Actus

p. 06   Threat modeling : anticiper et identifier les menaces sur les infrastructures 

Dossier : Red Team

p. 17   Introduction au dossier
p. 18   IPSpinner : un outil innovant de rotation d’adresses IP
p. 38   Comment (ne pas) définir ses stratégies d'accès conditionnel Entra ID
p. 52   CI/CD : de l'intégration à l'intrusion avec GitHub Actions
p. 70   SCCM : techniques d’exploitation pour les intrusions Red Team
p. 86   Contournements EDR : analyse de SentinelOne

Vulnérabilités

p. 100  Exploitation de l’AD CS : ESC12, ESC13 et ESC14

La Red team en 2025 : bloquée par les EDR et l’IA ?

Depuis plus de 10 ans, les Red Teams traumatisent les équipes sécurité internes (maintenant « blue teams » dans les SOC). Avec l’évolution des solutions EDR et de l’IA, en 2025 où en est-on ? Bientôt la fin ?

Difficile de retracer les premiers à utiliser le terme Red Team en France, ou à partir de quand exactement ça a été dérivé en cybersec. à partir du terme de l’armée américaine, mais une chose est sûre : la première trace dans MISC remonte à 2014 [1].

En plus du besoin de nouvelles techniques de contournement de sioux en permanence, ces missions sont aujourd’hui sans aucun doute source de stress pour les pentesters, avec l’épée de Damoclès de se faire détecter par la blue team, qui s’est fortement organisée dans les SOC depuis :

• La défense bénéficie de solutions Endpoint Detection Response (EDR), et de leurs autres dérivées aux multiples acronymes barbares présentées à InCyber chaque année.
• Les antispams et leurs mécanismes de détection sont toujours de plus en plus difficiles à contourner.
• La présence de honeypots vient piéger les red teamers quand les sondes les ont ratés.
• Les blue teams sont entraînées aux exercices de crise, et logiquement prêtes à réagir.

On pourrait aussi parler de l’intelligence artificielle, et en particulier des LLM, qui sont censés révolutionner tout l’écosystème blue team, mais qui en réalité « ne dépasseront jamais l’être humain » selon Stéphane Huot (Directeur INRIA de l’Université de Lille, intervenu lors du Campus Cyber Summit en 2024), et qui n’ont fait concrètement qu’augmenter la surface d’attaque (et les brûlures d’estomac des RSSI) en 2024, via notamment les chatbots...

Jérémy Luyé-Tanet
jeremy.luye-tanet@synacktiv.com
Pentest team leader / Pentester senior

Remerciements
Merci à Matthieu, et aussi à MISC pour l’opportunité de donner ma première contribution.

Références
[1] Sébastien Bombal, « La citadelle est tombée ! Cybercrise, comment s’organiser ? »,
      MISC HS n°10, 2014 : https://connect.ed-diamond.com/MISC/mischs-010