Red Team. How to succeed by thinking like the enemy

Micah Zenko, expert du Council on Foreign Relations, a écrit cet ouvrage sur les « Red Team », afin d’analyser et de théoriser cette méthode d’aide à la prise de décision dont l’objectif est d’y apporter de la réflexivité aux décideurs en allant puiser des ressources en dehors de leur institution. Elle consiste en la création, au sein d’une organisation militaire, administrative ou économique, d’une équipe restreinte devant mettre à l’épreuve une planification stratégique ou un choix lors d’un événement particulier. Pour mener à bien cette tâche, elle doit agir comme un opposant afin de contourner les biais cognitifs et les travers institutionnels propres à toute organisation. Ces défauts font l’objet d’une présentation approfondie dont voici les principaux éléments :

  • Les biais cognitifs des individus, notamment chez les analystes et les décideurs, sont (i) le mirror imaging (considérer que l’opposant pense comme les décideurs de l’organisation concernée), (ii) l’anchoring (quand l’analyste se fonde trop sur ses données ou impressions initiales qui impactent disproportionnellement son jugement) et (iii) le confirmation bias (quand l’analyste favorise des informations qui le renforcent dans ses convictions).
  • En sus, toute institution est organisée autour d’une hiérarchie, d’une discipline, de normes sociales et formelles propices aux blocages à toute critique. 1) Généralement, les employés (a) doutent de leur compétence à se prononcer sur les erreurs qu’ils perçoivent, (b) doutent être écoutés s’ils s’expriment face à leur hiérarchie, et (c) craignent les conséquences négatives pour leurs carrières s’ils osent s’exprimer. 2) De même, les décideurs sont persuadés que (a) s’il y avait un problème, il le saurait ; et que (b) leurs employés ont le temps et / ou les capacités pour identifier les problèmes et en parler à leur hiérarchie.
    (c) Alors que les dirigeants se caractérisent par leur excès de confiance et leur caractère dominants, décider d’organiser une Red Team signifie pour eux accepter de reconnaître des erreurs et faire des concessions sur leurs préjugés.

zenko

 

Après une introduction présentant les grandes tendances des Red Teams, l’auteur aborde tour à tour les meilleurs pratiques de Red Teaming (chapitre 1), les origines militaires du Red Teaming (chapitre 2), le recours au Red Teaming dans la communauté du renseignement (chapitre 3) et dans les agences de la sécurité intérieure américaine (chapitre 4), puis dans le secteur privé (chapitre 5) avant de conclure par une rapide prospective du Red Teaming (chapitre 6). Ces différents permettent de considérer les Red Teams des war games de l’US Army aux hackeurs de la Silicon Valley en passant par la traque d’Oussama Ben Laden.

Dans l’introduction, l’auteur fait remonter l’origine de cette méthode à l’Avocat du diable, « Promotor Fidei » devenu « Advocatus Diaboli », statut historique créée par le pape Grégoire IX en 1234 afin de maîtriser l’inflation des béatifications et des canonisations au sein de l’Eglise catholique. Un membre du Vatican spécialement formé et ayant passé avec succès un examen ad hoc avait pour rôle de contester systématiquement tout dossier devant la commission compétente, qui remontait ensuite au Pape son analyse.

Il décrit ensuite les trois grandes catégories de Red Teams. En premier, les simulations, c’est-à-dire la modélisation du comportement de l’organisation dans une situation anticipée où il faut identifier la volonté, les motivations, les capacités de leurs opposants et en déduire les interactions. En deuxième, les enquêtes de vulnérabilités (« vulnerability probes ») sont des tests de sécurité menés de façon impromptue basés sur les capacités et les motivations d’ennemis. Ils peuvent être menés par des agents internes (le Government Accountability Office ou GAO, équivalant de la Cour des Comptes aux Etats-Unis) ou externes (des hackers plus ou moins bien intentionnés). Enfin, en troisième, les analyses alternatives ont pour objectif de dépasser les biais cognitifs sus-évoqués.

Pour ce faire, les Red Teams recourent à des experts, analystes, fonctionnaires qui n’ont pas participé au processus de décision initiale afin de ne pas être limité par la culture institutionnelle et les préférences individuelles de l’organisation ayant recours à elles.

