Un blue teamer est un professionnel cyber de la famille défensive chargé de détecter, investiguer et répondre aux attaques contre les systèmes d'information qu'il protège. Le terme « blue teamer » est générique et couvre six métiers distincts : SOC Analyst L1/L2/L3, threat hunter, DFIR analyst, detection engineer, incident responder. Le blue team représente environ 80 % des offres cyber en France (ratio 4:1 vs offensif selon Apec 2023-2024), ce qui en fait la famille de métiers cyber la plus accessible en volume pour les profils en reconversion. Contrairement au red team qui opère en missions ponctuelles cadrées, le blue team fonctionne en 24/7 opérationnel avec SIEM, EDR, SOAR et threat intelligence. Salaires juniors 32-55 k€ bruts en SOC L1 jusqu'à 50-65 k€ en DFIR junior, progression senior 85-115 k€ selon spécialité. Cet article détaille la définition précise du blue teamer, la distinction avec red team et purple team, les six métiers principaux, la stack d'outils défensive, le quotidien opérationnel, la trajectoire salariale et le profil qui réussit dans ces rôles.
1. Définition précise : qu'est-ce qu'un blue teamer ?
Le « blue team » est une métaphore issue du vocabulaire militaire : dans un exercice de sécurité, le blue team défend, le red team attaque. Appliqué à la cybersécurité opérationnelle, le blue teamer est le défenseur permanent d'un périmètre donné.
Trois caractéristiques structurantes du blue team
-
Opération permanente 24/7 : contrairement au pentest qui mène des missions de 5 à 15 jours ponctuelles, le blue team travaille en continu. Les grands SOC français fonctionnent en 3x8 (trois équipes de shift de 8 heures) ou 2x12 (deux équipes de 12 heures) pour couvrir toutes les heures de l'année.
-
Focus détection et réponse : là où le red teamer cherche à pénétrer, le blue teamer cherche à voir ce qui se passe chez lui (détection) et à contenir ce qu'il voit (réponse). Les outils reflètent cette asymétrie : SIEM, EDR, SOAR, MITRE ATT&CK.
-
Transverse sur toute la surface d'attaque : un blue teamer couvre tous les vecteurs (endpoints, réseau, cloud, applications, identités) à l'inverse du red teamer qui cible un objectif précis. Cette transversalité exige une connaissance large.
2. Blue team vs red team vs purple team : clarifications
Ces trois termes provoquent fréquemment des confusions en entretien. Clarification opérationnelle.
| Équipe | Rôle | Métiers associés | Tempo |
|---|---|---|---|
| Red team | Attaque (simulée ou réelle) | Pentester, red team operator, vulnerability researcher, reverse engineer | Mission ponctuelle (jours à mois) |
| Blue team | Défense (permanente) | SOC L1/L2/L3, threat hunter, DFIR, detection engineer, incident responder | 24/7 opérationnel |
| Purple team | Coordination des deux | Purple team coordinator, adversary emulation engineer | Continue, transverse |
Le purple team n'est pas un 3e métier distinct mais une discipline collaborative : red et blue teams travaillent ensemble pour améliorer la posture défensive en simulant des attaques ciblées et en validant les détections associées. Grande entreprise avec équipe red + équipe blue = purple team qui coordonne. PME sans red team interne : purple team géré par un red team externe ponctuel (ESN offensive) coordonné avec le SOC interne.
Pour les fiches détaillées des métiers red team, voir Qu'est-ce qu'un pentester ? Fiche métier complète et Qu'est-ce qu'un reverse engineer ? Fiche métier.
3. Les six métiers blue team principaux
Le « blue team » est une famille de métiers, pas un métier unique. Six rôles distincts avec compétences, salaires et trajectoires différenciés.
| Métier blue team | Rôle principal | Salaire junior IDF (brut) | Évolution senior (brut) |
|---|---|---|---|
| SOC Analyst L1 | Tri alertes SIEM, escalade | 38-48 k€ | 45-55 k€ avant bascule L2 |
| SOC Analyst L2 / L3 | Investigation approfondie | 48-65 k€ (L2) / 65-95 k€ (L3) | Vers threat hunter ou DFIR |
| Threat Hunter | Chasse proactive de compromissions | 55-75 k€ junior | 80-110 k€ senior |
| DFIR Analyst | Forensique post-incident | 50-68 k€ junior | 85-115 k€ senior |
| Detection Engineer | Écriture règles SIEM/Sigma/YARA | 55-72 k€ junior | 80-110 k€ senior |
| Incident Responder senior | Coordination de crise | — (métier senior) | 85-125 k€ |
SOC Analyst L1 — la porte d'entrée blue team
Tri des alertes SIEM premier niveau, escalade au L2 si confirmation, documentation dans le ticketing. Poste typiquement accessible depuis support IT (voir Quel métier cyber viser quand on vient du support IT ?). Travail en shift 24/7 fréquent chez les MSSP.
