Red team vs blue team : conduire des exercices de cyberdéfense pour les organisations militaires

Par Équipe d'ingénierie Corvus Intelligence · À propos de l'équipe →

4 juin 2026 9 min de lecture

Tout commandant cyber finit par faire face à la même question inconfortable après un audit de sécurité : si un adversaire étatique avait opéré dans vos réseaux pendant les six derniers mois, vos analystes SOC l'auraient-ils détecté ? La réponse honnête, pour la plupart des organisations militaires, est probablement non — non parce que les défenseurs sont incompétents, mais parce que les réseaux classifiés sont complexes, les exigences de continuité opérationnelle contraignent l'usage des outils défensifs agressifs, et le savoir-faire des acteurs de menace a évolué bien au-delà de ce que la seule détection basée sur les signatures peut intercepter. Les exercices red team/blue team existent pour répondre à cette question avant qu'un adversaire ne le fasse. Ils font partie des investissements à plus fort retour qu'une organisation cyber militaire puisse réaliser — et parmi les plus mal exécutés en l'absence de discipline de planification.

Cet article couvre l'arc complet d'un exercice cyber militaire : pourquoi les réseaux de défense présentent des défis uniques, comment structurer les types d'exercices sur un continuum de maturité, comment les rôles red et blue team sont pourvus et délimités, quelle infrastructure technique requiert un exercice efficace, et comment extraire des améliorations concrètes du compte rendu après action. La plateforme d'exercice multi-domaines WARG prend en charge l'intégration des événements du domaine cyber dans une planification d'exercice interarmes plus large — une capacité examinée dans la section finale.

Pourquoi les exercices cyber militaires diffèrent des exercices commerciaux

Les principes du test red team/blue team s'appliquent dans tous les secteurs, mais les réseaux militaires introduisent des contraintes et des exigences sans équivalent commercial. Comprendre ces distinctions est un prérequis pour concevoir un exercice qui produit des données d'entraînement utiles plutôt qu'une performance scriptée.

Architecture réseau classifiée. Les réseaux militaires couvrent plusieurs niveaux de classification — des systèmes administratifs non classifiés jusqu'aux enclaves secret et supérieur — et les frontières entre eux constituent elles-mêmes des cibles de haute valeur. Une red team émulant une menace persistante avancée ne cherche pas simplement à exfiltrer des données ; elle peut tenter un transfert inter-domaines qui exploite une diode de données mal configurée ou une solution inter-domaines mal implémentée. Les exercices qui opèrent uniquement sur des gammes non classifiées peuvent manquer les chemins d'attaque les plus pertinents sur le plan opérationnel.

Exigences de continuité opérationnelle. Un testeur de pénétration commercial peut mettre hors service une application web pendant une heure sans conséquence catastrophique. Une red team opérant sur un réseau soutenant le commandement et le contrôle actif ne peut pas interrompre le trafic opérationnel sans impact de mission s'étendant bien au-delà de l'exercice. Cette contrainte impose un compromis : les exercices sur les réseaux adjacents à la production sont plus réalistes mais comportent un risque opérationnel réel ; les exercices sur des gammes cyber isolées sont plus sûrs mais peuvent ne pas exposer les lacunes défensives réelles dans les systèmes opérationnels. Les concepteurs d'exercices expérimentés abordent cela avec une approche en couches — exercices sur gamme isolée pour la validation des techniques, exercices à portée limitée adjacent à la production pour les tests en environnement réaliste.

OPSEC pendant l'exercice lui-même. L'existence d'un exercice red team est une information opérationnellement sensible. Un adversaire qui apprend qu'une unité mène des tests internes peut ajuster son calendrier pour éviter la fenêtre d'exercice, ou peut tenter de mélanger une activité d'intrusion réelle au bruit de l'exercice. La planification et les communications de l'exercice doivent être traitées aux niveaux de classification appropriés, et le cercle du personnel connaissant le calendrier de l'exercice doit être minimisé — en particulier du côté du personnel blue team, dont l'entraînement à la détection exige une véritable incertitude quant à savoir si l'activité observée est générée par l'exercice ou réelle.

