Un pentest annuel couvre environ deux semaines de votre calendrier. Les 50 semaines restantes, votre surface d'attaque évolue sans être testée : nouvelles vulnérabilités publiées, configurations modifiées, assets cloud provisionnés sans validation sécurité, tiers interconnectés compromis. Le Continuous Automated Red Teaming (CART) répond à cette asymétrie structurelle en simulant en permanence, 24 heures sur 24 et 7 jours sur 7, des chaînes d'attaque complètes calquées sur les tactiques d'adversaires réels. S'appuyant sur le référentiel MITRE ATT&CK et des moteurs d'intelligence artificielle, le CART transforme la validation de sécurité d'un exercice ponctuel en un processus continu, mesurable et auditable. Gartner a formalisé ce besoin en 2022 avec le cadre CTEM, et en 2024 en créant la catégorie AEV (Adversarial Exposure Validation) qui consolide le BAS, le pentest automatisé et le red teaming technologique. Cet article expose ce qu'est le CART, comment il se positionne par rapport aux autres approches offensives, ce que les données de 2025-2026 démontrent sur son efficacité, et pourquoi le choix de la plateforme ne peut être dissocié de la question de souveraineté.
14 min de lecture
95 %
Du temps annuel non couvert par le pentest ponctuel
3×
Moins de brèches avec CTEM selon Gartner (prédiction 2026)
287 %
ROI moyen d'un programme CART (Patrowl)
44 %
Des brèches impliquent un ransomware, en hausse de 37 % (Verizon DBIR 2025)
1. Définition et mécanismes du CART
Le Continuous Automated Red Teaming repose sur quatre caractéristiques qui le distinguent fondamentalement des approches traditionnelles de tests de sécurité.
La première est la continuité : les simulations s'exécutent sans interruption, ce qui permet de détecter une nouvelle vulnérabilité ou une dérive de configuration dès son apparition, sans attendre le prochain cycle d'audit. La deuxième est l'automatisation : un moteur logiciel reproduit de manière sûre et contrôlée les tactiques d'attaquants réels, à une échelle impossible à atteindre manuellement. La troisième est la fidélité au red teaming : contrairement à un scanner de vulnérabilités, le CART émule des adversaires sophistiqués sur l'ensemble de la kill chain, depuis la reconnaissance initiale jusqu'à l'exfiltration. La quatrième est la proactivité : le CART n'attend pas qu'un incident survienne pour valider l'efficacité des contrôles. Il génère en permanence des preuves empiriques de la résistance ou des lacunes du dispositif.
1.1 MITRE ATT&CK : la colonne vertébrale du CART
Le référentiel MITRE ATT&CK est la base de connaissance sur laquelle s'appuient toutes les plateformes CART sérieuses. Il recense, sous forme de matrice, les tactiques (objectifs d'un attaquant) et les techniques (méthodes employées) documentées à partir d'observations réelles d'attaques. Les plateformes CART l'utilisent à cinq niveaux.
Conception de scénarios : chaque simulation est mappée sur des techniques ATT&CK précises, ce qui garantit que les tests reproduisent des comportements adversaires observés en conditions réelles.
Émulation de groupes d'attaquants : les TTPs (tactiques, techniques et procédures) de groupes documentés comme APT28, APT29 ou Lazarus Group sont reproduits pour tester la résistance face à des adversaires étatiques ou criminels spécifiques.
Cartographie de couverture : les résultats sont projetés sur la matrice ATT&CK pour identifier les techniques couvertes et les angles morts persistants.
Analyse des écarts de détection : pour chaque technique testée, le CART vérifie si les outils de détection (SIEM, EDR, NDR) ont effectivement levé une alerte, révélant les lacunes de visibilité.
Alimentation du blue team : les rapports générés permettent aux équipes défensives d'affiner leurs règles de détection et de prioriser les investissements de remédiation.
Un indicateur éclaire l'ampleur du problème : selon le Picus Red Report, le malware moyen exhibe 11 techniques MITRE ATT&CK différentes lors d'une attaque. Un programme de tests qui ne couvre qu'une fraction de ces techniques offre une assurance tronquée.
MITRE CALDERA
La plateforme open-source MITRE CALDERA (version 5 actuelle) permet l'exécution automatisée d'opérations adversaires basées sur ATT&CK. Elle constitue un point de départ accessible pour les équipes souhaitant valider leurs capacités de détection avant d'investir dans une solution commerciale.
