Pourquoi cette confusion existe-t-elle ?
Ces trois termes sont utilisés de façon interchangeable dans les supports marketing, les argumentaires commerciaux et même certains contrats. Cela crée de véritables problèmes. Une organisation qui a besoin d'un exercice Red Team mais achète une évaluation de vulnérabilités sera déçue. Une entreprise qui paie pour un Red Team alors qu'un test d'intrusion aurait suffi gaspille son budget. Et une société qui réalise des scans de vulnérabilités en croyant avoir été « pentestée » opère avec un faux sentiment de sécurité.
Définissons chacun avec précision, comparons-les directement et aidons-vous à déterminer ce dont votre organisation a besoin.
Évaluation de vulnérabilités : le socle fondamental
En quoi cela consiste
Une évaluation de vulnérabilités est un processus systématique, largement automatisé, permettant d'identifier les vulnérabilités connues dans vos systèmes, réseaux et applications. L'outil principal est un scanner de vulnérabilités (Nessus, Qualys, OpenVAS ou équivalent) qui sonde votre environnement en le comparant à une base de données de vulnérabilités connues (CVEs) et de faiblesses de configuration.
Ce que cela produit
- Une liste exhaustive des vulnérabilités connues dans votre environnement
- Des niveaux de criticité (généralement des scores CVSS) pour chaque constat
- Des recommandations de remédiation (généralement génériques, produites par le scanner)
- Une couverture large : chaque hôte et service est vérifié
Ce que cela ne fait pas
- Ne tente pas d'exploiter les vulnérabilités (aucune preuve de concept)
- Ne chaîne pas les vulnérabilités pour démontrer de véritables chemins d'attaque
- Ne teste pas la logique métier, les facteurs humains ou la sécurité physique
- N'évalue pas l'impact réel sur l'activité d'une vulnérabilité
- Taux élevé de faux positifs nécessitant une vérification manuelle
Quand l'utiliser
Les évaluations de vulnérabilités doivent être réalisées en continu ou au minimum mensuellement. Il s'agit du contrôle d'hygiène de base de votre environnement, similaire à un bilan de santé régulier. Toute organisation devrait le faire, quelle que soit sa taille.
Coût indicatif
De 2 000 à 5 000 EUR par scan pour une évaluation externe, selon la portée. De nombreuses organisations internalisent cette pratique en utilisant des outils comme OpenVAS (gratuit) ou Nessus (environ 3 000 EUR/an pour une licence professionnelle).
Test d'intrusion : l'analyse approfondie
En quoi cela consiste
Un test d'intrusion est un exercice limité dans le temps et orienté vers des objectifs précis, dans lequel des testeurs humains qualifiés tentent d'exploiter les vulnérabilités de votre environnement. Contrairement à une évaluation de vulnérabilités, le testeur va au-delà de l'identification pour démontrer activement l'exploitation, en enchaînant plusieurs vulnérabilités afin d'atteindre des objectifs définis tels que l'accès à des données sensibles, la compromission de comptes administratifs ou l'atteinte de systèmes internes critiques.
Ce que cela produit
- La preuve que des vulnérabilités spécifiques sont exploitables dans votre environnement
- La démonstration de chaînes d'attaque : comment plusieurs problèmes de faible criticité se combinent pour créer un risque critique
- Une évaluation des risques dans le contexte métier : non pas seulement « ceci est vulnérable » mais « voici ce qu'un attaquant pourrait accomplir »
- Des tests manuels qui détectent les failles logiques, les erreurs de configuration et les vulnérabilités que les scanners ne voient pas
- Des recommandations de remédiation prioritaires et exploitables, adaptées à votre environnement
Ce que cela ne fait pas
- Ne teste pas pleinement vos capacités de détection et de réponse (les testeurs ne cherchent généralement pas à être discrets)
- Ne simule pas un adversaire persistant et bien doté sur une longue durée
- La portée est définie et contrainte ; les vrais attaquants n'ont pas de limites de périmètre
- N'inclut généralement pas l'ingénierie sociale ou l'intrusion physique (sauf si expressément prévu)
Quand l'utiliser
Au minimum une fois par an. Plus fréquemment pour les environnements à risque élevé, après des changements majeurs d'infrastructure, avant des lancements de produits importants, et lorsque la réglementation l'exige (CSSF, PCI DSS, NIS2).
Coût indicatif
De 8 000 à 25 000 EUR pour une mission ciblée (application unique ou segment réseau). De 20 000 à 50 000 EUR pour une évaluation complète couvrant les couches externe, interne et applicative.