Autorité légale pour les techniques offensives. Les opérateurs red team utilisant des outils cyber offensifs contre des réseaux militaires requièrent une autorité écrite explicite qui n'existe pas par défaut. Le Computer Fraud and Abuse Act aux États-Unis, et les statuts équivalents dans les nations alliées, créent une responsabilité pénale pour l'accès non autorisé aux ordinateurs indépendamment de l'affiliation de l'acteur. Établir l'autorité légale appropriée — documents d'autorisation de commandement, règles d'engagement et lettres de protection — avant tout début d'activité red team n'est pas une charge bureaucratique ; c'est la base qui rend l'exercice juridiquement défendable.

Types d'exercices sur le continuum de maturité

Les exercices cyber militaires vont des discussions de table de travail à faible coût aux simulations live-fire complètes sur une infrastructure de gamme dédiée. Les organisations à différents niveaux de maturité bénéficient de différents types d'exercices, et la progression du table de travail au live-fire constitue elle-même un parcours de développement structuré.

Les exercices de table de travail réunissent l'équipe de réponse aux incidents pour travailler sur un scénario sans aucune activité technique en direct. Le facilitateur présente un scénario — « vous avez reçu une alerte indiquant qu'un point de terminaison sur le réseau de commandement a initié un schéma inhabituel de requêtes DNS sortantes ; que faites-vous ? » — et l'équipe discute de son processus de réponse. Les tables de travail sont peu coûteuses, ne nécessitent aucune infrastructure technique et sont très efficaces pour exposer les lacunes de processus : procédures d'escalade manquantes, rôles non définis, ambiguïtés décisionnelles et défaillances de communication entre le SOC et le commandant d'incident. Ils ne produisent aucune donnée sur le fonctionnement réel des outils de détection, mais révèlent si l'équipe sait comment les utiliser.

Les exercices de simulation complète impliquent une red team humaine opérant activement contre un environnement cible tandis que la blue team défend en temps réel. La red team utilise de vrais outils et techniques offensifs ; la blue team utilise ses outils opérationnels de détection et de réponse. Ces exercices sont la formation à la plus haute fidélité disponible à court d'une réponse à une intrusion réelle, et ils sont le seul type d'exercice qui produit des métriques MTTD et MTTR réalistes. Ils nécessitent la planification la plus élaborée, l'infrastructure technique la plus importante et la documentation d'autorité légale la plus rigoureuse.

Le live-fire sur réseaux de gamme utilise une gamme cyber dédiée — un environnement réseau isolé qui reflète l'architecture de production sans porter de trafic opérationnel — comme environnement d'exercice. Cette approche préserve la continuité opérationnelle tout en permettant à la red team d'utiliser le spectre complet des techniques autorisées, y compris celles qui causeraient une interruption de service sur un réseau de production. Les gammes cyber peuvent être sur site, hébergées dans le cloud ou fournies par des organisations de formation de niveau national. L'investissement dans l'infrastructure de gamme est significatif mais amortissable sur de nombreux exercices par an.

Les exercices de coalition (style CWIX) impliquent plusieurs nations alliées opérant ensemble dans un environnement d'exercice partagé. Le modèle du Cyber Warfare Interoperability eXercise (CWIX) permet aux nations participantes de tester non seulement leurs capacités défensives internes, mais aussi leur capacité à partager des renseignements sur les menaces et à coordonner la réponse aux incidents au-delà des frontières nationales et organisationnelles. Ces exercices exposent les lacunes d'interopérabilité — systèmes de tickets incompatibles, formats de partage d'indicateurs incompatibles, barrières linguistiques et terminologiques lors d'une réponse à incident en tempo élevé — que les exercices internes ne peuvent pas révéler.

