Red Team 101: Difference entre Pentest et Operations Adversariales Reelles

Certains clients commandent un red team et attendent un rapport de pentest avec 47 CVE et une capture Nessus. D'autres commandent un pentest et esperent que tu contournes l'EDR, fasses du lateral movement dans l'AD et exfiltres la base RH sans etre detecte pendant 30 jours. Les deux se trompent, et notre industrie partage la responsabilite d'avoir melange les termes jusqu'a en faire du marketing. Avant de facturer 80k par engagement, tu dois savoir exactement quel service tu vends, parce que la difference entre les deux modalites change le contrat, le ROE, l'equipe, l'outillage et surtout le livrable final.

Un pentest est un exercice de couverture: a partir d'un scope fini (10 IPs, 3 applications web, une API), tu enumere les vulnerabilites, tu valides l'exploitation quand c'est possible et tu produis un rapport avec severites CVSS, preuves et recommandations. Le succes se mesure en decouvertes valides par heure, taux de faux positifs bas et clarte de remediation. Cela ressemble au travail decrit dans Pentest Web depuis Zero: Construire un Lab Sur avec DVWA, Juice Shop et Burp Suite et Pentest APIs REST et GraphQL : Checklist Technique pour Bug Bounty Legal: methodique, reproductible, guide par des checklists comme OWASP WSTG ou PTES. Tu n'as pas besoin d'etre invisible; tu dois etre exhaustif. Une SQLi comme dans SQL Injection en Pratique: Exploiter, Detecter et Mitiger dans un Lab Controle vaut autant qu'un XSS stocke si les deux sont exploites et documentes.

Le red team travaille sur l'axe oppose: objectifs, pas couverture. Le client definit un joyau de la couronne (acces au coffre de signature de code, exfiltration de la feuille M&A, domain admin sur l'AD finance) et tu disposes de 4 a 12 semaines pour l'atteindre en emulant un adversaire precis, generalement un ensemble de TTPs MITRE ATT&CK construit a partir de threat intel. Le scope de surface est large (souvent toute l'entreprise) mais le scope d'objectif est etroit. Tu ne reportes pas 50 vulnerabilites; tu reportes 3 chemins d'attaque de bout en bout. Les techniques de Adversary Emulation avec Caldera et MITRE ATT&CK en Lab d'Entreprise, Mouvement Lateral en Lab: SMB, WMI et WinRM avec Focus Detection et Pentest Active Directory : Kerberoasting Pas a Pas dans un Lab GOAD entrent en scene, et chaque action est pesee contre la detection.

Le ROE (Rules of Engagement) est l'endroit ou les projets meurent. En pentest, le ROE tient en deux pages: fenetres de test, IPs autorisees, contacts d'urgence, interdiction de DoS. En red team, il devient un document de 15 pages avec: liste des trusted agents (3 a 5 personnes au courant), procedures de stand-down si la blue team declenche une vraie reponse a incident, regles de phishing (a qui envoyer, a qui non, comment traiter les credentials recoltees) comme dans Phishing Red Team Autorise : Modeles, GoPhish et Garde-fous Ethiques, limites de C2 (pas d'implants sur les postes C-level sans autorisation ecrite) et clauses sur les donnees personnelles. Sans cela, tu deviens la prochaine une de Krebs pour de mauvaises raisons.

La discipline ethique compte plus que la technique, et ce n'est pas du remplissage de conference. Concretement: tu ne testes pas un bypass AMSI en production sans l'avoir repete en laboratoire comme dans Bypass d'AMSI et d'ETW pour la Recherche Defensive: Ce que les Blue Teams Doivent Savoir; tu ne reutilises pas une infrastructure de C2 comme dans Construire une Infra C2 avec Sliver en Lab Isole pour la Recherche Defensive sans rotation; tu ne choisis pas les stagiaires comme cible d'initial access via Initial Access Simule: Macros, LNK et ISO dans un Lab Windows 11 Isole pour gonfler une metrique; tu detruis les credentials recoltees a la fin de l'engagement et tu documentes la destruction. L'OPSEC operationnelle, comme dans OPSEC pour Chercheurs en Securite: Modele de Menace Personnel, protege a la fois toi et le client, parce qu'une fuite de tes artefacts devient une intrusion reelle.

Les equipes different aussi. Un pentest fonctionne avec 1-2 operateurs generalistes et eventuellement un specialiste ponctuel (mobile, AD, cloud). Un red team exige des roles: un operateur C2, un lead initial access/phishing, un expert AD/lateral, quelqu'un sur le reporting continu et idealement un threat intel lead qui construit le profil d'adversaire emule. Si tu vends du red team avec l'organigramme d'un pentest, tu vends un pentest lent. Pire: tu factures du red team et tu livres une simulation mediocre qui ne teste ni le SOC ni ne produit de purple team exploitable comme la boucle decrite dans Purple Team en Pratique: Construire une Boucle de Feedback Red vs Blue.

Conclusion pratique: avant de signer un engagement, pose trois questions au client. Un, quel est l'objectif business (conformite, validation SOC, exercice de reponse, trouver des trous)? Deux, quel est l'appetit pour la detection (on teste le chemin ou l'equipe)? Trois, qui sont les trusted agents et qui ne doit PAS savoir? Si les reponses pointent vers conformite et couverture, vends un pentest et execute-le avec excellence. Si elles pointent vers la validation de detection et de reponse face a un adversaire realiste, vends du red team avec un ROE solide. Melanger les deux sous le meme SOW, c'est facturer de la chirurgie et livrer un massage: quelqu'un sort blesse, generalement ta reputation.