Le premier chapitre est consacré aux critères de la réussite des Red Teams. Il fait commencer l’ouvrage par une partie théorique dont l’objectif est de dégager les grands principes qu’on retrouvera dans les exemples déroulés tout au long de l’ouvrage. Ces critères sont au nombre de six. (1) En premier et en plus important, le chef qui a décidé d’y avoir recours doit adhérer au projet de la Red Team, c’est-à-dire (i) qu’il reconnaisse qu’il y ait les vulnérabilités de son organisation, (ii) qu’il accorde les ressources matérielles et humaines (notamment ne pas recourir qu’à des personnes marginalisées) nécessaires à la Red Team, (iii) qu’il garantisse la protection de la Red Team, afin que ses membres ne craignent pas de de rétorsion et (iv) qu’il assume de prendre des décisions en conséquence des analyses apportées par la Red Team. (2) La Red Team doit avoir un mandat clair, être intégrée et consciente de son environnement institutionnel tout en réussissant à maintenir une distance et à conserver son objectivité. Ainsi, ses membres doivent avoir conscience de la culture institutionnelle, de sa raison d’être et de son fonctionnement. Le pire des scénarios étant d’humilier l’organisation voire de la briser. (3) les membres de la Red Team doivent allier le scepticisme requis pour remettre en question les choix de l’organisation tout en maniant la finesse afin de ne pas monter contre elle ses dirigeants et employés. Ainsi, ils doivent être fermes, rapides et empathiques afin de collecter des données et dire la vérité. L’auteur met en avant la nécessité de posséder d’excellente qualité rédactionnelle, notamment afin de mettre en récit les analyses. Généralement, les membres d’une Red Team ne passe pas plus de deux ans en son sein. (4) La Red Team doit conserver une marge d’action afin d’être imprévisible et ne pas être submergé par l’organisation. Il est nécessaire que l’équipe possède « a big bag of tricks » afin de conserver l’élément de surprise lors des tests. (5) La Red Team doit être prête à remettre en cause toute stratégie, toute planification et toute procédure de l’institution : elle doit faire accepter les mauvaises nouvelles. (6) Enfin, il ne faut pas trop avoir recours à des Red Teams afin de ne pas déstabiliser l’organisation visée. L’auteur évoque plus loin dans l’ouvrage la durée idéale d’une fois tous les cinq ans, au moment du choix de grandes orientations stratégiques ou pour un événement particulier.

Les critères de l’échec d’une Red Team sont : (1) qu’une seule personne se consacre à cette tâche, (2) que ses conclusions soient détournées pour atteindre un autre objectif, (3) que la Red Team soit chargée de décider à la place des décideurs à qui elle était sensée uniquement apporter une autre perspective sur leur planification, (4) que la Red Team rue dans les brancards en ignorant les structures, la culture et les procédures de l’institution, et (5) que les décideurs n’aient pas confiance en la Red Team. Les raisons de l’échec des Read Teams sont de deux ordres : soit elles n’ont pas accès à l’information requise, soit elles ne sont pas écoutées. L’auteur conclut sur la nécessité principale à ses yeux : que le chef adhère (« the Boss must buy in »).