Point clé : L'échec le plus courant dans les programmes d'exercices cyber militaires est de tenter un exercice red team en direct avant que les fondations de table de travail et de processus soient établies. Une blue team qui n'a jamais parcouru ses procédures de réponse aux incidents dans un exercice de table de travail passera un exercice en direct à découvrir des lacunes de processus plutôt qu'à former ses compétences de détection et de réponse. La progression de maturité — table de travail d'abord, simulation ensuite, live-fire en dernier — n'est pas optionnelle.

Structure red team et émulation d'acteur de menace

La valeur d'un exercice red team est directement proportionnelle à la précision avec laquelle la red team émule la menace réelle. Une red team qui utilise des techniques vieilles de cinq ans, ou qui opère plus bruyamment qu'un APT réel parce qu'elle manque du savoir-faire pour être subtile, produit des données d'entraînement qui ne préparent pas la blue team à la menace réelle à laquelle elle est confrontée. Les red teams militaires efficaces sont structurées autour de l'émulation d'acteurs de menace spécifiques plutôt que du test de pénétration générique.

Pour les réseaux militaires dans le contexte NATO et Five Eyes, les acteurs de menace les plus pertinents sur le plan opérationnel sont les groupes étatiques ayant une capacité d'intrusion démontrée sur les réseaux militaires. APT28 (Fancy Bear, attribué à l'Unité GRU 26165) a un historique documenté de ciblage des réseaux militaires et gouvernementaux utilisant le hameçonnage ciblé, le vol d'identifiants et les techniques living-off-the-land qui minimisent l'empreinte visible pour la détection aux points de terminaison. APT29 (Cozy Bear, attribué au SVR) opère avec un temps de séjour plus long et un tempo opérationnel plus patient, maintenant souvent l'accès pendant des mois avant d'exécuter son objectif de mission. Les red teams émulant ces acteurs doivent opérer à partir de leurs playbooks TTP documentés, en utilisant MITRE ATT&CK comme cadre organisateur.

Les techniques living-off-the-land (LotL) sont particulièrement importantes à émuler car elles représentent le défi de détection qui défait la plupart des défenses basées sur les signatures. Une red team qui utilise uniquement des frameworks d'exploitation open source génère des alertes que tout produit EDR commercial interceptera ; une red team qui utilise des outils d'administration Windows intégrés (PowerShell, WMI, PsExec, tâches planifiées) pour effectuer des mouvements latéraux opère de la même manière résistante à la détection qu'un acteur étatique sophistiqué. La capacité de la blue team à distinguer l'utilisation malveillante des outils légitimes de l'activité administrative de routine est la compétence fondamentale qu'un exercice bien conçu développe.

L'infrastructure de commandement et contrôle (C2) doit être construite spécifiquement pour l'exercice plutôt que de réutiliser des frameworks de test de pénétration commerciaux très signaturés par les produits de sécurité réseau. Le tunneling DNS, le balissage HTTPS vers une infrastructure domain-frontée et les canaux couverts sur les protocoles autorisés (ICMP, API de stockage cloud légitimes) représentent les techniques C2 que les red teams opérationnelles utilisent. Les options d'outils incluent CALDERA pour l'exécution automatisée de TTPs et Cobalt Strike ou Havoc pour les opérations C2 manuelles par des opérateurs red team avec la formation et l'autorisation appropriées.

Rôles blue team et structure SOC lors d'un exercice

La blue team n'est pas un groupe homogène lors d'un exercice cyber — elle comprend des rôles distincts qui doivent se coordonner sous pression temporelle. Les exercices qui ne définissent pas ces rôles explicitement produisent des réponses confuses où plusieurs analystes dupliquent le travail ou des décisions critiques attendent une autorité que personne ne sait détenir.

Les analystes SOC (Niveaux 1 et 2) constituent la couche de détection. Leur objectif d'entraînement lors de l'exercice est de trier les alertes avec précision, d'escalader rapidement l'activité suspecte confirmée et de ne pas rejeter les véritables indicateurs de compromission comme des faux positifs. L'exercice doit générer un volume d'alertes réaliste — non seulement l'activité red team mais aussi du bruit de fond simulé provenant d'événements réseau de routine — pour former les analystes dans des conditions qui approchent la charge opérationnelle.