1.2 Scénarios d'attaque couverts par le CART
Les plateformes CART modernes sont capables de simuler l'ensemble des vecteurs d'attaque. Parmi les scénarios les plus représentatifs :
Mouvement latéral : pass-the-hash, pass-the-ticket, Kerberoasting, relais SMB. Ces techniques reproduisent la propagation post-compromission que les attaquants utilisent après un premier accès.
Escalade de privilèges sur Active Directory : DCSync, golden ticket, abus d'AdminSDHolder, manipulation de stratégies de groupe. L'AD reste la cible prioritaire dans 90 % des attaques d'entreprise.
Kill chain ransomware complète : infiltration, persistance, mouvement latéral, exfiltration, chiffrement simulé. Des modules dédiés valident spécifiquement la résistance à ce vecteur, qui représente 44 % des brèches selon Verizon DBIR 2025.
Attaque de la chaîne d'approvisionnement : modélisation d'un accès initial via un tiers compromis, vecteur désormais impliqué dans 30 % des brèches (doublé en un an selon Verizon).
Exploitation de misconfigurations cloud : buckets de stockage mal configurés, clés API exposées, IAM insuffisamment restrictifs, mouvement latéral inter-cloud.
Convergence IT/OT : simulation d'attaques transitant du système d'information vers les environnements industriels, un vecteur en augmentation de 84 % en 2025 (Forescout).
2. CART, BAS, pentest : ce qui les distingue vraiment
Le marché de la sécurité offensive est saturé d'acronymes dont les frontières sont floues. Voici comment positionner précisément le CART par rapport aux autres approches.
Dimension
Pentest traditionnel
Red Team manuel
BAS
CART
Fréquence
Ponctuel (annuel)
Périodique (trimestriel+)
Continu/planifié
✓ Continu 24h/24
Automatisation
✗ Minimale
✗ Minimale
~ Élevée
✓ Très élevée (IA)
Périmètre
Restreint, cadré
Restreint, objectifs précis
Contrôles spécifiques
✓ Toute la surface d'attaque
Résultat
Rapport statique
Rapport d'engagement
Tableau de bord continu
✓ Tableau de bord temps réel
Question centrale
« Quelles failles sont exploitables ? »
« L'organisation peut-elle se défendre ? »
« Nos contrôles fonctionnent-ils ? »
« Un attaquant peut-il entrer et jusqu'où ? »
2.1 BAS et CART : une distinction essentielle
La confusion entre BAS (Breach and Attack Simulation) et CART est fréquente, y compris dans la documentation des éditeurs. La distinction est pourtant nette et opérationnellement significative.
Le BAS teste l'efficacité des contrôles de sécurité contre des vecteurs d'attaque connus. Il opère généralement depuis l'intérieur du périmètre (mode « assumed breach »), en lançant des payloads prédéfinis pour vérifier si l'EDR ou le SIEM les détecte. C'est une validation de configuration utile, mais son périmètre est circonscrit.
Le CART va structurellement plus loin : il simule des attaques multi-étapes depuis l'extérieur, en découvrant des chemins d'attaque inconnus à l'aide de moteurs IA, en enchaînant des techniques sur l'ensemble de la kill chain et en validant non seulement les contrôles de prévention, mais aussi ceux de détection et de réponse. SafeBreach résume la différence ainsi : là où le BAS fournit des instantanés de l'efficacité des contrôles, le CART délivre une évaluation continue, détectant les régressions et confirmant les correctifs appliqués.
2.2 Pourquoi le pentest annuel ne suffit plus
Un programme de tests d'intrusion annuel couvre, dans les meilleures conditions, deux semaines de test actif sur 52. Soit environ 5 % du temps. Pendant les 95 % restants, la surface d'attaque évolue : les équipes DevOps provisionnnent de nouveaux services cloud, des correctifs sont déployés en production et de nouvelles vulnérabilités sont publiées par les éditeurs de vos équipements de bordure.
Verizon DBIR 2025 confirme cette dynamique : le délai médian entre la divulgation d'un zero-day sur un équipement de bordure et son exploitation massive est désormais de 0 jour. Seulement 54 % des vulnérabilités sur ces équipements sont entièrement corrigées, avec une médiane de 32 jours pour remédier. Dans cet environnement, attendre le prochain cycle d'audit annuel revient à laisser des portes ouvertes pendant des mois.
