine pour les scénarios complexes nécessitant ingéniosité et adaptation, mais comblent les angles morts entre deux évaluations manuelles.

L'essor du Zero Trust Network Access (ZTNA) et du modèle Zero Trust pousse les red teams à adapter leurs techniques : les mouvements latéraux classiques basés sur la confiance implicite au réseau interne sont moins efficaces dans ces environnements, ce qui accroît la valeur des vecteurs d'attaque visant l'identité (compromission de tokens OAuth, abus de rôles IAM cloud). Les environnements cloud (AWS, Azure, GCP) et les plateformes d'intégration continue constituent des surfaces d'attaque émergentes qui requièrent des compétences red team spécialisées.