En quoi une mission de red team diffère-t-elle d'un test d'intrusion ?
Réponse courte
Un pentest vise une large couverture — trouver autant de vulnérabilités que possible dans une cible délimitée. Une red team est une émulation d'adversaire pilotée par objectif : choisir un but (par ex. atteindre les données les plus précieuses), émuler les TTP d'un acteur de menace précis, rester furtif pour tester la détection et la réponse, et éviter le scan bruyant. La red team mesure l'équipe bleue et toute l'organisation, pas seulement l'actif ; les deux exigent des règles d'engagement strictes et une autorisation.
Confondre une red team avec un pentest est un classique des juniors. Elles partagent l'outillage mais répondent à des questions différentes, et les recruteurs posent cette question pour voir si vous comprenez le but derrière la méthodologie, et non seulement les exploits.
La différence centrale : couverture contre objectif
Un test d'intrusion optimise la couverture — dans un périmètre défini, énumérer et valider autant de vulnérabilités que possible et toutes les rapporter. Le bruit n'est pas un problème ; l'équipe bleue sait généralement que cela se produit.
Une mission de red team est une émulation d'adversaire pilotée par objectif. Vous choisissez un but concret aligné sur le risque métier — exfiltrer la base de données clients, obtenir domain admin, atteindre le système de paiement — et vous émulez le savoir-faire d'un acteur de menace pertinent (souvent relié aux TTP de MITRE ATT&CK) pour y parvenir. Point crucial, vous testez la détection et la réponse de l'organisation, donc la furtivité compte ; un scan de vulnérabilités bruyant ruinerait l'objectif.
Méthodologie de la red team
Elle suit la kill chain : reconnaissance, accès initial (souvent phishing ou exploitation externe), établissement du C2, élévation de privilèges, mouvement latéral et actions sur l'objectif — tout en minimisant l'empreinte détectable. La mesure du succès n'est pas « combien de bugs » mais « ont-ils atteint l'objectif, et l'équipe bleue l'a-t-elle vu ? ».
Règles d'engagement
Les deux exigent une autorisation écrite, mais les ROE de red team sont plus strictes : objectifs explicites, systèmes et techniques interdits, horaires, un canal de déconfliction pour que l'équipe bleue puisse confirmer « est-ce vous ? », et une lettre get-out-of-jail portée lors de toute activité physique ou d'ingénierie sociale. Le réalisme ne signifie jamais sauter l'autorisation.
Quand choisir lequel
Recommandez un pentest quand l'organisation veut trouver et corriger de nombreuses vulnérabilités, ou est tôt dans sa maturité. Recommandez une red team quand elle dispose d'un programme de sécurité fonctionnel et veut tester si ses personnes, processus et détection arrêtent réellement un adversaire déterminé.
Ce que recherchent les recruteurs
Ils veulent le cadrage couverture contre objectif, la conscience de la furtivité et du test de détection, l'émulation fondée sur MITRE ATT&CK, et la maturité d'insister sur l'autorisation et la déconfliction.
Questions de suivi probables
- Que doit préciser un document de règles d'engagement de red team qu'un pentest pourrait omettre ?
- Qu'est-ce qu'un processus de déconfliction ou de « get-out-of-jail » et pourquoi en avez-vous besoin ?
- Quand recommanderiez-vous un pentest plutôt qu'une red team à un client ?