Le commandant d'incident détient l'autorité décisionnelle lors d'un incident déclaré. Son objectif d'entraînement lors de l'exercice est de prendre des décisions de triage correctes sous information incomplète : quand invoquer des procédures de confinement qui causeront une interruption de service, quand permettre à l'activité adversariale de continuer à des fins de collecte de renseignements et quand escalader vers l'autorité de commandement. Les commandants d'incident qui n'ont jamais pratiqué ces décisions dans un environnement simulé font systématiquement des choix sous-optimaux sous la charge cognitive d'un incident réel.

L'équipe forensique reconstruit les chronologies d'attaque après le confinement. Son objectif d'entraînement lors de l'exercice est de produire une chronologie précise à partir des données de journaux disponibles dans un délai défini. La qualité de la reconstruction forensique — si elle identifie correctement le vecteur d'accès initial, l'étendue complète des mouvements latéraux et les données qui ont été consultées — est une mesure directe de la capacité de l'organisation à mener une remédiation post-incident plutôt que de simplement fermer le ticket d'incident.

Point clé : Le rôle de commandant d'incident est le poste le moins formé dans la plupart des structures SOC militaires. Les analystes SOC reçoivent une formation technique régulière ; les commandants d'incident pratiquent rarement la prise de décision sous pression d'incident simulé. Un exercice cyber qui exécute simultanément les trois rôles blue team — analyste, commandant d'incident, forensique — produit bien plus de valeur d'entraînement que celui qui se concentre exclusivement sur la couche de détection.

Purple team pour l'amélioration continue

Le modèle adversarial traditionnel red-contre-blue produit un résultat binaire : soit la blue team a détecté la technique, soit elle ne l'a pas fait. Le purple teaming modifie ce modèle pour produire une amélioration continue et collaborative plutôt qu'un événement de mesure unique. Dans un exercice purple team, les membres des équipes red et blue travaillent ensemble — la red team exécute une technique spécifique, la blue team tente de la détecter, et les deux équipes discutent immédiatement des données de journaux générées, de la règle de détection qui la capturerait et des modifications nécessaires dans la pile de détection. Ce processus est itéré sur l'ensemble du catalogue TTP.

Le purple teaming ne remplace pas les exercices adversariaux red team — la valeur d'entraînement d'opérer sous une véritable incertitude sans savoir quelles techniques seront utilisées est irremplaçable pour le développement de la blue team. Le purple teaming est un complément qui développe la capacité d'ingénierie de détection plus rapidement que les seuls exercices adversariaux. Le calendrier pour la plupart des organisations militaires devrait être : exercice red team adversarial annuellement, ateliers purple team trimestriellement, émulation adversariale automatisée continue utilisant CALDERA sur les réseaux de gamme comme activité de fond persistante.

Infrastructure technique pour les exercices cyber militaires

Les besoins en infrastructure technique pour un exercice cyber militaire s'adaptent au type d'exercice. Les exercices de table de travail ne nécessitent qu'une salle de réunion et un document de scénario. Les exercices de simulation complète sur une gamme cyber isolée requièrent une infrastructure réseau, des plateformes de virtualisation, une agrégation de journalisation et des outils qui représentent un investissement significatif mais ponctuel.

La gamme cyber doit refléter l'architecture du réseau de production aussi fidèlement que possible — mêmes versions de systèmes d'exploitation, même modèle de segmentation réseau, mêmes outils de sécurité — car les lacunes de détection qui existent sur la gamme existent presque certainement sur le réseau de production. Les gammes construites sur des modèles génériques plutôt que sur des clones de production produisent des résultats d'exercice qui ne se transfèrent pas en améliorations défensives opérationnelles. Les gammes cyber hébergées dans le cloud (Azure Government, AWS GovCloud) ont considérablement réduit le coût d'infrastructure du déploiement de gamme, mais l'effort de configuration pour modéliser avec précision l'architecture de production reste significatif.

