Zeroday Cyber Academy

Métiers de la cybersécurité

Qu'est-ce qu'un red teamer ? Rôle et missions

Red teamer 2026 : adversary emulation, MITRE ATT&CK, C2 Cobalt Strike/Sliver, TIBER-EU, DORA TLPT, certifications OSEP/CRTO, salaires France.

Naim Aouaichia
15 min de lecture
  • Red Team
  • Adversary Emulation
  • MITRE ATT&CK
  • Cobalt Strike
  • Sliver
  • TIBER-EU
  • DORA TLPT
  • Purple Team
  • Offensive Security
  • Métier cyber

Un red teamer est un professionnel de la cybersécurité offensive spécialisé dans l'émulation d'adversaire (adversary emulation) : il simule des attaques réalistes contre une organisation dans son ensemble pour tester les capacités de détection et de réponse du blue team (SOC, DFIR, CERT) sous contrainte de discrétion. Contrairement au pentester qui opère en périmètre borné sur 5-15 jours avec objectif d'exhaustivité des vulnérabilités, le red teamer opère sur 4-12 semaines avec un scope large (souvent toute l'entreprise) et un objectif d'efficacité opérationnelle à la manière d'un attaquant réel. La méthodologie s'ancre sur MITRE ATT&CK (v15, 2024), les adversary emulation plans publiés par MITRE (APT3, APT29, FIN6, Carbanak), le standard TIBER-EU de la Banque centrale européenne (2018) et le régime DORA TLPT (Threat-Led Penetration Testing) applicable aux entités financières européennes depuis janvier 2025. La stack technique repose sur des frameworks C2 (Cobalt Strike, Sliver, Havoc, Mythic), une infrastructure d'attaque dédiée (redirectors, domain fronting, CDN) et des techniques d'évasion (malleable profiles, obfuscation, anti-forensic). Les salaires 2026 en France s'étalent de 55-82 k€ junior à 120-160 k€ lead red team. Cet article détaille la définition, la comparaison red team/pentest/purple team, les frameworks, le kill chain d'un engagement, la stack technique, le contexte réglementaire français et européen, le profil type et les certifications.

1. Définition et périmètre du red teamer

Définition opérationnelle : un red teamer simule un adversaire réaliste contre une organisation pour évaluer la robustesse de sa défense sous contrainte de discrétion. L'objectif n'est pas de trouver toutes les vulnérabilités (ça, c'est pentest), mais de reproduire fidèlement le comportement d'un acteur de menace et de mesurer la capacité du blue team à détecter, investiguer et répondre.

Distinction claire avec les métiers adjacents

MétierObjectifDurée typiqueScopeContrainte
PentesterExhaustivité des vulnérabilités5-15 joursPérimètre borné (app, infra, AD)Temps
Red teamerÉmulation d'adversaire4-12 semainesOrganisation large ou cibléeDiscrétion (stealth)
Purple teamAmélioration continue collaborative2-5 jours par sprintTechniques MITRE cibléesTransparence totale
Bug bounty hunterChasse opportunistePermanentScope publié par programmeQualité du rapport
Adversary simulation (APT emulation)Reproduction fidèle d'un TA (Threat Actor)2-6 semainesScope défini avec TIFidélité au TTP

2. Méthodologie et frameworks structurants

Quatre frameworks dominent l'adversary emulation en 2026.

FrameworkÉditeurPérimètreStatut
MITRE ATT&CKMITRE (US)Matrice tactiques/techniques/sous-techniques adversesStandard de fait, v15 publié 2024
MITRE ATT&CK Adversary Emulation PlansMITREPlaybooks d'émulation par APT (APT3, APT29, FIN6, Carbanak, menuPass, Sandworm)Publics, exploitables librement
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming)BCE (2018)Entités financières systémiques européennesVolontaire, transposé dans 14 pays dont France (Banque de France)
DORA TLPT (Threat-Led Penetration Testing)UE règlement 2022/2554Entités financières critiquesObligatoire depuis janvier 2025
PTES (Penetration Testing Execution Standard)Communauté openMéthodologie pentest/red team génériqueStandard communautaire
NIST SP 800-115NIST (2008)Guide technique des tests sécuritéRéférence US
OWASP WSTG v4.2OWASPWeb Security Testing GuideComplément applicatif
CBESTBank of EnglandÉquivalent TIBER au Royaume-UniSecteur banque UK

DORA TLPT est l'évolution réglementaire la plus structurante en Europe. Le règlement (UE) 2022/2554 impose aux entités financières désignées « critiques » de mener un TLPT au moins tous les 3 ans, réalisé par un prestataire externe qualifié, supervisé par l'autorité compétente (ACPR en France pour banque/assurance, AMF pour marchés). Les exigences techniques suivent le cadre TIBER-EU. Impact pour les red teamers : croissance significative de la demande côté ESN qualifiées TIBER/TLPT, raréfaction des profils qualifiés, tirage salarial vers le haut depuis 2024.