Après cette déclinaison des grands principes du « Red Teaming », le chapitre 2 analyse les origines militaires de ce type de dispositif, en évoquant les enjeux stratégiques, humains et budgétaires de l’emploi des forces armées. Si on peut faire remonter la pratique du « Red Team » aux War Games prussiens de la fin du XIXe siècle, les Etats-Unis ont vécu plusieurs expérimentations formalisées, dont la première remonte à la guerre froide, lorsqu’une équipe devait analyser un projet militaire et industrielle contre l’URSS dans les années 60. L’armée est une institution porteuse de valeurs fortes partagées par tous ses membres et à la hiérarchie rigide, ce qui rend l’analyse du Red Teaming en son sein pertinent au vu de son objectif de contourner les biais que ces caractéristiques emportent. L’auteur revient sur les échecs successifs de l’armée américaine : la guerre du Viet Nam, l’opération ratée de sauvetage des otages à Téhéran en 1980, etc. Le chef d’Etat-major des armées Schoomaker de 2003 à 2007, ancien de la célèbre Delta Force, tenta de développer l’esprit critique dans son institution, notamment face aux conséquences de l’invasion de l’Irak et surtout des décisions catastrophiques prises malgré les nombreuses mises en garde par des analystes, toutes ignorées. Pour cela, il poussa à l’adoption de Red Team dans les états-majors en Irak et à la création de la University of Foreign Military and Cultural Studies. Celle-ci axe ses enseignements autour de quatre fondamentaux : 1) la pensée critique (« critical thinking»), 2) l’atténuation du phénomène de la pensée de groupe (« groupthink mitigation»), 3) l’empathie culturelle (« cultural empathy ») et 4) la conscience de soi (« self-awareness »). Cette université a une bonne évaluation de ses enseignements par ses étudiants, dont des étrangers et des membres non-militaires venus des administrations américaines.

Sont ensuite présentés plusieurs exemples. Il y a tout d’abord celui de l’adoption de la doctrine de l’armée américaine de 2012 qui fut soumis à une Red Team de huit personnes, quatre officiers et quatre civils. Si ce dispositif fut adopté tardivement pour impacter en profondeur le document final, il permit, par la pertinence des exercices organisés, de promouvoir ce type de procédure. Pendant ceux-ci émergèrent de meilleures options en faisant tomber les inhibitions liées aux différences de grades et d’expérience. Est évoqué le cas du Général James Amos, commandant du Marine Corps, qui affronta de grandes difficultés à l’instauration d’une culture de la Red Team dans cette branche de l’US Army, notamment du fait des résistances face à l’excès de confiance (« overconfidence ») des officiers et de la crainte pour la cohésion des troupes face à l’expression d’avis divergents.

On retiendra surtout de ce chapitre l’exemple stupéfiant du Millenium Challenge 2002, exercice grandeur nature à 20% et de simulation par ordinateur 80%, devant incarner la révolution dans les affaires militaires. Pendant celui-ci, le Lieutenant-Général Van Riper devait diriger une « Red Team » ressemblant aux forces irakiennes ou iraniennes face à une armée américaine équipée du tout technologique, dont certains équipements qui ne seraient même pas à disposition à l’époque du scénario fictif (2007). Van Riper se fonda sur la doctrine de la préeemption (« preemption doctrine ») pour anticiper et surprendre son ennemi en… frappant avant d’être frappé, saturant les radars, détruisant dix-neuf navires américains dans les cinq à dix premières minutes de l’exercice, dont le porte-avion et de nombreux croiseurs et cinq navires amphibies. Sans revenir sur tout l’exercice, d’où Van Riper décida de se retirer face aux triches de la « Blue Team » (notamment qu’il lui soit interdit d’avoir recours à des armes chimiques à sa disposition ou que des unités qu’il avait détruites soient ressuscitées), cet exercice permit à de nombreux participants de réaliser l’intérêt de ce type d’aide à la prise de décision.

Dans une dernière section de ce chapitre, l’auteur revient sur les exemples étrangers. Il évoque la Red Team de l’armée israélienne créée après la guerre du Kippour et dont le surnom est « Mahleket Bakara », qui se traduit par « il s’avère que l’inverse était vrai ». Elle partage ses analyses aux chefs politiques, militaires et des commissions pertinentes parlementaires. Il évoque ensuite le cas au Royaume-Uni de la Red Team du Defence’s Developments, Concepts and Doctrine Centre qui assume le même rôle. Celle-ci a dégagé plusieurs critères pour la réussite d’une Red Team : (i) qu’elle puisse briefer un officier supérieur, (ii) qu’elle produise une analyse de qualité à l’objectivité renforcée et (iii) qu’elle agisse dans les temps, une analyse fournie en retard n’étant d’aucune utilité. Enfin, il évoque la cellule rattachée au Commandant à la Transformation de l’OTAN qui répand la culture de la Red Team parmi les alliés des Etats-Unis.