SOC Analyst L2 et L3 — investigation et détection engineering
Investigation approfondie des alertes escaladées par le L1. Écriture de règles de détection personnalisées. Prise en charge des incidents de niveau moyen à élevé. Le passage L1 → L2 est la première bascule senior et marque un salaire significativement différent.
Threat Hunter — chasse proactive
Va au-delà de la détection automatique : recherche des indicateurs de compromission non détectés par les règles existantes. Utilise la threat intelligence externe (CTI), les hypothèses issues de MITRE ATT&CK, les logs cross-sources (SIEM, EDR, proxy, DNS). Métier de plus en plus demandé en 2026 avec la maturation des SOC.
DFIR Analyst (Digital Forensics and Incident Response)
Intervient post-incident avéré pour investigation approfondie : analyse disque (Autopsy, FTK), analyse mémoire (Volatility, Rekall, MemProcFS), analyse réseau (capture PCAP, reconstruction session), timelining multi-sources. Peut être appelé en crise à toute heure (astreinte fréquente). Spécialité très technique avec valeur marché élevée.
Detection Engineer
Rôle émergent depuis 2020-2022 : spécialiste dédié à l'écriture, maintenance et optimisation des règles de détection (SIEM SPL / KQL / Elastic, Sigma, YARA, rules EDR). Travaille en lien étroit avec threat hunter et red team pour valider les détections. Demandé dans les grandes équipes SOC matures (banques, OIV).
Incident Responder senior
Coordonne la réponse en cas d'incident cyber majeur (ransomware, exfiltration, compromission de domaine). Travaille avec DFIR analysts, équipes juridiques, communication de crise, ANSSI CSIRT si concerné. Rôle senior (5+ ans d'expérience), pas un poste junior.
4. La stack d'outils défensive
SIEM (Security Information and Event Management)
Plateforme centrale du SOC. Les dominants en France 2026 :
- Splunk (leader historique, payant cher)
- Microsoft Sentinel (cloud-native Azure, forte croissance FR)
- Elastic Security (open source + offre commerciale)
- Chronicle / Google Security Operations (cloud-native Google)
- Wazuh (open source, XDR)
EDR / XDR (Endpoint Detection and Response)
Agent déployé sur chaque endpoint (poste, serveur) pour détection et containment local :
- CrowdStrike Falcon (référence marché enterprise)
- Microsoft Defender for Endpoint (intégré Microsoft 365 E5)
- SentinelOne (challenger important)
- Cortex XDR (Palo Alto)
- Trend Micro Vision One
SOAR (Security Orchestration, Automation, Response)
Automation des réponses aux alertes récurrentes :
- Splunk Phantom (Splunk SOAR)
- Microsoft Sentinel Playbooks (natif Sentinel)
- Tines (SOAR moderne sans code)
- Cortex XSOAR (Palo Alto)
Threat Intelligence
Collecte et enrichissement des IOCs externes :
- MISP (open source, référence communautaire)
- ThreatConnect, Recorded Future, Anomali (commercial)
- VirusTotal (enrichissement IOCs)
- AbuseIPDB, AlienVault OTX (sources gratuites)
Forensics
Outils d'analyse post-incident :
- Autopsy, FTK (disque)
- Volatility, Rekall, MemProcFS (mémoire)
- Wireshark, tshark, Arkime (réseau)
- plaso / log2timeline (timelining)
Référentiel central : MITRE ATT&CK
Tous les métiers blue team utilisent quotidiennement MITRE ATT&CK pour classifier les techniques adversariales observées dans les alertes. Maîtriser sa navigation (matrices Enterprise, Mobile, ICS) est un prérequis junior quel que soit le rôle.
5. Le quotidien opérationnel d'un blue teamer
Exemple concret de requête KQL (Kusto Query Language) sur Microsoft Sentinel, représentative du travail d'un SOC L2 — détection d'impossible travel (connexion depuis deux pays géographiquement incompatibles) :
// Microsoft Sentinel KQL - Detection d'impossible travel
// Connexion utilisateur depuis deux pays differents en moins d'1 heure.