3. Le kill chain d'un engagement red team

Un engagement red team moderne suit une structure en 7 phases alignée sur les tactiques MITRE ATT&CK et TIBER-EU.

Phase 1 — Threat Intelligence et scoping

Cartographie des menaces pertinentes pour le secteur cible (via MITRE ATT&CK Groups, rapports Mandiant, CrowdStrike Intel, Unit 42). Sélection d'un adversaire de référence (ex : APT29 pour une institution financière, FIN6 pour un retailer, Sandworm pour une entité énergétique ukrainienne). Définition des objectifs de mission (flags) : accès au domain admin, exfiltration d'une donnée cible, accès à un système critique métier.

Phase 2 — Rules of Engagement (ROE) et autorisation

Document contractuel définissant périmètre, techniques autorisées, fenêtres de test, contacts de crise, gestion des découvertes accidentelles (incident réel non lié à l'engagement), obligations post-mission. Exemple de fiche d'engagement type :

# red-team-engagement-plan-v1.yml
# Plan d'engagement red team aligne TIBER-EU et DORA TLPT.
# Entite fictive : banque universelle France, entite DORA critique.
 
engagement:
  identifiant: "RT-2026-0007"
  client: "BanqueFictive SA"
  type: "Adversary emulation DORA TLPT"
  adversaire_reference: "FIN6 - APT specialise vol POS et retail"
  ti_source: "Mandiant Advantage plus CERT-FR plus OSINT"
  duree_prevue_semaines: 10
  date_debut: "2026-05-12"
  date_fin_prevue: "2026-07-21"
 
scope:
  entites_incluses:
    - "BanqueFictive SA France (siege plus reseau agences)"
    - "BanqueFictive Trading SAS"
  entites_exclues:
    - "Filiales internationales hors scope DORA"
  perimetres_techniques:
    - "Internet-facing assets (sous-domaines)"
    - "Employes (phishing, social engineering)"
    - "Cloud AWS, Azure"
    - "Active Directory on-premise"
  flags_objectifs:
    - id: "F1"
      description: "Acces Domain Admin sur AD corporate"
      criticite: "critique"
    - id: "F2"
      description: "Acces donnees personnelles clients P2 (exfiltration simulee)"
      criticite: "critique"
    - id: "F3"
      description: "Acces systeme paiement SWIFT (sans action transactionnelle)"
      criticite: "critique"
 
restrictions:
  techniques_interdites:
    - "Destruction ou chiffrement de donnees reelles"
    - "Exploitation de CVE 0-day non documentee au TLPT"
    - "Attaques DDoS ou volumetriques"
    - "Acces aux systemes de paiement en ecriture"
  fenetres_test:
    - "Semaine 1-8 : 24/7 toutes techniques hors red zone"
    - "Red zone (Friday 18h-Monday 06h) : notification prealable obligatoire"
  plafond_phishing:
    nombre_emails_max: 500
    types_autorises: ["spear phishing cible direction", "phishing generique DSI"]
 
rules_of_engagement:
  contacts_crise:
    - role: "White cell RSSI"
      contact: "securite-whitecell@banquefictive.example"
    - role: "Red team lead"
      contact: "rt-lead@prestataire-rt.example"
  gestion_decouverte_incident_reel:
    - "Notification immediate white cell si detection intrusion tierce"
    - "Suspension engagement si incident majeur non-red team"
  obligations_postmission:
    - "Rapport detaille MITRE ATT&CK mapping 15 jours ouvres"
    - "Sprint purple team debrief 2 semaines apres fin"
    - "Destruction evidences et infrastructure RT 30 jours post-mission"
 
livrables:
  - "Rapport technique complet avec timeline et TTPs"
  - "Executive summary Audit Committee"
  - "Mapping MITRE ATT&CK Navigator des techniques utilisees"
  - "Recommandations priorisees plan de remediation"
  - "Conference debrief blue team post-mission"
 
signatures:
  rssi_client: "Signature electronique qualifiee"
  red_team_lead: "Signature electronique qualifiee"
  assureur_rc_pro: "Attestation couverture engagement"

Phase 3 — Initial access

Vecteurs typiques : spear phishing ciblé avec pretext contextualisé, exploitation de vulnérabilité Internet-facing (CVE récentes), compromission de credentials via OSINT (HaveIBeenPwned, fuites récentes), attaque supply chain (prestataire compromis), social engineering téléphonique (helpdesk, support IT). MITRE ATT&CK tactique TA0001.