Le chapitre conclut en évoquant le besoin aussi bien pour les Etats-Unis que pour l’OTAN d’une analyse de qualité afin d’améliorer les processus de décisions, ce malgré la permanence de résistance du fait du conservatisme de l’institution et de sa hiérarchie.

Dans le troisième chapitre sur la communauté américaine du renseignement, la crise du 11 septembre 2001 et les échecs sur les armes de destruction massive en Irak marquent d’entrée de jeu la nécessité d’une meilleure évaluation des menaces pour les dix-sept agences du renseignement américain dont le budget est de 72 milliards de dollars par an.

Les biais communs dans le milieu du renseignement recensés sont (i) la surestimation de la probabilité que se produise un événement à fort impact, (ii) la socialisation des analystes, ce qui les poussent à en venir aux mêmes conclusions que leurs collègues et provoque le défaut de l’homogénéisation de leurs rapports, et (iii) leur tendance à se sur-spécialiser, ce qui provoque un manque en généralistes capables de prendre du recul et à ne pas promouvoir la remise en question.

Dans le domaine du renseignement, les défauts identifiés sont de deux types. Les organisations ont pour défaut de provoquer (i) la segmentation, c’est-à-dire à prévenir le transfert d’information entre ses branches, et (ii) le manque de coordination, ce qui se traduit par des rapports arrivant à ses décideurs qui sont le fruit de la synthèse de la production de ses différentes branches dont les avis marginaux ont été effacées et qui ont tendance à reprendre les rapports antérieurs. A l’inverse, les décideurs sont au contraire souvent déçus par la production « mainstream » et à sont à la recherche d’avis divergents (« rough edges »).

Le premier exemple décrit est celui de la définition du National Intelligence Estimate, document général diffusés auprès de tous les décideurs. En 1974, une équipe secondaire fut montée (Team B en plus de la Team A), mais sa composition était orientée afin de fournir un avis politique prédéfinie et son mandat n’était pas clair. Cet exemple inhiba toute initiative de ce type jusqu’au choc du 9/11. Ses effets furent ressentis même lors du début des négociations avec l’Iran sur le nucléaire en 2009.

Le deuxième est celui du bombardement de la pharmacie d’Al Shifa en 2000 suite aux attaques contre les ambassades américaines en Tanzanie et au Kenya par Al Qaeda. Une équipe resserrée de décideurs en faveur d’une rétorsion violente ignora les doutes émis par de nombreux analystes, ce qui mena à bombarder entre autres cibles une installation civile non liée à Al Qaeda, et réduisit à néant la réaction des Etats-Unis.

Après le 9/11, une cellule rouge (« red cell ») fut créée pour remettre en question les analyses habituelles. Les analystes recrutés doivent être bons rédacteurs, disposés d’une bonne culture et connaître les codes sociaux de la CIA. Ils disposent d’un mandat entre deux mois et deux ans afin de garantir la fraîcheur de la red cell et que, par la suite, ils diffusent la culture de l’analyse alternative. La red cell définit son propre ordre du jour, que ce soit sur des sujets ou sur des zones du monde particulière, donc éloignés de la « tyrannie » du quotidien. Elle se réunit deux fois par an pour envisager les surprises stratégiques, en ouvrant ces sessions à des experts extérieures, universitaires comme fonctionnaires. Parfois, et souvent de manière informelle, un décideur de la communauté du renseignement, de la Maison blanche ou du Congrès demande une analyse sur un sujet en particulier. Son existence fut renforcée par son intégration dans l’Intelligence Reform and Terrorism Prevention Act de 2004. Son existence est aujourd’hui bien établie et son utilité reconnue par tous, même si le risque de son institutionnalisation se fait parfois sentir. L’auteur liste notamment comme défaut la reprise de technique de sites « baitclicks », où les auteurs recherchent plus à attirer l’attention du lecteur qu’à présenter une analyse originale.