Exercice Red Team : la simulation d'adversaire
En quoi cela consiste
Un exercice Red Team est une simulation d'adversaire basée sur des objectifs qui teste la posture de sécurité globale d'une organisation, y compris ses personnes, ses processus et sa technologie. Les membres du Red Team opèrent de manière clandestine, en utilisant les mêmes tactiques, techniques et procédures (TTPs) que les acteurs de la menace réels pertinents pour la cible. L'objectif n'est pas de trouver le plus grand nombre de vulnérabilités possible, mais d'atteindre des objectifs spécifiques — comme l'accès aux actifs les plus critiques — tout en testant la capacité de l'organisation à détecter et à répondre.
Ce que cela produit
- Une évaluation réaliste de la façon dont votre organisation résisterait à un adversaire déterminé et qualifié
- Le test de l'ensemble de votre écosystème de sécurité : contrôles techniques, supervision (SOC/SIEM), réponse aux incidents, sécurité physique et sensibilisation humaine
- L'identification des lacunes dans les capacités de détection et de réponse, et pas seulement en matière de prévention
- Un récit d'attaque qui raconte comment un adversaire pourrait compromettre votre organisation de bout en bout
- Des recommandations stratégiques pour améliorer la résilience globale en matière de sécurité
Ce que cela ne fait pas
- Ne fournit pas une couverture exhaustive des vulnérabilités (le Red Team suit le chemin de moindre résistance, pas tous les chemins possibles)
- Ne trouvera peut-être pas toutes les vulnérabilités de votre environnement (ce n'est pas l'objectif)
- N'est pas adapté aux organisations qui n'ont pas encore traité les bases de l'hygiène de sécurité
Quand l'utiliser
Lorsque votre organisation dispose d'un programme de sécurité mature avec une supervision établie, des procédures de réponse aux incidents et un socle de contrôles raisonnable. Si vous corrigez encore des vulnérabilités critiques identifiées lors de votre dernier test d'intrusion, vous n'êtes pas encore prêt pour un Red Team. Le Red Team doit tester un programme de sécurité qui estime bien fonctionner.
Coût indicatif
De 30 000 à 100 000 EUR et plus, selon la portée, la durée (généralement 4 à 8 semaines) et les objectifs. C'est nettement plus coûteux car cela requiert des testeurs plus expérimentés, des durées d'engagement plus longues, des outils sur mesure et inclut souvent des composantes physiques et d'ingénierie sociale.
Comparaison directe
| Critère |
Évaluation de vulnérabilités |
Test d'intrusion |
Red Team |
| Objectif principal |
Identifier les vulnérabilités connues |
Démontrer l'exploitabilité |
Tester la résilience globale |
| Approche |
Automatisée + revue manuelle |
Manuelle + support automatisé |
Manuelle, simulation d'adversaire |
| Discrétion |
Aucune (scans bruyants) |
Faible (testeurs connus de l'IT) |
Élevée (opération clandestine) |
| Périmètre |
Large (environnement entier) |
Défini (cibles spécifiques) |
Basé sur les objectifs (tout chemin vers le but) |
| Durée |
1 à 5 jours |
1 à 4 semaines |
4 à 8 semaines |
| Teste la détection ? |
Non |
Partiellement |
Oui (objectif principal) |
| Ingénierie sociale ? |
Non |
Uniquement si prévu |
Généralement inclus |
| Test physique ? |
Non |
Non |
Souvent inclus |
| Fourchette de coût |
2 000 - 5 000 EUR |
8 000 - 50 000 EUR |
30 000 - 100 000+ EUR |
| Maturité organisationnelle requise |
Toute organisation |
Contrôles de base en place |
Programme de sécurité mature |
| Fréquence |
Mensuelle / continue |
Annuelle / après changements |
Annuelle ou bisannuelle |
De quoi avez-vous besoin ?
La réponse dépend de votre maturité en matière de sécurité, de vos obligations réglementaires et des questions auxquelles vous devez répondre.
Vous avez besoin d'une évaluation de vulnérabilités si :
- Vous n'avez jamais réalisé de test de sécurité
- Vous souhaitez établir une compréhension de base de votre paysage de vulnérabilités
- Vous devez cocher une case de conformité réglementaire basique
- Vous souhaitez une visibilité continue sur les nouvelles vulnérabilités
Vous avez besoin d'un test d'intrusion si :
- Vous réalisez des scans réguliers et remédiez aux constats, mais souhaitez comprendre ce qu'un attaquant pourrait réellement accomplir
- Vous devez valider que les contrôles critiques sont effectifs (et pas seulement présents)
- La réglementation l'exige (CSSF, PCI DSS, NIS2)
- Vous déployez une nouvelle application ou un changement majeur d'infrastructure
- Vous souhaitez des constats prioritaires et exploitables, spécifiques à votre environnement
Vous avez besoin d'un exercice Red Team si :
- Vous disposez d'un centre opérationnel de sécurité (SOC) et souhaitez tester ses capacités de détection
- Vous avez investi significativement dans des contrôles de sécurité et souhaitez valider le programme dans son ensemble
- Votre conseil d'administration ou votre direction a besoin d'une vision réaliste du risque organisationnel
- Vous souhaitez tester vos procédures de réponse aux incidents dans des conditions réalistes
- Vous opérez dans un environnement à forte menace (infrastructures critiques, services financiers, défense)
Comment ces approches se complètent
Il ne s'agit pas de services concurrents. Ce sont des couches complémentaires d'un programme de tests de sécurité mature :
- Les évaluations de vulnérabilités assurent une couverture continue et large. Elles identifient rapidement et efficacement les vulnérabilités connues et les problèmes de configuration.