SigninLogs
| where TimeGenerated > ago(24h)
| where ResultType == 0 // authentification reussie uniquement
| where isnotempty(LocationDetails)
| project TimeGenerated,
UserPrincipalName,
IPAddress,
Country = tostring(LocationDetails.countryOrRegion),
City = tostring(LocationDetails.city)
| sort by UserPrincipalName asc, TimeGenerated asc
| extend PrevTime = prev(TimeGenerated),
PrevCountry = prev(Country),
PrevUser = prev(UserPrincipalName)
| where UserPrincipalName == PrevUser
| where Country != PrevCountry
| extend TimeDiffMinutes = datetime_diff('minute', TimeGenerated, PrevTime)
| where TimeDiffMinutes < 60
| project
UserPrincipalName,
FirstSignin = PrevTime,
FirstCountry = PrevCountry,
SecondSignin = TimeGenerated,
SecondCountry = Country,
MinutesBetween = TimeDiffMinutes
| sort by SecondSignin descCette requête illustre le travail quotidien du SOC L2 et du detection engineer : identifier des patterns comportementaux suspects, écrire des règles qui les détectent, tuner pour réduire les faux positifs (exemple : exclure les utilisateurs avec VPN ou voyage validé HR).
Répartition d'une journée type en SOC L2
| Activité | Pourcentage du temps |
|---|---|
| Triage et investigation des alertes escaladées par L1 | 40-50 % |
| Écriture et tuning de règles de détection | 15-20 % |
| Threat hunting proactif sur hypothèses | 10-15 % |
| Coordination avec équipes IT, RSSI, externe (ESN) | 10-15 % |
| Documentation incidents et retours d'expérience | 5-10 % |
| Veille CTI (Cyber Threat Intelligence) | 5-10 % |
Pour les DFIR analysts, la répartition change significativement en période d'incident (100 % du temps sur l'investigation en cours). En période calme : construction de playbooks, formation, amélioration d'outils internes.
6. Salaires et trajectoires de carrière
Trajectoire SOC classique
| Niveau | Expérience | Salaire brut annuel (province) | Salaire brut annuel (IDF) |
|---|---|---|---|
| SOC L1 junior | 0-2 ans | 32-42 k€ | 38-48 k€ |
| SOC L2 | 2-4 ans | 45-58 k€ | 48-65 k€ |
| SOC L3 senior | 4-7 ans | 58-80 k€ | 65-95 k€ |
| SOC Manager | 7+ ans | 75-100 k€ | 85-120 k€ |
| Head of SOC | 10+ ans | 95-135 k€ | 110-160 k€ |
Trajectoires spécialisées
| Spécialité | Junior (0-2 ans) | Senior (4-7 ans) | Niveau senior+ (7+ ans) |
|---|---|---|---|
| Threat Hunter | 55-75 k€ IDF | 80-110 k€ | Lead 110-140 k€ |
| DFIR Analyst | 50-68 k€ IDF | 85-115 k€ | Principal 115-150 k€ |
| Detection Engineer | 55-72 k€ IDF | 80-110 k€ | Lead 110-140 k€ |
| Incident Responder senior | — | 85-125 k€ | Head IR 120-160 k€ |
| CSIRT Analyst secteur public | 42-55 k€ IDF | 65-90 k€ | Direction CERT 100-140 k€ |
Fourchettes Apec Cadres Cybersécurité 2023-2024, Numeum, LinkedIn Salary France. Les MSSP offrent souvent des salaires junior légèrement inférieurs mais une progression plus rapide par accumulation d'expérience diverse sur de nombreux clients.