Phase 4 — Establishment et persistence

Déploiement du beacon C2 (Cobalt Strike, Sliver, Havoc, Mythic) avec profil d'évasion tuné pour l'EDR cible. Persistence multiple pour résister au reboot : scheduled task (T1053), registry run keys (T1547.001), WMI event subscription (T1546.003), service modification (T1543.003). Communications C2 blended via redirectors et CDN (Cloudflare Workers, Azure Front Door en fronting), jitter et sleep randomization.

Phase 5 — Discovery et lateral movement

Reconnaissance interne : BloodHound pour cartographie AD, SharpHound ou Rusthound pour collecte, enumeration Kerberos (Kerberoasting T1558.003, AS-REP Roasting T1558.004). Lateral movement : Pass-the-Hash T1550.002, Pass-the-Ticket T1550.003, DCSync T1003.006, exploitation noPac (CVE-2021-42278 plus CVE-2021-42287).

Phase 6 — Objectives et exfiltration

Atteinte des flags définis en phase 1. Exfiltration simulée via canaux légitimes (DNS tunneling T1048.003, HTTPS staged T1041, cloud storage abuse). Documentation méticuleuse des techniques utilisées, avec horodatage précis pour faciliter le debrief blue team.

Phase 7 — Debrief et purple team

Rapport technique détaillé avec mapping MITRE ATT&CK Navigator. Executive summary pour le board et l'Audit Committee. Sprint purple team de 2-5 jours avec le blue team pour reproduire chaque technique et mesurer la détection. Plan de remédiation priorisé.

4. Stack technique du red teamer

CatégorieOutils et frameworks 2026
C2 frameworks commercialCobalt Strike (Fortra), Brute Ratel BRc4 (restreint post-fuites)
C2 frameworks open-sourceSliver (Bishop Fox), Havoc, Mythic, PoshC2
Reconnaissance externeAmass, Subfinder, httpx, nuclei, Shodan, Censys
PhishingGophish, Evilginx2 (phishing MFA), EvilProxy (commercial), King Phisher
AD enumerationBloodHound CE, SharpHound, Rusthound, adPEAS, PowerView
Credential dumpingMimikatz, secretsdump.py (Impacket), SafetyKatz, Rubeus
Lateral movementImpacket suite (psexec, smbexec, wmiexec, atexec), CrackMapExec, NetExec, Rubeus
Evasion / obfuscationDonut, ScareCrow, Inceptor, GadgetToJScript, Nimcrypt2, proxyless beacons
Post-exploitationSeatbelt, WinPEAS, LinPEAS, Rubeus, Certipy (AD CS)
InfrastructureCloudflare Workers, AWS/Azure CDN, SilentTrinity, Covenant, Empire
Blue team bypass trainingTrustedSec tools, SpecterOps, MITRE CALDERA (aussi côté red)
RapportDradis, Ghostwriter, SpecterOps Nemesis

CVE récentes critiques pour red team 2024-2026 : CVE-2023-23397 (Outlook NTLM leak), CVE-2024-1709 (ConnectWise ScreenConnect RCE), CVE-2024-3400 (Palo Alto PAN-OS), CVE-2024-21887 (Ivanti Connect Secure), CVE-2023-4966 (Citrix NetScaler Bleed), CVE-2023-46805 plus CVE-2024-21887 (Ivanti combo). Ces CVE ont souvent servi de vecteurs d'initial access en 2024-2025.

5. Purple team : la pratique collaborative

Le purple team est une pratique de plus en plus répandue qui complète le red team pur.