Le temps d'exécution des ransomwares a chuté de 94 %
Le délai moyen d'exécution d'une attaque ransomware est passé de 68 jours en 2019 à moins de 4 jours en 2023. La fenêtre de détection disponible avant chiffrement est désormais inférieure à un week-end. Le CART détecte les chemins d'attaque avant que l'adversaire ne les emprunte.
3. CTEM et AEV : le cadre Gartner pour le CART
Le CART ne s'est pas imposé dans le vide : il s'inscrit dans un cadre analytique plus large que Gartner a progressivement structuré entre 2022 et 2025.
3.1 Les cinq phases du CTEM
En juillet 2022, Gartner a publié le cadre CTEM (Continuous Threat Exposure Management), programme stratégique en cinq phases que les organisations doivent implémenter pour gérer leur exposition aux menaces de façon continue plutôt que ponctuelle.
01
Scoping
Définir le périmètre à protéger : surface d'attaque externe, applications SaaS, chaîne d'approvisionnement, réseaux sociaux, identités exposées.
02
Discovery
Identifier toutes les expositions : vulnérabilités CVE et non-CVE, mauvaises configurations, identités compromises, fuites de données d'accès.
03
Prioritization
Classer les expositions par contexte métier, exploitabilité réelle et criticité des actifs concernés. EPSS et CISA KEV complètent le CVSS.
04
Validation
Tester que les contrôles fonctionnent via des simulations d'attaques. C'est ici que le CART intervient : il prouve qu'une exposition est réellement exploitable.
05
Mobilization
Coordonner la remédiation avec les parties prenantes IT, métier et direction. Transformer les résultats de validation en tickets de correctifs priorisés.
La prédiction centrale de Gartner mérite d'être citée telle quelle : « D'ici 2026, les organisations qui priorisent leurs investissements sécurité sur la base d'un programme de gestion continue de l'exposition aux menaces seront trois fois moins susceptibles de subir une compromission. » Les données d'adoption au début 2026 révèlent un écart préoccupant entre la reconnaissance de l'enjeu et l'implémentation effective : 87 % des responsables sécurité reconnaissent l'importance du CTEM, mais seulement 16 % ont atteint une implémentation opérationnelle.
3.2 L'Adversarial Exposure Validation : nouvelle catégorie Gartner
En juillet 2024, Gartner a créé la catégorie AEV (Adversarial Exposure Validation) dans son Hype Cycle for Security Operations. Cette catégorie consolide sous un seul label ce que le marché appelait jusqu'alors BAS, pentest automatisé et red teaming technologique.
Gartner définit l'AEV comme les « technologies qui délivrent des preuves cohérentes, continues et automatisées de la faisabilité d'une attaque, en confirmant comment des techniques offensives exploiteraient avec succès une organisation et contourneraient les contrôles de prévention et de détection ». Cette définition cadre exactement avec ce que le CART propose.
L'intelligence artificielle transforme le CART à deux niveaux simultanément : elle rend les plateformes de simulation plus autonomes et plus réalistes, et elle alimente les attaques réelles que ces simulations doivent reproduire.
4.1 L'IA agentique : le saut qualitatif
La tendance définissante de 2025-2026 est le passage de l'IA générative (qui génère passivement des payloads ou des textes de phishing) à l'IA agentique, qui exécute des séquences d'actions autonomes : génération d'un payload, envoi, analyse de la réponse du système cible, raffinement de l'approche, nouvelle tentative. Ce cycle de rétroaction ferme reproduit précisément le comportement d'un attaquant humain expérimenté, mais à une vitesse et une échelle inaccessibles manuellement.
Un benchmark concret illustre cette évolution : sur un engagement Fortune 500, un système multi-agents autonome a, sans connaissance préalable de l'environnement, identifié un espace de stockage cloud mal configuré, extrait une clé SSH, pivoté dans le pipeline d'intégration continue, puis exploité un CVE accessible. L'ensemble de la séquence a pris quatre heures.
79 % des entreprises déploient des agents IA sans contrôles adéquats
79 % des organisations ont déployé des agents IA en 2025, mais 97 % d'entre elles ne disposent pas des contrôles de sécurité appropriés pour gérer les risques associés. Le CART est l'un des rares outils capables de tester la résistance de ces systèmes face à des attaques adversariales.
