Magazine DSI

Quelles évolutions pour les pratiques de red teaming ?

En 1983, le pape Jean-Paul II prend une décision singulière en réduisant de quatre à deux le nombre de miracles nécessaires à la canonisation. Il supprime également le « promotor fidei  » (1), connu vulgairement sous le nom d’« avocat du diable ». Cette personne avait le rôle d’investigateur indépendant qui devait critiquer tout élément visant à valider une canonisation. Cet avocat du diable est peut-être la première occurrence d’une démarche d’analyse structurée visant à systématiquement offrir une contre-analyse en vue d’obtenir une décision fondée sur des hypothèses dégagées des convictions des acteurs concernés (2). L’originalité de l’approche réside autant dans le rôle de contradicteur que dans le fait qu’il a été mis en place par une autorité visant la certification de son modèle.

L’objectif de ce type de démarches est de se « libérer » des contraintes cognitives usuelles en appliquant des méthodes d’analyse alternatives et indépendantes permettant d’améliorer les décisions prises. Elle est essentielle lorsque – c’est le cas des miracles – les émotions et la raison sont bousculées par des évènements au caractère extraordinaire.

À ce titre, la stratégie militaire rejoint le phénomène religieux au travers de ce que l’on pourrait appeler une « stratégie de détour » : le promotor fidei s’extrait du récit canonique et du régime épistémique qui assume la religion en ayant plutôt recours à des faits et à la science. De ce point de vue, l’avocat du diable de l’Église catholique applique ce que l’on attend d’une red team militaire : un détour par d’autres règles pour venir challenger l’ordre établi, sachant que, dans le cas militaire, l’étendue de l’action est plus importante puisqu’il peut aussi s’agir de venir fondamentalement remettre en cause les règles et l’ordre établi. Nous verrons que c’est d’ailleurs l’approche assumée et volontariste de la red team des armées françaises.

Nous nous proposons de commencer par présenter le cadre général (les techniques d’analyse structurée) dans lequel les red team s’inscrivent avant d’en préciser certaines modalités et de nous focaliser sur le cas français.

Une pratique relevant des techniques d’analyse structurée

L’exploration de visions alternatives à celle(s) exprimée(s) par les acteurs impliqués dans un processus relève des techniques d’analyse structurée ou TAS. Il en existe de différents types et elles ont été développées pour permettre d’éviter ou de minimiser les biais cognitifs, et plus précisément quatre catégories d’entre eux (3), particulièrement prégnants dans le cadre du domaine militaire :

• les biais liés à la prise de décision  : biais de focus, d’attention, de framing, d’omission… ;

• les biais liés à la statistique : biais d’autorité, de clustering, d’illusion de validité… ;

• les biais sociaux : biais de pensée de groupe, de statu quo, de justification… ;

• les biais mémoriels : biais d’illusion de vérité, de mauvaise information, effet Von Restorff (4)…

L’approche TAS regroupe ainsi plusieurs outils analytiques développés afin de répondre à ces différentes catégories de biais. Le graphique ci-dessous en reprend un certain nombre. Comme on le voit, les approches de red teaming relèvent de la catégorie des analyses alternatives et, plus particulièrement, des « challenge analysis  ». Ce groupe d’approche, qui comprend les approches de type « What If » ou «  Pre Mortem », a pour particularité d’offrir des visions alternatives ou à tout le moins de remettre en cause les approches établies et d’en critiquer les fondements.

Plusieurs nuances de « Red »

La red team est une démarche commune à différents secteurs d’activité (sécurité informatique, stratégie militaire). Fondamentalement, chaque red team est liée à un contexte organisationnel spécifique et possède donc des objectifs qui lui sont propres, même s’il convient de noter qu’il s’agit systématiquement d’équipes qui sont mises en place ou décidées par les autorités qu’elles se doivent de virtuellement combattre. Pour le centre avancé de red teaming d’Albany, cela va ainsi de la génération d’insights relatifs à l’ennemi au test des défenses actuelles.

Pour le politologue américain Micah Zenko (5), l’approche peut cependant être résumée en quelques fondamentaux : les principaux usages relèvent de la simulation, des tests de vulnérabilité et, finalement, des analyses alternatives. On notera que les techniques d’analyse alternatives sont un chapeau, mais aussi un usage : sous ce chapeau, je vais pouvoir simuler, faire un test de vulnérabilité, mais aussi choisir de développer spécifiquement un point de vue décalé.

En fonction de l’organisation, du contexte et de la pratique recherchée, les red teams prennent alors des formes diverses :

• internes ou externes : de l’avocat du diable de l’Église catholique qui est intégré en son sein à la société de conseil en technologie de l’information venant « attaquer » son client ;

 stratégiques ou opérationnelles : des « Opposition Forces » (FORAD ou Forces adverses en français) – qui vont « jouer » des conflits – aux approches de plus long terme de formation et d’entraînement de cadres telles qu’elles étaient formulées dans l’ancienne UFMCS (University of Foreign Military and Cultural Studies).

 Ponctuelles ou permanentes : de la red team qui a été créée pour jouer au Millenium Challenge 02 à la Red Cell de la CIA (6) ou à l’IDART du Sandia National Laboratory (7).
Quelles que soient les formes que prennent ces red teams, il existe un certain nombre de facteurs clés de succès. Une recherche analysant le cas du Sandia National Laboratory souligne le rôle clé du contexte organisationnel, de la conception de l’équipe (expertise, culture, personnalité), de sa synergie (collaboration, confiance), des ressources matérielles et de la qualité du matériel mis à sa disposition (8).

Dans un ouvrage de synthèse récent, Micah Zenko (9) résume les choses de manière encore plus simple. Après avoir analysé des red teams civiles, militaires ou relevant du renseignement, il propose six éléments clés de leur réussite.

• Le responsable doit y croire : le chef lui-même doit croire dans la démarche, la soutenir et l’institutionnaliser. Ce que les Américains appellent le buy-in. Une simulation d’attaque cyber peut coûter de 1 500 à 10 000 dollars par jour et un business wargame élaboré 500 000 dollars. Sans conviction, il sera compliqué de se lancer dans ce type de démarche. Outre la dimension financière, ce type de démarche a un impact fort sur les équipes en termes d’implication, de travail, de remise en cause, etc., tous éléments qui soulignent l’importance du soutien du responsable.

• Être objectif en étant dehors, et être expert en étant dedans : les red teams doivent être idéalement positionnées à l’intérieur des organisations, pour avoir l’expertise nécessaire, mais aussi en dehors, pour pouvoir amener une réflexion nouvelle et être libres 
de challenger.

À propos de l'auteur

Nicolas Minvielle

Professeur à l’Audencia Business School, animateur de la red team des armées françaises, cofondateur de Making Tomorrow.

À propos de l'auteur

Olivier Wathelet

Anthropologue, gérant de Users Matter, coanimateur de la red team des armées françaises, cofondateur de Making Tomorrow.

À propos de l'auteur

Cédric Denis-Rémis

Vice-président de l’université PSL, directeur de l’Institut des hautes études pour l’innovation et l’entrepreneuriat, Mines ParisTech-PSL.

0
Votre panier