Ce chapitre se termine par un retour sur le recours aux red teams lors de la traque d’Oussama Ben Laden et l’identification de sa cache à Abbottabad. Trois furent créées : la première menée par des analystes ayant participé à la recherche de responsables d’Al Qaeda depuis le 9/11, estimaient le taux de réussite de l’analyse à 80-90% (l’analyste plus tard incarnée par le personnage de Maya dans Zero Dark Thirty affirmant une assurance de 100%). La deuxième étaient composée du chef du Counter Terrorism Center de West Point et de quatre analystes extérieurs. Ce fut elle qui souleva l’hypothèse qu’il pouvait s’agir de seigneurs de guerre afghans ou de dealers de drogues saoudiens (les cinéphiles se souviennent sans doute de cette scène, disponible à partir de la page 81 du script du film) et estimèrent entre 50 et 80% de chances la présence d’Oussama Ben Laden. Enfin, une dernière équipe fut mobilisée à la fin du processus autour du National Counter Terrorism Center. Parmi les experts mobilisés, certains avaient vécus l’échec des armes de destruction massives fictives irakiennes. Leur taux de réussite étaient 75%, 60% et 40%. Si le recours aux red teams ne fut pas décisif dans l’établissement de la présence du dirigeant d’Al Qaeda, elle permit à la fois de démontrer la volonté du pouvoir politique américain de ne pas se précipiter et d’avoir envisager toutes les options, donc d’assurer le maximum d’objectivité au processus de prise de décision. Au final, la décision était un pari à 50% d’échec pour 50% de réussite potentiel, pari relevé et gagné. Cet épisode a marqué la communauté du renseignement américain en matière de recours aux Red Teams.

Le chapitre 4 aborde les Red Teams sous l’angle de la sécurité intérieure, la « Homeland Security ». Il revient sur le professeur Sloan, premier chercheur à avoir organisé des simulations de prises d’otages dans les années 70. Ce dernier a établi quatre grands principes pour les simulations : 1) le chef de l’unité concernée doit la soutenir , 2) rien ne vaut des anciens des forces contre-terroristes pour jouer le rôle des terroristes et faire preuve d’imagination afin de pousser jusque dans leurs limites leurs collègues, 3) la simulation doit mettre en scène les tensions inter-services, 4) pendant le débriefing, il faut insister sur les réussites, les éléments à améliorer et signaler la propension des chefs à ignorer les résultats. Le GAO peut organiser ce genre d’exercice, tout comme les administrations peuvent avoir recours à des prestataires extérieurs.

L’auteur décrit les échecs de la Red Team chargée de tester la sécurité des aéroports qui depuis le début des années 1990 a alerté sur les failles de la sécurité des aéroports américains, et qui ne fut considéré qu’après le 9/11. Il évoque cependant la prise de conscience autour des risques d’attaques au MANPADS (lanceur de missiles sol-air individuel) suite à l’attentat en 2002 contre un avion israélien au Kenya. La Direction of Homeland Security a été chargé de ce dossier par l’IR&TPA et a mené des analyses en lien avec les plus grands aéroports. Dès lors, des plans ont été établies en cas de d’alerte pour que les forces de sécurité se concentrent sur les potentiels lieux de tir et les axes routiers par lesquels chercheraient à s’enfuir les assaillants.

Il décrit ensuite les conséquences de la fusillade de Bombay en Inde en 2008, pendant laquelle il y eut une attaque multi-sites sous formes de fusillades et d’explosifs visant une gare, des hôtels, des cafés d’occidentaux et un centre juif, sur les entraînements des forces de sécurité intérieure. Les terroristes étaient liés à un mouvement islamiste basé au Pakistan. La police mit 28 heures à réagir puis 30h pour mettre fin aux opérations. Dès la conclusion, des agents de la police de New York (NYPD) ont entamé des opérations d’enquêtes. Une simulation sur ce modèle se tint à New York, permit de mettre à jour des failles et de les corriger, notamment sous forme d’apport en armes dans plusieurs sites, la reconnaissance des lieux pouvant être pris pour cibles et l’entraînement du maximum d’effectifs possibles. Ces simulations, présidées par le maire, visent à déstabiliser les responsables des différents services, publics comme privés, les pousse à collaborer et permet de déterminer des améliorations à mettre en œuvre. Le lecteur français ne pourra s’empêcher de penser aux auditions devant la commission parlementaire relative aux attentats du 13 novembre 2015 à Paris, notamment celle du Général d’armée Denis Favier (lien).