- Les tests d'intrusion apportent de la profondeur. Ils valident que les vulnérabilités critiques sont réelles, démontrent leur impact métier et détectent les problèmes que les scanners ne voient pas.
- Les exercices Red Team apportent le réalisme. Ils testent l'ensemble de l'écosystème de sécurité, y compris les personnes et les processus, face à un adversaire simulé.
Un programme annuel de tests de sécurité bien structuré pour une organisation luxembourgeoise de taille intermédiaire pourrait inclure un scan de vulnérabilités continu, un test d'intrusion annuel (avec une focalisation alternant entre externe, interne et applicatif chaque année) et un exercice Red Team tous les deux à trois ans.
La progression vers la maturité : Commencez par les évaluations de vulnérabilités. Une fois que vous remédiez systématiquement aux constats et que vous disposez de contrôles de sécurité de base, ajoutez les tests d'intrusion. Une fois votre programme de sécurité établi et vos capacités de détection et de réponse en place, introduisez le Red Team. Brûler les étapes gaspille de l'argent et produit des constats pour lesquels vous n'êtes pas encore en mesure d'agir.
Idées reçues courantes
Plusieurs mythes persistants biaisent la prise de décision en matière de tests de sécurité. Traitons les plus préjudiciables :
« Nous avons fait un pentest, donc nous savons que nous sommes sécurisés. » Un test d'intrusion est une évaluation à un instant donné. Il vous dit ce qu'un testeur a trouvé pendant une fenêtre temporelle spécifique, avec des contraintes de périmètre définies. Cela ne signifie pas qu'il n'existe pas d'autres vulnérabilités. De nouvelles vulnérabilités sont divulguées chaque jour, les configurations évoluent et les attaquants ont un temps illimité. Un test d'intrusion est un bilan de santé, pas un certificat de bonne santé.
« Le scan automatisé vaut autant qu'un test d'intrusion. » Les scanners automatisés sont excellents pour trouver des vulnérabilités connues dans les logiciels courants. Ils sont médiocres pour identifier les failles logiques métier, enchaîner des problèmes de faible criticité en chemins d'attaque critiques, tester des applications personnalisées et évaluer l'exploitabilité réelle d'un constat dans votre environnement spécifique. Le testeur humain apporte un jugement contextuel qu'aucun scanner ne peut reproduire.
« Nous sommes trop petits pour un Red Team. » La taille n'est pas le facteur déterminant. La maturité l'est. Une entreprise de 50 personnes disposant d'un programme de sécurité mature, d'un SOC et de procédures de réponse aux incidents établies peut tirer un bénéfice considérable d'un exercice Red Team. Une entreprise de 5 000 personnes qui n'a pas encore traité les constats critiques de son dernier scan de vulnérabilités ne devrait pas dépenser de l'argent en Red Team.
« L'option la moins chère suffit. » En matière de tests de sécurité, la qualité a un coût. Un « test d'intrusion » bon marché qui n'est en réalité qu'un scan automatisé avec un rapport produit un faux sentiment de sécurité pire que l'absence de test. Il crée une complaisance sans apporter de véritable insight. Investissez de façon appropriée ou différez jusqu'à ce que vous le puissiez.
Questions à poser à votre prestataire
Quel que soit le service choisi, posez ces questions avant de signer un contrat :
- Quelle méthodologie suivez-vous ? (Attendez des références à PTES, OWASP, TIBER-EU pour le Red Team)
- Quelles certifications vos testeurs possèdent-ils ? (OSCP, GPEN, CREST pour les pentesters ; des certifications supplémentaires pour le Red Team)
- Pouvez-vous fournir un exemple de rapport ? (La qualité varie énormément)
- Comment gérez-vous les constats critiques découverts pendant les tests ? (La notification immédiate est la bonne réponse)
- Un retest est-il inclus ? (Il devrait l'être, au moins pour les constats critiques)
- Quel est le ratio entre les tests automatisés et manuels ? (Pour les tests d'intrusion, attendez une majorité de tests manuels)
- Disposez-vous d'une assurance responsabilité civile professionnelle ?
La bonne approche de test, correctement délimitée et bien exécutée, est l'un des investissements à plus forte valeur ajoutée que vous puissiez réaliser dans votre programme de sécurité. La mauvaise est une façon coûteuse de générer un rapport que personne ne lira.