4.2 La surface d'attaque alimentée par l'IA générative
Parallèlement, l'IA générative augmente la sophistication et le volume des attaques que le CART doit reproduire. Quelques données de 2025 posent l'ampleur du phénomène :
82,6 % des courriels de phishing utilisent du contenu généré par IA (KnowBe4 2025).
Une IA peut construire une campagne de phishing aussi efficace qu'un expert humain en cinq prompts et cinq minutes, contre 16 heures pour un humain.
60 % des destinataires sont victimes du phishing généré par IA dans les tests contrôlés (Harvard).
La fraude par deepfake a augmenté de 700 % sur un an (Cyble 2025). Un transfert frauduleux de 25 millions de dollars a été autorisé en 2024 suite à une vidéoconférence deepfake imitant le directeur financier d'une entreprise.
4.3 Le consensus sur l'humain dans la boucle
Malgré l'attrait de l'autonomie complète, le consensus de 2026 est clair sur le modèle optimal. L'IA autonome excelle dans la couverture systématique, les tests de régression et la détection de chemins d'attaque connus. L'expert humain reste indispensable pour la créativité, les attaques ciblant la logique métier, la supervision éthique et la validation des résultats.
L'ISACA formule cet équilibre sans ambiguité : « Sans supervision humaine, les systèmes autonomes peuvent introduire de nouveaux risques, notamment des faux positifs, des spirales d'escalade et une dérive du modèle. » Microsoft recommande de compléter le red teaming manuel avant d'automatiser à l'échelle. Le paradigme cible n'est pas l'autonomie totale, mais l'augmentation de l'expert humain par l'IA.
4.4 La convergence des plateformes
Le marché converge vers des plateformes unifiées de gestion de l'exposition qui intègrent dans un seul outil : la découverte de la surface d'attaque externe (EASM), la cartographie des actifs internes (CAASM), la simulation d'attaques (CART/BAS) et la validation des chemins exploitables. Cette convergence répond à un besoin opérationnel réel : les cloisonnements entre outils génèrent des angles morts et des redondances que les équipes sécurité ne peuvent plus absorber.
Gartner a d'ailleurs anticipé cette consolidation en publiant en novembre 2025 son premier Magic Quadrant for Exposure Assessment Platforms, regroupant 20 éditeurs évalués sur leur capacité à couvrir l'ensemble du cycle CTEM.
5. Bénéfices mesurables et ROI du CART
L'argument économique du CART repose sur une équation relativement simple : une seule compromission évitée finance des années de programme de simulation continue. Les données disponibles permettent de le quantifier.
5.1 L'équation financière fondamentale
Le coût moyen d'une violation de données au niveau mondial était de 4,44 millions de dollars en 2025. Ce chiffre marque la première baisse en cinq ans, mais l'amélioration s'explique précisément par l'adoption massive des outils d'IA et d'automatisation en sécurité. Les organisations utilisant massivement ces outils économisent 1,9 million de dollars en moyenne par incident et réduisent de 80 jours le cycle de vie de la brèche.
En face, un abonnement à une plateforme CART est estimé à environ 30 000 euros par an, soit le coût d'un engagement de test d'intrusion ponctuel, mais avec une couverture 365 jours contre une couverture de deux semaines. Patrowl documente un ROI moyen de 287 % sur ses programmes CART, un ordre de grandeur cohérent avec les économies potentielles.
Facteur
Pentest traditionnel
Programme CART
Coût annuel indicatif
~60 000 € (engagements multiples)
~30 000 € (abonnement)
Couverture temporelle
✗ ~2 semaines/an (5 % du temps)
✓ 365 jours / 24h (100 %)
Résultat
Instantanés ponctuels
Validation continue et audit trail
Détection des régressions
✗ Aucune entre les cycles
✓ Immédiate
5.2 Impact sur le MTTD et le MTTR
Les indicateurs opérationnels confortent le calcul financier :
Les organisations combinant BAS/CART et SOAR constatent une réduction de 50 % du temps moyen de détection et de réponse (Gartner).
68 % des organisations utilisant BAS et SOAR ensemble déclarent une amélioration mesurable du temps de réponse (ESG).