Dernier cas d’étude du chapitre, l’Information Design Assurance Red Team travaille sur les installations nucléaires américaine. Créée en 1996, elle recherche pour accomplir son mandat des profils non-orthodoxes, disposant d’une grande expertise sans être conventionnels dans leurs raisonnements et prêts à mettre au point des scénarios moralement répréhensibles. Elle fut parfois sollicitée par des institutions financières. Les résultats qu’elle constate sont : 1) provoquer un choc à la découverte des risques non prévus encourus, 2) déclencher une phase de réactions et 3) que le travail de la Red Team permet de couvrir les responsables en cas de failles ultérieurs en démontrant que les responsables avaient pris toutes les mesures nécessaires pour les éviter.

Le Chapitre 5 se concentre sur les acteurs privés, notamment dans le domaine cyber. Deux types principaux de Red Team y existent : les war games comprenant des surprises et les tests de cyber sécurité. Ce genre d’exercice est plus particulièrement prisé dans les cas de lancement de nouveaux produits, lorsqu’une entreprise a vécu une catastrophe et/ou qu’un nouveau dirigeant veut se distinguer vis-à-vis de son prédécesseur. Les tests menés sont de trois sortes : 1) black box : le(s) hacker(s) n’a aucune information sur l’entreprise sauf le nom du site, 2) white box : le(s) hacker(s) a accès à toutes les informations et réseaux de l’entreprise, et 3) grey box : le(s) hacker(s) a accès à un nombre limité d’information délimité par l’entreprise. Les tests provoquent généralement de la frustration car ils démontrent toujours des failles et les employés savent que les directeurs ne mettront jamais le budget requis pour résoudre les problèmes. Ceux-ci auraient pour particularité d’avoir trop confiance en eux et de considérer leur entreprise comme le centre du monde sans considérer leur environnement.

A travers les différents exemples exposés, plusieurs enseignements ressortent. Les risques dans le milieu cyber ont vocation à augmenter du fait de l’apparition des objets connectés (« internet of things ») et de l’augmentation du nombre de personnes compétentes en hacking. Quand les entreprises ont recours à des Red Teams, elles ont tendance à limiter leur mandat par crainte de la découverte de failles qui surviennent toujours. Il reste extrêmement facile d’entrer physiquement dans des zones sécurisées avec du bagou et un peu de préparation à la portée du premier venu. Le triptyque white / grey / black hackers est assez peu pertinente puisque des hackers bien intentionnés peuvent tenter de chercher des failles sur le temps libre et décider ou non de les revendre sur le marché noir ou de les révéler à l’entreprise concernée. Les plus grandes failles ne sont généralement pas rendus publiques, que ce soit du fait de leur revente sur le marché noir – bien plus lucratif que la reconnaissance par la communauté des hackers –, que de l’intérêt pour une entreprise à masquer ses failles en terme de réputation.

En conclusion du chapitre, les limites au recours aux Red Teams dans le secteur privé sont qu’elles ne fournissent pas de retour sur investissement immédiat ni qu’il ne peut être démontré qu’elles soient immédiatement nécessaires. En ce qui les concerne, les entreprises ont des difficultés à accepter ce type d’exercice du fait de leur hiérarchie et des pathologies institutionnelles évoquées supra, qui bloquent l’honnêteté et les possibilités de discussions. De leur côté, les tests de pénétrations peuvent être problématiques : si l’entreprise y a trop recours, elle risque de provoquer des ralentissements dans les temps de développements, de mettre à mal le fonctionnement du système et sa profitabilité. Si elle n’y a pas recours, au contraire, elle permet à ses failles d’atteindre son fonctionnement voire la viabilité de l’entreprise.

Le chapitre 6 est l’occasion faire le bilan de l’ouvrage et de se projeter dans le futur des Red Teams à partir des cas étudiés. Tout d’abord, les conclusions qu’on peut en tirer et qu’elles permettent dans tous les cas de produire deux types de gains : tout d’abord, elles permettent des découvertes qui n’auraient jamais été produites à cause des limitations structurelles ou culturelles. De plus, même si la Red Team est un échec, elle permet de faire ressortir les valeurs et processus de production des idées de l’institution.

