Syllabus : Red Team Operations
Pentesters confirmés, consultants offensifs et opérateurs souhaitant simuler des attaques avancées de bout en bout face à des défenses actives.
Téléchargez ce syllabus en PDF
Nous préparons les exports PDF par demande : précisez le syllabus et votre contexte (école, durée, public) via le formulaire de contact.
Accéder au formulaire de contact →Objectifs pédagogiques
- Planifier et exécuter une opération Red Team complète avec kill chain réaliste.
- Maîtriser les techniques d'évasion, de persistance et de mouvement latéral en environnement défendu.
- Développer et adapter des implants C2 pour contourner les solutions EDR/XDR.
- Rédiger un rapport d'opération exploitable par la Blue Team pour améliorer la posture défensive.
Séquences
Séance 1 · 6 h
Fondamentaux du Red Teaming et planification d'opération
Différences entre pentest et Red Team, frameworks MITRE ATT&CK et Unified Kill Chain, rédaction de ROE (Rules of Engagement), threat modeling adverse, définition des objectifs et indicateurs de succès.
Activité : Atelier : élaboration d'un plan d'opération complet à partir d'un scénario d'entreprise cible avec identification des TTP prioritaires.
Séance 2 · 7 h
Reconnaissance avancée et ingénierie sociale
OSINT ciblé pour Red Team, cartographie de la surface d'attaque externe, spear-phishing avancé, pretexting, vishing, création de payloads personnalisés, contournement de filtres email.
Activité : Lab : campagne de phishing simulée avec GoPhish, création de prétextes réalistes et analyse des taux de clic sur environnement contrôlé.
Séance 3 · 8 h
Accès initial et évasion de défenses
Techniques d'accès initial (macro Office, HTA, ISO, DLL sideloading), contournement AMSI et Windows Defender, obfuscation de payloads, living-off-the-land binaries (LOLBins), sandbox evasion.
Activité : Lab : développement d'un payload personnalisé contournant Windows Defender et AMSI, test sur une VM avec EDR actif.
Séance 4 · 8 h
Command & Control et persistance
Architecture C2 (Cobalt Strike, Sliver, Havoc), redirecteurs et domain fronting, canaux de communication furtifs (DNS, HTTPS), techniques de persistance (tâches planifiées, services, COM hijacking, golden ticket).
Activité : Lab : déploiement d'une infrastructure C2 multi-niveaux avec redirecteurs, établissement de persistance sur un domaine Active Directory compromis.
Séance 5 · 7 h
Mouvement latéral et élévation de privilèges
Pass-the-Hash, Pass-the-Ticket, Kerberoasting, délégation contrainte, exploitation de GPO, pivoting réseau, SOCKS proxying, exfiltration de données discrète.
Activité : Lab : compromission d'un domaine AD complet depuis un accès utilisateur standard, avec mouvement latéral sur 3 segments réseau.
Séance 6 · 8 h
Exercice d'opération Red Team de bout en bout
Mise en œuvre complète d'une opération Red Team sur un environnement réaliste : reconnaissance, accès initial, C2, mouvement latéral, atteinte d'objectifs, exfiltration, nettoyage des traces.
Activité : Exercice pratique : opération Red Team chronométrée sur un lab multi-machines avec Blue Team active, suivi d'un debrief croisé.
Séance 7 · 6 h
Reporting et Purple Team debrief
Rédaction du rapport d'opération, mapping des TTP sur MITRE ATT&CK, recommandations priorisées, présentation exécutive vs technique, transition vers l'amélioration continue Purple Team.
Activité : Atelier : rédaction collaborative d'un rapport d'opération Red Team et présentation devant un jury simulant le COMEX et l'équipe SOC.
Évaluation
Évaluation continue sur les labs (40 %), rapport d'opération Red Team final (40 %), soutenance et debrief croisé (20 %).
Prérequis
Expérience confirmée en tests d'intrusion, maîtrise de l'exploitation Windows/AD, bases en scripting Python/PowerShell.
Outils et environnement
- Cobalt Strike / Sliver
- Bloodhound / SharpHound
- GoPhish
- Metasploit
- Proxychains / Chisel
- MITRE ATT&CK Navigator