Forrester évalue la réduction des incidents à 25 % et la réduction du coût des incidents à 35 % pour les organisations pratiquant le red teaming régulier.
Les simulations de phishing par IA réduisent de 50 % les incidents réels de phishing dans les organisations qui les pratiquent régulièrement.
Le secteur financier adoptant le BAS observe une réduction de 40 % de ses incidents cyber.
5.3 La conformité continue comme bénéfice annexe
Un bénéfice souvent sous-estimé du CART est la génération automatique d'un audit trail vivant. Là où le pentest annuel produit un rapport statique attestant d'un état ponctuel, le CART génère en permanence des preuves d'efficacité des contrôles, directement exploitables pour répondre aux exigences de NIS2, DORA, RGPD, PCI DSS et ISO 27001.
Pour les entités soumises à DORA, le CART complète les TLPT (Threat-Led Penetration Testing) triennaux en assurant une surveillance continue entre les cycles, en validant la remédiation des constats et en alimentant le programme annuel de tests de résilience. L'article 21(2)(f) de NIS2 impose explicitement de « tester l'efficacité des mesures de gestion des risques » : le CART en est l'interprétation la plus robuste.
5.4 KPIs d'un programme CART
Un programme CART se pilote par des indicateurs mesurables, à suivre dans un tableau de bord opérationnel :
MTTD et MTTR par type de scénario testé
Couverture des actifs critiques (pourcentage de segments validés)
Chemins d'attaque viables fermés et escalades de privilèges éliminées
Réduction du backlog de vulnérabilités haute criticité
Simulations exécutées par semaine et tendance de la couverture MITRE ATT&CK
Précision des alertes : ratio détections vraies positives / faux positifs
6. Réglementation, souveraineté et enjeux français
Pour un RSSI français, le choix d'une plateforme CART ne se limite pas à évaluer les capacités techniques. Il soulève une question de souveraineté aux conséquences concrètes et documentées.
6.1 Ce que NIS2, DORA et RGPD imposent
Trois textes réglementaires créent une obligation implicite ou explicite de recourir à des approches de type CART.
NIS2 : l'article 21(2)(f) impose des politiques et procédures pour « évaluer l'efficacité des mesures de gestion des risques de cybersécurité ». La France a accumulé un retard significatif dans la transposition de la directive. Au 6 mars 2026, le texte n'avait pas encore été débattu en plénière à l'Assemblée nationale, la date estimée étant juillet 2026. L'ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF) comme mesures recommandées non obligatoires. Les sanctions prévues atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, avec une responsabilité personnelle des dirigeants en cas de négligence grave. Environ 15 000 entités françaises sont concernées.
DORA : en vigueur depuis le 17 janvier 2025, le règlement impose aux entités financières significatives des TLPT (Threat-Led Penetration Testing) au minimum tous les trois ans. Le CART assure la continuité entre ces cycles triennaux et alimente le programme annuel de tests de résilience imposé à toutes les entités DORA.
RGPD : l'article 32(1)(d) impose une procédure pour « tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles ». La CJUE et les CNIL nationales ont interprété ce texte comme incluant les tests d'intrusion (annuels au minimum), les audits et les exercices de crise. Le CART représente l'interprétation la plus robuste du terme « régulièrement tester » dans ce contexte.
6.2 Le paradoxe de souveraineté des outils CART
A ce jour, seul Beareye propose une solution CART entièrement souveraine. Les plateformes sont bien souvent israéliennes ou américaines et donc sont potentiellement soumises au CLOUD Act et/ou à la Section 702 de FISA.
La conséquence opérationnelle mérite d'être posée clairement. Une plateforme CART accède aux données les plus sensibles d'une organisation : la cartographie complète des vulnérabilités, les chemins d'attaque actifs, la topologie réseau, les configurations Active Directory et les angles morts de détection. Ce sont exactement les données qu'un service de renseignement rechercherait en priorité. Confier cette cartographie à un outil relevant d'une juridiction étrangère expose l'organisation à un risque qui n'est pas théorique.
