En cybersécurité offensive, pentest et red team sont souvent confondus. Pourtant les philosophies, méthodes et livrables diffèrent fondamentalement.
Choisir le mauvais exercice au mauvais moment peut coûter cher et donner une fausse image du risque. Voici une lecture claire pour décider.
1. Le pentest : évaluation ciblée (le « check-up » technique)
Qu’est-ce que c’est ?
Le test d’intrusion est une évaluation de sécurité sur un périmètre défini et une durée convenue. L’objectif est de trouver un maximum de vulnérabilités exploitables dans ce périmètre.
Le pentester agit comme un inspecteur qui teste portes, fenêtres et configurations d’un bâtiment délimité (application, API, infra de préproduction, Wi-Fi, etc.).
Comment ça se passe ?
- Périmètre (scope) : fixé à l’avance (ex. « application X », « VPC de préprod »).
- Méthode : outils automatisés + exploitation manuelle (injections, mauvaises configs, composants obsolètes…).
- Visibilité : le pentest n’est en général pas un exercice de furtivité : scans et tests peuvent être visibles ; l’objectif est de trouver les failles, pas de rester invisible.
Livrable attendu
Rapport technique avec vulnérabilités classées (critique, haute, moyenne, basse), preuves, recommandations de correction.
Analogie : vous faites appel à un serrurier pour vérifier toutes les serrures. Il vous rend une liste de ce qui doit être réparé - pas une simulation de cambriolage silencieux.
2. Le red team : simulation d’adversaire (l’exercice « intrusion réelle »)
Qu’est-ce que c’est ?
Le red teaming vise un objectif stratégique (exfiltrer un document précis, atteindre un segment réseau) en utilisant tous les moyens réalistes (technique, humain, physique si dans le scope), tout en limitant la détection si possible.
On ne cherche pas à tout tester exhaustivement : on enchaîne les vecteurs jusqu’à l’objectif.
Comment ça se passe ?
Approche multi-vectorielle possible :
- phishing ciblé ;
- ingénierie sociale ;
- intrusion physique (si prévu) ;
- mouvement latéral, abus d’identités.
Le red team n’exploite que les chemins nécessaires pour atteindre le but.
Livrable attendu
Souvent un récit d’attaque : entrée, pivots, moments de détection (ou absence), recommandations pour le SOC et les procédures. L’accent est mis sur détection et réponse, pas sur une liste exhaustive de CVE.
Analogie : une équipe doit voler un document précis dans le bureau du dirigeant - sans forcément tester toutes les portes ; elle peut passer par un humain, un badge, une fenêtre.
3. Tableau comparatif
| Caractéristique | Pentest (test d’intrusion) | Red team |
|---|---|---|
| Objectif principal | Trouver et prioriser des vulnérabilités | Atteindre un objectif sans se faire prendre (si possible) |
| Question posée | « Où sont nos failles techniques ? » | « Détectons-nous et réagissons-nous à une attaque réelle ? » |
| Périmètre | Souvent strict, technologique | Large, souvent multi-vecteur |
| Méthode | Exhaustive sur le scope, souvent « bruyante » | Ciblée, créative, discrète |
| Durée typique | Court à moyen (ex. quelques jours à quelques semaines) | Plus long (semaines à mois) |
| Maturité requise | Faible à moyenne | Élevée (SOC, outils de détection) |
| Cible principale | Systèmes et applications | Défense (SOC, procédures) |
4. Lequel choisir ? Une question de maturité
Privilégiez le pentest si :
- vous débutez ou n’avez pas d’audit récent : besoin d’un état des lieux ;
- vous lancez une nouvelle application ou une exposition majeure ;
- la conformité (PCI-DSS, ISO 27001, NIS2, etc.) impose des tests d’intrusion sur un périmètre défini ;
- votre priorité est la prévention : corriger des failles avant qu’elles soient exploitées.
Privilégiez le red team si :
- la discrétion est le critère de succès : mesurer si l’attaquant passe sous le radar (EDR, SIEM) ;
- vous avez déjà des pentests réguliers et une équipe SOC / Blue Team ;
- vous voulez éprouver détection et réponse plutôt que la liste des CVE ;
- vous craignez une menace ciblée (APT, espionnage industriel) ;
- votre objectif est l’entraînement sous stress réaliste.
Conclusion
Pentest et red team ne sont pas concurrents : ils sont complémentaires. Le pentest aide à bâtir des murs solides ; le red team vérifie si un adversaire motivé peut encore passer par la cheminée ou manipuler le gardien.
En pratique : commencez souvent par le pentest pour assainir les bases ; envisagez le red team lorsque la défense doit être mise à l’épreuve. Côté CodiTrust, l’offre sécurité offensive est centrée sur pentests et audits cloud adaptés à votre contexte - échangez avec nous pour calibrer le bon format.