Certifications blue team
| Certification | Éditeur | Coût | Niveau | Pertinence FR |
|---|---|---|---|---|
| CompTIA Security+ | CompTIA | ≈ 400 € | Entrée | Très forte (passage marché) |
| CompTIA CySA+ | CompTIA | ≈ 420 € | SOC analyst | Forte |
| Microsoft SC-200 (Security Operations) | Microsoft | ≈ 165 $ | SOC Microsoft | Forte |
| GIAC GCIA (Intrusion Analyst) | SANS / GIAC | ≈ 949 $ | SOC L2/L3 | Forte |
| GIAC GCIH (Incident Handler) | SANS / GIAC | ≈ 949 $ | Incident response | Forte |
| GIAC GCFA (Forensic Analyst) | SANS / GIAC | ≈ 949 $ | DFIR | Très forte |
| GIAC GCFE (Forensic Examiner) | SANS / GIAC | ≈ 949 $ | DFIR | Forte |
| GIAC GCTI (Cyber Threat Intelligence) | SANS / GIAC | ≈ 949 $ | Threat Intel | Moyenne-forte |
| BTL1 (Blue Team Level 1) | Security Blue Team | ≈ 500 € | Entrée blue team | Moyenne (croissante) |
Ordre recommandé junior : CompTIA Security+ → CySA+ ou SC-200 selon stack → GIAC GCIH à 2-3 ans pour la montée senior. DFIR spécialisé : GCFA à 3-5 ans.
7. Pour qui le blue team convient-il ?
Traits qui fonctionnent en blue team
- Tolérance aux alertes en volume : un SOC L1 trie 50-300 alertes par jour, 80-90 % sont du bruit. Ne pas se laisser noyer.
- Rigueur investigative : suivre une piste, documenter les hypothèses, exclure systématiquement les fausses pistes.
- Coopération et communication : travail en équipe sur incidents, coordination avec red team (purple team), reporting à direction.
- Acceptation du tempo 24/7 : shifts nocturnes et week-ends fréquents les premières années (sauf contextes senior ou équipe mature).
- Goût pour MITRE ATT&CK : référentiel central, utilisé quotidiennement.
Traits qui signalent un mauvais match
- Mauvaise tolérance aux alertes répétitives.
- Besoin de liberté totale sur l'organisation du temps (le shift impose).
- Préférence marquée pour l'offensif → plutôt pentest ou red team.
- Rejet du travail en équipe constant → plutôt reverse engineering solo.
Bifurcations classiques après 3-5 ans de blue team
- DFIR : spécialisation forensique très valorisée.
- Detection Engineering : écriture de règles full-time en scale-up ou éditeur SIEM.
- Threat Intelligence senior : analyse TTP, attribution, publication de rapports.
- Purple team coordinator : coordination red/blue, adversary emulation.
- Bascule vers RSSI : SOC manager → RSSI adjoint → RSSI. Voir Les étapes pour devenir RSSI.
- Consultant blue team indépendant : TJM 600-1 100 € avec carnet clients constitué.
Pour les profils support IT ou système/réseau qui basculent naturellement vers blue team, voir Quel métier cyber viser quand on vient du support IT ?.
Points clés à retenir
- Blue teamer = famille de métiers défensifs (SOC, threat hunter, DFIR, detection engineer, incident responder), pas un métier unique.
- 80 % des offres cyber FR selon Apec 2024, ratio 4:1 vs offensif. Famille la plus accessible en reconversion.
- Distinction red/blue/purple : red attaque, blue défend en 24/7 opérationnel, purple coordonne les deux.
- Stack d'outils : SIEM (Splunk, Sentinel, Elastic), EDR (CrowdStrike, Defender, SentinelOne), SOAR, Threat Intelligence (MISP), Forensics (Volatility, Autopsy). MITRE ATT&CK comme référentiel transverse.
- Trajectoire SOC classique : L1 (38-48 k€) → L2 (48-65 k€) → L3 (65-95 k€) → Manager (85-120 k€). Bifurcations : DFIR, threat hunter, detection engineer, IR senior.
- Certifications clés : Security+ → CySA+ ou SC-200 → GCIH/GCFA selon spécialité. Ordre structuré, marché lisible.
- Piège à éviter : stagner en SOC L1 au-delà de 3 ans sans plan de progression. Marché perçoit la stagnation négativement.
Pour l'ensemble des métiers cyber avec salaires et accessibilité par profil, voir Les métiers de la cybersécurité : guide complet. Pour comparer avec les métiers red team, voir Qu'est-ce qu'un pentester ? Fiche métier complète. Pour les métiers complémentaires côté construction (DevSecOps) et runtime cloud, voir Qu'est-ce qu'un DevSecOps ? Fiche métier et Qu'est-ce qu'un ingénieur cloud security ? Fiche métier. Pour la bascule depuis profils support IT qui mène le plus naturellement au blue team, voir Quel métier cyber viser quand on vient du support IT ?. L'accompagnement cyber 6 mois propose un parcours blue team structuré avec préparation CompTIA Security+ puis CySA+, labs SIEM et EDR, méthodologie MITRE ATT&CK appliquée.