DimensionRed team classiquePurple team
ObjectifTester la détection sous stealthAméliorer les détections en continu
Transparence blue teamNulle (stealth impératif)Totale (partage en temps réel)
Durée typique4-12 semaines2-5 jours (sprint)
Fréquence annuelle typique1-2 par an4-8 sprints par an
LivrableRapport complet avec mapping ATT&CKMatrice ATT&CK annotée avec détections validées
Mesure de succèsNombre de flags atteints versus détectésNombre de techniques détectées versus testées

6. Contexte réglementaire français et européen

Encadrement ANSSI PASSI en France

Les prestataires d'audit de la sécurité des systèmes d'information (PASSI) sont qualifiés par l'ANSSI selon le référentiel national. Pour réaliser un test d'intrusion sur un OIV (Opérateur d'Importance Vitale) ou une entité régulée LPM, il faut être PASSI ou travailler sous couvert d'un PASSI. Portée PASSI : audit d'architecture, audit de configuration, audit de code source, test d'intrusion, audit organisationnel. Le périmètre red team large peut tomber dans l'audit organisationnel combiné au test d'intrusion.

TIBER-FR et DORA TLPT

RégimePérimètreObligationAutorité
TIBER-FRInstitutions financières systémiques FranceVolontaireBanque de France, ACPR
DORA TLPTEntités financières critiques UEObligatoire depuis 2025, cycle 3 ansACPR, AMF en France
LPM OIVOIV françaisPASSI requis pour audits imposésANSSI
NIS 2Entités essentielles et importantesTests intrusifs recommandésANSSI

Impact pour le red teamer : pour travailler sur les clients les plus prestigieux (banque systémique, OIV défense, énergie, télécom, grande industrie), il faut rejoindre une ESN PASSI (Synacktiv, Wavestone Offensive Security, Thales Red Team, Orange Cyberdefense Audit, Airbus CyberSecurity, Digitemis, Intrinsec) ou une ESN qualifiée TIBER/TLPT. La liste publique PASSI est maintenue sur le site ANSSI.

7. Profil type et certifications

Profils d'entrée les plus compatibles

Profil initialDurée de bascule red teamPrérequis clés
Pentester confirmé 2-4 ans12-18 mois de spécialisationOSCP obtenu, portfolio HTB et CTF dense
Malware analyst, reverse engineer12-18 moisCompréhension profonde PE/ELF, obfuscation
Développeur senior passionné offensif18-24 moisCode Go/C/Rust, Windows internals, CTF 500+ heures
Sortant école ingénieur avec spécialisation cyber offensive6-12 mois après embaucheStage cyber offensif, CTF intensif
Reconvertis militaires cyber (Commandement Cyber, 785e RT)9-12 mois de transitionCulture opérationnelle, méthodologie rigoureuse

Le red team n'est pas une trajectoire d'entrée : le marché exige presque systématiquement une expérience pentest confirmée préalable (2-4 ans minimum).

Certifications par palier

PalierCertificationÉditeurCoût examen
Passage marché pentest (prérequis)OSCPOffSec≈ 1 600 $
Bascule red teamOSEP (Evasion Techniques and Breaching Defenses)OffSec≈ 1 800 $
Red team lab hands-onCRTO (Certified Red Team Operator)Zero-Point Security≈ 399 £
AD red teamCRTP (Certified Red Team Professional)Altered Security≈ 249 $
AD avancéCRTE (Certified Red Team Expert)Altered Security≈ 399 $
Red team ops SANSGIAC GPEN, SEC565 Red Team OpsSANS/GIAC≈ 1 000 $ par cert
Triple couronnement offensifOSCE3 (OSEP plus OSED plus OSWE)OffSecCumul ≈ 5 000 $
CREST UKCRT, CCT, CCRTSCREST≈ 400-700 £

Combinaison marché France 2026 : OSCP plus OSEP plus CRTO couvre 80 % des offres red team junior à senior. CRTP complète pour la spécialisation AD.

8. Salaires et bifurcations

NiveauAncienneté red teamProvince (brut annuel)Île-de-France (brut annuel)
Red teamer junior (après 2-4 ans pentest)0-2 ans red55-75 k€60-82 k€
Red teamer confirmé2-4 ans red72-92 k€78-100 k€
Red teamer senior4-7 ans red90-115 k€95-125 k€
Lead red team / Principal offensive engineer7+ ans red115-145 k€120-160 k€
Freelance red team senior7+ ans redTJM 900-1 500 €TJM 900-1 500 €

Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Les cabinets spécialisés offensifs (Synacktiv, Wavestone OS, Thales Red Team, Airbus CyberSecurity, Intrinsec, NVISO) tirent la fourchette haute. Les scale-ups cyber offensives (SpecterOps aux US, TrustedSec, Bishop Fox pour les profils qui basculent international) paient 20-40 % au-dessus en USD équivalent.

