Les trois dimensions qui distinguent red team et pentest
La première dimension est l'objectif : un pentest cherche à identifier et documenter des vulnérabilités techniques sur un périmètre défini (une application, une API, une infrastructure). Un red team simule un adversaire qui poursuit un objectif métier concret (exfiltrer un dataset client, compromettre un processus de signature, détourner des fonds). La deuxième dimension est la visibilité : un pentest est connu des équipes techniques avec des règles d'engagement explicites et un calendrier partagé, tandis qu'un red team se déroule en aveugle pour la blue team, avec une cellule restreinte de 2-3 personnes seulement au courant. La troisième dimension est la mesure : un pentest produit une liste de findings priorisés, un red team produit en plus une mesure de la capacité de détection-réaction (MTTD, MTTR) et un diagnostic de la maturité opérationnelle du SOC.
Durée, équipe, budget : les ordres de grandeur
Un pentest applicatif Laucked sur une application web avec API et back-office dure typiquement 8-15 jours avec un pentester senior et un reviewer. Les fourchettes observées sur le marché français pour ce type de mission sont de 15 à 60 k€ selon la profondeur et la criticité. Un red team complet sur une organisation de 200-2 000 personnes mobilise une équipe de 2-3 opérateurs seniors pendant 10-16 semaines et coûte entre 80 et 250 k€ sur le marché. Un purple team ciblé sur un jeu de TTP MITRE ATT&CK (phase reconnaissance + access + lateral movement) prend 2-3 semaines à 25-40 k€. Chiffrage Laucked systématiquement sur devis après atelier de cadrage technique pour capter les spécificités du SI.
Le framework MITRE ATT&CK comme langage commun
MITRE ATT&CK est devenu le référentiel commun pour décrire les techniques adverses, depuis la reconnaissance initiale jusqu'à l'impact final. Il structure 14 tactiques (reconnaissance, resource development, initial access, execution, persistence, privilege escalation, defense evasion, credential access, discovery, lateral movement, collection, command and control, exfiltration, impact) et des centaines de techniques et sous-techniques associées. En pentest applicatif, ATT&CK est utilisé comme grille de lecture pour cartographier la chain d'attaque simulée. En red team, il structure le scénario de bout en bout. En purple team, il devient le plan de travail explicite : chaque TTP est simulé, la détection est testée, les gaps sont documentés. Laucked documente systématiquement les findings avec la référence ATT&CK associée, y compris sur les pentests classiques.
Quand privilégier le pentest applicatif profond
Le pentest applicatif est le bon outil dans 80 % des contextes PME, scale-up et ETI. Il est pertinent dès qu'une entreprise a un produit en production qui porte du risque business (SaaS B2B, API multi-tenant, portail client, logiciel médical, plateforme fintech). Il est indispensable avant un grand contrat B2B, une levée de fonds, une certification ISO 27001, une certification HDS, un référencement Ségur, un audit assurance cyber. Il est aussi le bon choix pour les équipes produit qui veulent des retours exploitables — un pentest produit des preuves reproductibles et un plan de remédiation lisible par les développeurs. Laucked livre ce type de mission sous 48-72 h après fin des tests avec re-test inclus selon le format.
Quand le red team devient le bon choix
Le red team est pertinent quand trois conditions sont réunies : (1) l'organisation dispose d'un SOC interne ou managé actif, avec au minimum un SIEM opérationnel et une rotation 24/7 (sinon aucune détection ne sera possible et le test perd son sens) ; (2) l'entreprise est régulée ou soumise à un cadre qui demande une démonstration de résilience (banque/assurance sous DORA, opérateur d'importance vitale, entité NIS2 essentielle) ; (3) la surface d'attaque est assez large pour que l'exhaustivité d'un pentest classique soit inatteignable (grande organisation, multi-sites, multi-cloud, héritage multi-technologique). En dessous de ces seuils, un pentest applicatif profond + un exercice purple team donne un meilleur retour sur investissement qu'un red team.