Les outils de simulation d'attaque pour la red team doivent inclure : CALDERA pour l'exécution automatisée de TTPs et le chaînage de scénarios ; Atomic Red Team pour la validation de techniques individuelles contre la pile de détection ; et les frameworks C2 appropriés autorisés pour le périmètre de l'exercice. L'ATT&CK Navigator de MITRE fournit une carte de couverture visuelle — superposant les techniques incluses dans le scénario d'exercice à celles ayant une couverture de détection confirmée — qui est l'artefact de planification le plus utile à la fois pour la conception de scénarios red team et pour le suivi des remédiations post-exercice.

La configuration de la journalisation et du SIEM est le point de défaillance le plus courant de l'infrastructure d'exercice. Les exercices qui ne génèrent aucune donnée de détection utilisable parce que les sources de journaux n'alimentaient pas le SIEM, ou parce que les périodes de rétention étaient trop courtes pour soutenir une reconstruction forensique post-exercice, ne produisent aucune valeur d'entraînement quelle que soit la qualité d'exécution de la red team. Vérifiez la couverture des sources de journaux avant le début de l'exercice, pas après.

Scoring et métriques : mesurer ce qui compte

Le délai moyen de détection (MTTD) — l'intervalle entre l'exécution d'une technique red team et l'alerte blue team confirmée — est la métrique quantitative principale d'un exercice cyber militaire. Il est calculé par technique, pas comme une moyenne globale de l'exercice, car une blue team avec une excellente détection réseau et une mauvaise détection aux points de terminaison affichera des valeurs MTTD très différentes selon le spectre des techniques. La décomposition par technique est ce qui permet une remédiation ciblée plutôt qu'une recommandation générique « améliorer la détection ».

Le délai moyen de réponse (MTTR) — de l'alerte confirmée à l'action de confinement terminée — mesure l'efficacité du processus de réponse aux incidents plutôt que de la pile de détection. Un MTTD élevé et un MTTR faible indiquent un problème d'ingénierie de détection. Un MTTD faible et un MTTR élevé indiquent un problème de processus ou de dotation en personnel. Les deux métriques sont nécessaires pour distinguer le type de remédiation requis.

La simulation d'exfiltration de données fournit une métrique d'impact de mission. La red team tente d'exfiltrer un ensemble de données synthétique (fichiers de remplacement étiquetés avec la classification et le type de données des données cibles, mais ne contenant aucun contenu sensible réel) et l'exercice évalue si l'exfiltration a été détectée et prévenue, détectée après coup, ou totalement indétectée. Cette métrique relie l'exercice technique à la conséquence opérationnelle que les commandants seniors comprennent : si cela avait été un vrai adversaire, qu'aurait-il pris ?

Le taux de couverture — le pourcentage de techniques red team qui ont généré une quelconque détection, quel que soit le MTTD — est la métrique de complétude d'ingénierie de détection. Un taux de couverture inférieur à 60 % indique que la pile de détection présente des angles morts significatifs qu'un adversaire sophistiqué peut exploiter librement. Les organisations utilisant le cadre MITRE ATT&CK comme base de planification d'exercice doivent suivre la couverture par rapport à la matrice complète des techniques, pas seulement par rapport aux techniques incluses dans un scénario d'exercice spécifique.

Méthodologie du compte rendu après action

Le compte rendu après action est l'endroit où la valeur d'entraînement de l'exercice se réalise. Un exercice qui ne produit pas de compte rendu après action structuré ne produit aucune amélioration durable de la posture défensive, quelle que soit la qualité de l'exécution technique. Les organisations militaires qui appliquent la même discipline de compte rendu après action aux exercices cyber qu'aux exercices d'entraînement cinétique comblent les lacunes défensives ; celles qui conduisent un bref débriefing et reprennent les opérations de routine, non.