CLOUD Act et FISA 702 : un risque réel, pas théorique
Le CLOUD Act (2018) permet aux autorités américaines de contraindre toute entreprise de droit américain à remettre des données stockées n'importe où dans le monde. FISA 702, réautorisé en avril 2024 avec un périmètre élargi, englobe désormais toute organisation ayant accès à des dispositifs sur lesquels des communications sont stockées ou transmises. Microsoft a admis devant le Sénat français ne pouvoir garantir la sécurité des données européennes face à ces requêtes. Le conflit avec le RGPD (article 48) est structurel et non résolu.
6.3 Le contexte français en 2026
L'intensité de la menace sur le tissu économique et administratif français justifie l'urgence. L'ANSSI a traité 4 386 événements de sécurité en 2024, soit une hausse de 15 % par rapport à 2023. Les violations de données notifiées à la CNIL ont augmenté de 20 % en 2025 (5 629 dossiers). Les incidents de début 2026 illustrent l'accélération : l'OFII, l'Urssaf, Cegedim Santé et plusieurs acteurs du secteur éducatif ont chacun subi des compromissions touchant des millions de personnes.
La maturité cyber des grandes entreprises françaises stagne à 54 % selon Wavestone (Cyber Benchmark 2025). Aucune n'est pleinement conforme à NIS2. Le pilier « résilience » (capacité à se remettre d'une attaque) atteint seulement 41 %. Sur le plan structurel, environ 90 % des solutions de cybersécurité utilisées en France proviennent d'acteurs non-européens (Siècle Digital, mai 2025).
6.4 Beareye : l'alternative souveraine française
C'est dans ce contexte que se positionne Beareye, première plateforme française souveraine de gestion unifiée du risque cyber. Fondée en 2023 à Vannes (Bretagne), soutenue entre autres par le Pôle d'Excellence Cyber, BEAROPS propose une approche qui répond aux enjeux de souveraineté sans compromis sur les capacités techniques.
La plateforme intègre plusieurs modules unifiés (CAASM, EASM, IASM, VMDR, CTEM, OSINT, TPRM) formant un module de red team automatisé par IA, complété par des services manuels de red team complets allant jusqu'au physique et Social Engineering. L'hébergement est intégralement réalisé sur des infrastructures françaises, sans aucune exposition aux lois extraterritoriales américaines. La conformité RGPD, NIS2 et DORA est intégrée nativement dans l'architecture.
Le déploiement s'effectue en moins de 48 heures. La plateforme cible les organisations de 50 à 5 000 collaborateurs qui n'ont pas les moyens d'absorber la complexité des plateformes américaines ni d'accepter le risque juridique qu'elles impliquent.
Déclaration franco-allemande pour la souveraineté numérique
Le 18 novembre 2025, la France et l'Allemagne ont adopté une déclaration commune appelant à un cadre européen contre l'application extraterritoriale de lois non-UE, à l'utilisation de la commande publique pour favoriser les acteurs européens du numérique, et à la création d'un Cloud and AI Development Act. Le contexte réglementaire européen évolue dans le sens d'une protection renforcée de la souveraineté numérique des organisations.
Points clés à retenir
Le CART simule en continu l'ensemble de la kill chain, 24h/24, là où le pentest annuel ne couvre que 5 % du temps.
Gartner prédit que les organisations implémentant le CTEM seront trois fois moins susceptibles de subir une compromission d'ici 2026 : seulement 16 % ont atteint cette maturité.
Le délai d'exécution moyen d'une attaque ransomware est passé de 68 jours en 2019 à moins de 4 jours en 2023 : la fenêtre de détection disponible impose une validation permanente.
NIS2 (art. 21(2)(f)) et RGPD (art. 32(1)(d)) créent une obligation implicite de tester régulièrement l'efficacité des contrôles : le CART en est l'interprétation la plus robuste.
Confier la cartographie offensive de son organisation à une plateforme soumise au CLOUD Act américain ou à FISA 702 expose à un risque juridique et stratégique que les RSSI doivent intégrer dans leur analyse.
L'IA agentique transforme le CART : des systèmes autonomes enchaînent désormais des séquences d'attaque complètes en quelques heures, rendant la supervision humaine indispensable.
FAQ
Questions fréquentes sur le CART
Le BAS (Breach and Attack Simulation) valide l'efficacité des contrôles de sécurité contre des vecteurs d'attaque connus, généralement depuis l'intérieur du périmètre. Il répond à la question : « Nos outils de détection voient-ils cette technique ? ». Le CART va plus loin en simulant des attaques multi-étapes complètes depuis l'extérieur, en découvrant des chemins d'attaque inconnus grâce à des moteurs IA, et en couvrant l'ensemble de la kill chain jusqu'à l'impact. Le CART valide non seulement la prévention, mais aussi la détection et la réponse. Les deux approches sont complémentaires dans un programme CTEM.