Le purple team : l'exercice le plus sous-utilisé
Le purple team est probablement l'exercice sécurité le plus sous-estimé en France. Il combine les atouts des deux approches : la qualité offensive d'un red team et la transparence collaborative qui permet d'améliorer immédiatement la détection. Une mission purple team typique se déroule en 2-3 semaines : atelier de sélection des TTP ATT&CK à tester (souvent 10-20 techniques critiques), exécution en salle commune avec le SOC, validation de la télémétrie disponible (logs, alertes EDR, télémétrie SIEM), tuning des règles et documentation des gaps résiduels. C'est particulièrement puissant pour un SOC jeune ou pour une équipe qui vient de déployer un nouveau SIEM/EDR. Laucked recommande un purple team semestriel en complément d'un pentest annuel, notamment dans les contextes DORA et NIS2.
FAQ Red team vs pentest
Quelle est la différence fondamentale entre red team et pentest ?
Le pentest cherche des vulnérabilités techniques dans un périmètre défini, avec un objectif de couverture exhaustif (tester tous les endpoints d'une API par exemple). La red team simule un adversaire réel qui poursuit un objectif métier (exfiltrer un dataset client, compromettre un processus de paiement) et mesure la capacité de détection-réaction de l'entreprise autant que la vulnérabilité technique. Le red team est plus stratégique, le pentest plus tactique.
Quand un pentest suffit et quand un red team devient pertinent ?
Un pentest suffit tant que l'organisation veut prouver la robustesse technique d'un actif spécifique : application, API, environnement cloud. Le red team devient pertinent à partir d'une maturité suffisante du SOC et de l'équipe sécurité : il ne sert à rien de simuler un APT si personne ne regarde les logs. En pratique, le red team démarre chez les grands comptes à partir de 200-500 personnes avec un SOC interne ou managé, ou dans les secteurs régulés (banque, assurance, énergie).
Qu'est-ce qu'un purple team ?
Le purple team est un exercice collaboratif où red team et blue team (SOC, équipe sécurité défensive) travaillent ensemble, simultanément, sur un jeu de techniques d'attaque précises issues du framework MITRE ATT&CK. L'objectif n'est pas de surprendre la blue team mais d'améliorer sa capacité de détection : on rejoue chaque TTP, on vérifie la télémétrie disponible, on ajuste les règles SIEM/EDR. C'est souvent la meilleure dépense sécurité quand le SOC est encore jeune.
Quel budget et quelle durée pour un red team sérieux ?
Les fourchettes observées sur le marché français vont de 80 à 250 k€ pour une mission red team complète de 10-16 semaines menée par une équipe de 2-3 opérateurs seniors. Le pentest applicatif classique se situe typiquement à 15-60 k€ sur 2-4 semaines. Un purple team focalisé sur une dizaine de TTP ATT&CK prend 2-3 semaines et coûte 25-40 k€. Chiffrage Laucked sur devis après atelier de cadrage.
Pentest OSINT, physique et ingénierie sociale : où est la frontière ?
L'OSINT (collecte d'informations publiques sur la cible), le test d'intrusion physique (accès aux locaux) et l'ingénierie sociale (phishing, vishing, pretexting) font classiquement partie d'une red team complète qui reproduit l'ensemble du kill chain. Dans un pentest classique, ces volets sont hors périmètre sauf demande explicite. Pour les PME/ETI, Laucked propose des missions hybrides : pentest applicatif + OSINT ciblé + campagne phishing testée sur un sous-groupe défini, sans aller jusqu'à l'intrusion physique.
Un red team est-il obligatoire pour certaines certifications ou régulations ?
Oui pour le régime TLPT de DORA (banque, assurance européenne soumise), pour TIBER-EU et certaines exigences PCI-DSS v4.0. ISO 27001:2022 n'impose pas explicitement de red team mais la démarche est valorisée dans l'annexe A.8.29 (tests de sécurité). Pour la plupart des PME et scale-up français, le pentest applicatif annuel reste suffisant ; le red team devient utile à partir du moment où l'entreprise doit démontrer une capacité de résilience, pas seulement une absence de vulnérabilité.