Bifurcations possibles

  • Adversary simulation engineer / Threat emulation engineer : spécialisation fine sur émulation d'APT avec MITRE CALDERA, Atomic Red Team, publication de research.
  • Purple team lead : direction des exercices purple, collaboration continue avec SOC/DFIR.
  • Detection engineering senior : bascule vers la construction de détecteurs basée sur l'expérience offensive — profil très valorisé.
  • Security research / threat intel : publication de travaux offensifs, track d'acteurs.
  • Consulting indépendant : TJM 900-1 500 €, mission red team sur 3-8 semaines.
  • Management offensive security : Head of Offensive Security, CISO à long terme.
  • Éditeur d'outils offensifs : carrière chez Cobalt Strike/Fortra, Bishop Fox (Sliver), SpecterOps.

9. Pour aller plus loin

Points clés à retenir

  • Red team = adversary emulation sous stealth, pas pentest premium. Contrainte de discrétion sur 4-12 semaines, objectif test détection/réponse.
  • Frameworks structurants : MITRE ATT&CK v15, Adversary Emulation Plans MITRE (APT3, APT29, FIN6, Carbanak), TIBER-EU (2018), DORA TLPT (applicable janvier 2025).
  • Kill chain en 7 phases : TI/scoping → ROE → initial access → establishment/persistence → discovery/lateral → objectives/exfil → debrief et purple.
  • Stack C2 2026 : Cobalt Strike (commercial), Sliver (Bishop Fox open-source leader), Havoc, Mythic. Brute Ratel BRc4 restreint post-fuites.
  • Purple team complète le red team : 1-2 red par an plus 4-8 sprints purple pour amélioration continue.
  • Contexte France : qualification PASSI ANSSI pour OIV, TIBER-FR via Banque de France, DORA TLPT obligatoire pour entités financières critiques.
  • Certifications : OSCP (prérequis pentest) → OSEP (evasion) → CRTO (hands-on red ops) → CRTP (AD). OSCE3 en triple couronnement.
  • Salaires : 55-82 k€ junior red (après 2-4 ans pentest), 95-125 k€ senior, 120-160 k€ lead. TJM freelance 900-1 500 €.
  • Red team n'est pas une entrée : exige 2-4 ans de pentest confirmé préalable.

L'accompagnement cyber 6 mois s'adresse aux pentesters confirmés visant un premier poste red team : préparation OSEP plus CRTO intégrée, labs Cobalt Strike légitime plus Sliver plus Havoc, infrastructure d'attaque dédiée (redirectors, domain fronting), ateliers d'engagement plan TIBER/TLPT, et coaching d'entretien ESN qualifiées PASSI.