Non, le CART ne remplace pas le pentest, il le complète structurellement. Le pentest manuel, réalisé par des experts humains, apporte une créativité, une profondeur d'investigation et une capacité à tester la logique métier que l'automatisation ne reproduit pas encore. De plus, pour les entités soumises à DORA, des tests par des prestataires externes qualifiés (PASSI) restent obligatoires. Le CART assure en revanche la continuité de la validation entre les cycles de pentest, détecte les régressions et produit un audit trail permanent. La combinaison des deux constitue la posture optimale.
Oui, à condition de choisir une solution adaptée à la taille de l'organisation. Verizon DBIR 2025 indique que 88 % des brèches touchant des PME impliquent un ransomware : la menace est au moins aussi intense que pour les grands groupes. Le marché BAS/CART enregistre d'ailleurs la croissance la plus rapide dans le segment PME (CAGR de 27,8 %). Des plateformes comme Beareye, conçues pour les organisations de 50 à 5 000 collaborateurs, offrent un déploiement en moins de 48 heures sans agent, avec un modèle d'abonnement accessible. Le coût d'un abonnement annuel est généralement inférieur au coût d'investigation d'un seul incident de ransomware.
Une plateforme CART accède aux données les plus sensibles d'une organisation : cartographie complète des vulnérabilités, chemins d'attaque actifs, topologie réseau, configurations Active Directory, angles morts de détection. Ce sont précisément les données qu'un service de renseignement rechercherait. Les plateformes dominantes sont israéliennes ou américaines, donc soumises au CLOUD Act et à FISA 702. Ces textes permettent aux autorités américaines de contraindre les entreprises à livrer des données stockées n'importe où dans le monde. Choisir un outil souverain hébergé sur des infrastructures françaises élimine cette exposition juridique.
L'article 21(2)(f) de NIS2 impose des politiques et procédures pour « évaluer l'efficacité des mesures de gestion des risques de cybersécurité ». Le CART répond directement à cette obligation en générant des preuves continues et auditables de l'état des contrôles. Il produit un audit trail vivant exploitable lors des contrôles de l'ANSSI. Par ailleurs, ISO 27001 seul ne couvre que 2 des 20 objectifs du décret NIS2 français : un programme de simulation continue comme le CART est nécessaire pour démontrer la conformité aux exigences de validation active des contrôles. Pour les entités DORA, le CART complète les TLPT triennaux réglementaires.
Gartner a créé en 2024 la catégorie AEV (Adversarial Exposure Validation) pour consolider sous un seul label les technologies BAS, pentest automatisé et red teaming technologique. L'AEV est définie comme l'ensemble des technologies délivrant des preuves continues et automatisées de la faisabilité d'une attaque, en confirmant comment des techniques offensives exploiteraient une organisation et contourneraient ses contrôles. Le CART est l'implémentation la plus avancée de cette catégorie. Le Market Guide for AEV (mars 2025) et le Voice of the Customer for AEV (octobre 2025) constituent les références analytiques les plus récentes sur ce marché.
Un programme CART se pilote par six catégories d'indicateurs : (1) délais opérationnels (MTTD et MTTR par type de scénario) ; (2) couverture des actifs (pourcentage de segments et d'actifs critiques testés) ; (3) réduction de l'exposition (chemins d'attaque viables fermés, escalades de privilèges éliminées) ; (4) progression du backlog (réduction des vulnérabilités haute criticité non remédiées) ; (5) intensité des tests (simulations exécutées par semaine, couverture de la matrice MITRE ATT&CK) ; (6) qualité des alertes (ratio de vraies détections sur faux positifs). Ces indicateurs doivent être suivis dans un tableau de bord partagé avec la direction.
Passez à l'action
Validez votre résistance face aux attaques réelles
Beareye est la première plateforme française souveraine de red teaming continu. Déploiement en moins de 48 heures, sans agent, hébergement intégralement en France, conformité NIS2 et DORA intégrée nativement. Nos équipes peuvent vous présenter une démonstration sur votre périmètre réel.