Les grandes erreurs en matière de Red Team sont au nombre de cinq.

  • Désigner une personne pour jouer le rôle de Red Team alors qu’elle n’en a pas forcément les capacités ;
  • Le décideur ne doit pas reproduire ipso facto les analyses de la Red Team mais doit mettre en perspective les résultats produits ;
  • Le processus de Red Team doit se faire avec le consentement de l’organisation visée, l’inverse pouvant produire plus de mal que de bien ;
  • L’attitude des membres de la Red Team ne doivent pas braquer l’organisation dans leur recommandation et dans leur communication (« don’t shoot the messenger») ;
  • Les Red Teams ne doivent pas se substituer aux pouvoirs décisionnaires de l’organisation, sans quoi elles provoqueront des résistances.

L’auteur fait une liste de recommandations à destination des décideurs. Celles-ci sont 1) de soumettre les grandes décisions à une Red Team ; 2) de recenser et d’analyser les différentes expériences de Red Team jusqu’à aujourd’hui dans l’administration, pourquoi pas en ayant recours à la commission de contrôle de l’administration du Congrès ; 3) de répandre la culture en matière de Red Team dans l’administration ; 4) d’initier un effort particulier d’analyse des retombées de huit ans d’enseignement des processus de Red Team dans l’armée à travers l’UFMCS et la Marine Corps University, notamment pour déterminer l’impact sur les carrières de ceux qui ont suivi ces enseignements. Enfin, 5), il faut conserver à l’esprit que l’exercice de Red Team requiert d’avoir recours à des personnalités particulières et non des personnes voulant simplement vivre une expérience originale dans leur carrière.

L’ouvrage se conclut sur une prospective des grandes orientations qui attendent le processus Red Team. Tout d’abord, le développement de l’informatique va sans doute provoquer l’apparition de Red Teaming automatisé. Ceci apparaît peu pertinent puisqu’un des facteurs importants des Red Teams est de communiquer, notamment par une mise en récit (« narrative »), sur les failles de l’organisation concernée. Pour l’auteur, le facteur déterminant reste l’existence de chefs qui souffriront toujours des mêmes biais et auront toujours besoin de Red Teams pour adopter une autre perspective sur les problèmes.

D’après une des personnes rencontrées, « Red Teaming est juste du bon sens depuis une autre perspective ». Ce n’est pas la solution miracle, mais cela peut aider dans des situations particulièrement importantes.

Si le style de l’ouvrage peut paraître décontenançant dans sa narration, rythmée d’anecdotes au milieu desquelles ressortent au détour d’un paragraphe des éléments pertinents de généralisation, le premier chapitre est une boussole bienvenue qui permet d’avoir en tête les grands principes pour comprendre où veut nous mener l’auteur. En creux de ces fameuses Red Teams ressort tout un ensemble d’institutions, de bureaucraties que l’ouvrage éclaire en plus de traiter son sujet. Il est frappant de constater à quel point les travers établis dès le début de l’ouvrage se retrouvent à travers les études de cas dans chacune, qu’elle soit militaire, relative aux activités de renseignement, de sécurité nationale, administrative ou économique. Il est d’ailleurs bienvenu que le chapitre sur les Red Teams dans le domaine militaire s’ouvre à des cas non-américains. Cela souligne des besoins équivalents à l’étranger et la migration des concepts, en évoquant la reprise des doctrines américaines via l’enseignement américain des élites militaires étrangères et l’OTAN comme source d’inspiration pour les alliés des Etats-Unis. A l’heure où la recherche en France se tourne de plus en plus résolument vers les études stratégiques et de sécurité, la lecture de ce livre se révèle plus que pertinent pour quiconque s’intéresse au fonctionnement des institutions dans les domaines de sécurité et de défense (armée, renseignement, forces de sécurité intérieure) autant qu’économique.

Thibault Delamare. Institut Louis Favoreau. Aix-Marseille Université. 

Advertisements

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s