Le compte rendu après action d'un exercice cyber doit reconstruire la chronologie complète des deux perspectives simultanément : chaque action red team avec son horodatage exact, et chaque événement de détection ou de non-détection de la blue team au moment correspondant. Superposer ces chronologies révèle visuellement les lacunes de détection — les intervalles pendant lesquels la red team opérait activement et générait des données de journaux que la blue team n'a pas vues, n'a pas triées ou n'a pas escaladées. Pour chaque lacune, le compte rendu après action identifie la cause spécifique : règle de détection manquante, source de journaux manquante, alerte rejetée comme faux positif, ou alerte générée mais processus de réponse défaillant.

Chaque lacune identifiée doit devenir une tâche de remédiation suivie avec un responsable et une date limite. Les organisations qui génèrent de longues listes de conclusions de compte rendu après action sans assigner de responsables et suivre la clôture n'ont pas amélioré leur posture défensive — elles l'ont documentée. Le processus de suivi des remédiations est le mécanisme qui convertit les conclusions d'exercice en améliorations de la sécurité opérationnelle. Une session de suivi de table de travail ou de purple team dans les 90 jours suivant l'exercice principal doit valider que les remédiations critiques ont été mises en œuvre avant que les lacunes défensives identifiées dans l'exercice n'aient eu le temps d'être exploitées par un adversaire réel.

La planification d'exercices cyber à grande échelle — intégrant des événements d'entraînement du domaine cyber dans des exercices interarmes multi-domaines — bénéficie de plateformes de gestion d'exercice qui coordonnent les scénarios, les participants et les données après action entre les domaines. La plateforme WARG prend en charge cette capacité de planification d'exercice multi-domaines, permettant aux événements d'exercice cyber d'être planifiés, pourvus en personnel et analysés dans le même cadre de planification que les événements d'entraînement du domaine cinétique. Lecture complémentaire : exercices militaires en direct vs jeux de guerre par IA et logiciel de compte rendu après action pour l'entraînement militaire.

Point clé : La cause unique la plus fréquente de la stagnation de la posture défensive dans les organisations SOC militaires est l'échec à boucler la boucle entre les conclusions d'exercice et la vérification des remédiations. Un compte rendu après action qui produit une liste de conclusions sans responsables suivis et validation de suivi est un document administratif, pas un résultat d'entraînement. Le programme d'exercices n'a de valeur qu'à la hauteur de la discipline de remédiation qui le suit.

Intégrez les exercices cyber dans votre programme d'entraînement interarmes

Nous construisons des plateformes de planification d'exercices multi-domaines pour les organisations de défense — de la conception de scénarios sur gamme cyber à l'intégration du compte rendu après action interarmes.

Plateforme WARG → Réserver une présentation

Cette analyse a été préparée par les ingénieurs de Corvus Intelligence qui développent des logiciels stratégiques pour les organisations de défense et gouvernementales. En savoir plus sur notre équipe →

Questions fréquentes

À quelle fréquence les organisations militaires doivent-elles mener des exercices cyber red team ?

La plupart des référentiels de sécurité de défense recommandent un minimum d'un exercice red team/blue team complet par an pour chaque enclave réseau critique, avec des exercices de table de travail conduits trimestriellement entre les deux. Les réseaux haute priorité soutenant le commandement et le contrôle opérationnels justifient des tests plus fréquents — des exercices en direct semi-annuels complétés par une émulation adversariale automatisée continue à l'aide d'outils comme CALDERA. La fréquence doit s'adapter à la sensibilité des données traitées et à l'impact opérationnel d'une intrusion réussie. Les organisations qui ne peuvent pas maintenir une capacité red team interne doivent prioriser au moins un engagement externe red team annuel soutenu par un prestataire d'émulation de menaces.

Comment une unité militaire peut-elle obtenir une capacité red team sans recrutement interne ?