Questions fréquentes

  • Quelle différence entre red teamer et pentester ?
    Deux métiers offensifs distincts malgré un chevauchement technique important. Le pentester réalise un test d'intrusion à périmètre défini (application web, infrastructure, Active Directory) sur une fenêtre typiquement de 5 à 15 jours, avec pour objectif l'identification exhaustive de vulnérabilités exploitables. Le red teamer réalise une simulation d'attaque réaliste à périmètre large (souvent toute l'entreprise), sur une fenêtre de 4 à 12 semaines, avec pour objectif de tester la capacité de détection et de réponse du blue team sous contrainte de discrétion. Le pentester vise l'exhaustivité des vulnérabilités, le red teamer vise la reproduction fidèle d'un adversaire. La méthodologie, les outils (C2 avec evasion, infrastructure dédiée, anti-forensic), et les livrables diffèrent fortement. Voir [Devenir pentester sans expérience](/ressources/pentest/devenir-pentester-sans-experience) pour la trajectoire pentest.
  • Quels frameworks structurent un engagement red team ?
    Quatre frameworks et standards dominent 2026. 1) MITRE ATT&CK (v15, 2024) : matrice des tactiques, techniques et sous-techniques adverses — base obligatoire pour toute planification red team moderne. 2) TIBER-EU (Threat Intelligence-Based Ethical Red Teaming, BCE 2018) : standard européen volontaire pour les institutions financières, 14 pays transposés dont la France via Banque de France. 3) DORA TLPT (Threat-Led Penetration Testing, règlement UE 2022/2554 applicable janvier 2025) : encadre les tests intrusifs obligatoires pour certaines entités financières européennes critiques. 4) PTES (Penetration Testing Execution Standard) et MITRE ATT&CK Adversary Emulation Plans (APT3, APT29/Cozy Bear, FIN6, Carbanak publiés par MITRE) fournissent les playbooks techniques d'émulation. Le NIST SP 800-115 sert de cadre général aux US.
  • Quels outils C2 un red teamer utilise-t-il ?
    Quatre frameworks C2 (Command and Control) dominent le marché légitime red team 2026. 1) Cobalt Strike (Fortra, ≈ 5 900 $ par an et par opérateur) : référence historique, malware-ish, puissant, nécessite du malleable profile tuning pour l'evasion. 2) Sliver (Bishop Fox, open-source 2020) : leader open-source moderne, support Windows, Linux, macOS, implants en Go. 3) Havoc (2023, open-source) : framework moderne orienté evasion, support mTLS. 4) Mythic (open-source) : framework multi-agent flexible avec écosystème d'agents en Python, C, Go. Metasploit Framework reste utilisé en training et sur cibles non protégées. Brute Ratel BRc4 (commercial, distribution restreinte après fuites 2022) est utilisé par certaines équipes premium mais controversé. Les frameworks doivent être combinés avec une infrastructure dédiée (redirectors, domain fronting, CDN) pour résister aux blue teams matures.
  • Quelles certifications pour devenir red teamer ?
    Cinq certifications cibles structurent la carrière red team 2026. 1) OSCP (Offensive Security Certified Professional, OffSec, ≈ 1 600 $) : passage marché obligatoire, 24h d'examen, 5 machines. 2) OSEP (OffSec Experienced Pentester, OffSec, ≈ 1 800 $) : bascule red team avec focus evasion et AV bypass. 3) CRTO (Certified Red Team Operator, Zero-Point Security, ≈ 399 £) : hands-on red team lab avec Cobalt Strike, très valorisé depuis 2021. 4) CRTP (Certified Red Team Professional, Altered Security, ≈ 249 $) : spécialisation Active Directory. 5) CRTE (Certified Red Team Expert) ou SANS SEC565 Red Team Ops : paliers seniors. La combinaison OSCP plus OSEP plus CRTO couvre 80 % des offres red team en France en 2026. L'OSCE3 (OSEP plus OSED plus OSWE, OffSec) constitue le triple couronnement pour les profils offensifs les plus exigeants.
  • Qu'est-ce que le purple team et comment diffère-t-il du red team ?
    Le purple team est une pratique collaborative où red team et blue team travaillent main dans la main, en transparence totale, pour tester et améliorer les détections en continu. Contrairement à un engagement red team classique (objectif : ne pas se faire détecter), un exercice purple team expose chaque technique MITRE ATT&CK testée en temps réel au blue team, qui observe, mesure la détection et ajuste les règles. Formats typiques : sprint de 2-5 jours, passage méthodique sur 10-30 techniques prioritaires, matrice MITRE ATT&CK Navigator annotée en live. Avantage : amélioration continue plus rapide que le red team pur qui ne partage les résultats qu'en fin d'engagement. Inconvénient : ne valide pas la détection sous conditions réalistes de stealth. En pratique, les équipes matures alternent engagements red team et sprints purple team, avec 2-3 purple par red.
  • Quel salaire pour un red teamer en France en 2026 ?
    Fourchettes brut annuel 2026 (Apec, Numeum, observatoires LinkedIn France). Red teamer junior (après 2-4 ans pentest confirmé) : 55-75 k€ province, 60-82 k€ IDF. Red teamer confirmé 2-4 ans red : 72-92 k€ province, 78-100 k€ IDF. Red teamer senior 4-7 ans red : 90-115 k€ province, 95-125 k€ IDF. Lead red team ou principal offensive security engineer 7+ ans : 115-145 k€ province, 120-160 k€ IDF. Freelance red team senior : TJM 900-1 500 €. Les cabinets spécialisés offensifs (Synacktiv, Wavestone Offensive Security, Thales Red Team, NVISO, TrustedSec, SpecterOps pour les profils qui basculent US) tirent la fourchette haute. Le red team est une spécialisation — les postes sont moins nombreux que le pentest, mais la tension côté entreprises demandeuses augmente (banque, assurance, énergie, défense).
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également