Plusieurs options existent pour les organisations qui ne peuvent pas constituer une red team interne permanente. Premièrement, les agences nationales de cyberdéfense — CYBERCOM aux États-Unis, les unités affiliées au NCSC dans les nations alliées — fournissent un soutien red team aux commandements subordonnés dans le cadre d'un système de missions. Deuxièmement, les prestataires d'émulation de menaces contractuels détiennent les habilitations de sécurité requises et peuvent opérer contre des enclaves classifiées en vertu d'accords d'autorité légale appropriés. Troisièmement, des exercices de coalition tels que CWIX et Locked Shields permettent aux unités de participer à des exercices cyber multinationaux où la fonction red team est gérée de manière centralisée. Quatrièmement, des plateformes d'émulation adversariale automatisée comme CALDERA peuvent servir de complément red team continu à faible coût entre les exercices en direct, en exécutant des attaques continues basées sur des scénarios contre des réseaux de gamme isolés sans nécessiter de red team humaine permanente.

Quels cadres juridiques régissent les opérations red team contre les réseaux militaires ?

Les opérations red team contre les réseaux militaires requièrent une autorité écrite explicite avant toute activité. Aux États-Unis, cela découle des exemptions du Computer Fraud and Abuse Act pour les tests autorisés, combinées à l'autorité de commandement accordée par des ordres opérationnels ou un document d'autorisation de test spécifique. Les opérations des membres de l'NATO sont en outre régies par le SOFA (Status of Forces Agreement) applicable lorsque du personnel multinational est impliqué. Les documents essentiels sont : un document de règles d'engagement définissant quels systèmes sont dans le périmètre et quelles techniques d'attaque sont autorisées ; une lettre de protection signée par le commandant compétent que les opérateurs red team portent pendant l'exercice ; et un mécanisme de déconfliction avec toute opération défensive en cours pour éviter de déclencher une réponse à incident genuine. L'absence d'établissement de ces autorités avant le début de l'exercice constitue le risque juridique le plus courant dans les programmes red team militaires.

Quelle est la différence entre un exercice red team et un test de pénétration dans un contexte militaire ?

Un test de pénétration est une évaluation technique délimitée : les testeurs reçoivent une cible définie, un délai défini et un objectif défini — généralement trouver des vulnérabilités dans un système spécifique. C'est une activité d'audit, pas un exercice d'entraînement. Un exercice red team est une simulation adversariale : la red team reçoit des objectifs de mission et opère avec une grande latitude pour utiliser toute technique qu'un acteur de menace réel utiliserait, y compris l'ingénierie sociale, les tentatives d'accès physique et la simulation d'attaque par chaîne d'approvisionnement. Pour les organisations militaires, l'exercice red team est le principal vecteur d'entraînement — il forme la blue team à détecter et à répondre à un comportement adversarial réaliste, tandis qu'un test de pénétration forme les administrateurs système à corriger des vulnérabilités spécifiques. Les deux sont nécessaires ; aucun ne remplace l'autre.

Comment mesurer le succès d'un exercice de cyberdéfense militaire ?

Les principales métriques quantitatives sont le délai moyen de détection (MTTD) — l'intervalle entre le moment où la red team établit sa première position et celui où la blue team génère une alerte confirmée — et le délai moyen de réponse (MTTR) — l'intervalle entre l'alerte confirmée et l'action de confinement terminée. Les métriques secondaires comprennent le pourcentage de techniques red team ayant généré une détection quelconque (taux de couverture), le taux de faux positifs pendant la fenêtre d'exercice et si la red team a atteint son objectif de mission avant d'être évincée. Les métriques qualitatives issues du compte rendu après action évaluent la qualité des décisions : le commandant d'incident a-t-il correctement trié la menace, les bonnes décisions d'escalade ont-elles été prises et la chronologie forensique a-t-elle été reconstituée avec précision après l'exercice ? Une blue team qui contient rapidement la red team mais identifie mal le vecteur d'attaque a échoué un objectif d'entraînement critique même si son MTTR est excellent.