Une purple team est une pratique collaborative (et de plus en plus un rôle dédié) qui fait travailler le red team et le blue team en transparence totale pour tester et améliorer les détections en continu. Contrairement à un engagement red team classique qui opère sous stealth sur 4-12 semaines avec objectif de non-détection, un sprint purple team dure 2-5 jours avec exécution transparente de 10-30 techniques MITRE ATT&CK, mesure directe de la détection et ajustement immédiat des règles SIEM. La pratique s'appuie sur une stack outillée dense — Atomic Red Team (Red Canary, 1 300+ tests), CALDERA (MITRE), VECTR (Security Risk Advisors), MITRE ATT&CK Navigator, PurpleSharp, plus Jupyter Notebook pour la documentation — et produit une heatmap de couverture ATT&CK lue par le RSSI. Depuis 2022-2023, un rôle distinct émerge : le Purple Team Engineer ou Purple Team Lead, profil hybride offensif-défensif avec compétences detection engineering. Salaires 2026 : 75-100 k€ confirmé, 100-130 k€ senior, 130-170 k€ Lead. Cet article détaille la définition, la distinction purple/red/blue, la méthodologie d'un sprint, la stack technique, les métriques, les modèles organisationnels, le rôle de Purple Team Engineer et les certifications.
1. Définition et périmètre de la purple team
Définition opérationnelle : une purple team est une pratique qui associe, de manière collaborative et transparente, des compétences offensives (red) et défensives (blue) pour construire, tester et améliorer les capacités de détection d'une organisation. Le nom « purple » vient du mélange rouge plus bleu.
Objectif central : pour chaque technique MITRE ATT&CK testée, produire une règle de détection robuste, valider sa fiabilité, mesurer son délai de déclenchement et documenter la couverture résultante — de façon itérative et reproductible.
Distinction claire avec les autres équipes et pratiques
| Dimension | Red team | Blue team | Purple team |
|---|---|---|---|
| Posture | Offensif | Défensif | Collaboratif offensif-défensif |
| Contrainte principale | Stealth (non-détection) | Couverture et réponse | Transparence et amélioration |
| Horizon | Engagement 4-12 semaines | Opérations continues | Sprints 2-5 jours |
| Livrable | Rapport stealth plus mapping ATT&CK | Incidents investigués, coverage dashboards | Nouvelles règles SIEM, heatmap ATT&CK enrichie |
| Metric de succès | Flags atteints sans détection | MTTD, MTTR, incidents critiques | Techniques détectées sur techniques testées |
2. Méthodologie d'un sprint purple team
Un sprint purple team bien structuré suit une boucle en 6 étapes reproductibles sur 2-5 jours.
- Préparation et scoping : sélection de 10-30 techniques ATT&CK prioritaires selon threat intelligence (acteurs ciblant le secteur), gaps identifiés par red team précédent, ou nouvelles CVE/TTPs publiées.
- Baseline de couverture : cartographie des règles SIEM existantes projetée sur MITRE ATT&CK Navigator (layer JSON annoté).
- Exécution des atomics : pour chaque technique, exécution d'un ou plusieurs tests atomiques (Atomic Red Team, CALDERA, PurpleSharp) dans un environnement contrôlé — lab dédié ou production segmentée.
- Mesure de détection : observation temps réel de l'alerte SIEM, TTD (Time-To-Detect), qualité de l'alerte, champs enrichis suffisants pour l'investigation.
- Tuning et création de règles : pour chaque technique non détectée ou mal détectée, écriture ou ajustement de la règle Sigma/KQL/EQL/SPL. Test de non-régression (volume de faux positifs sur 7-30 jours).
- Documentation et reporting : mise à jour de la heatmap ATT&CK Navigator, création de tickets detection engineering, rédaction du sprint report.
Exemple de plan de sprint purple team (format exploitable en portfolio GitHub public avec données anonymisées) :
# purple-team-sprint-v1.yml
# Plan de sprint purple team - focus FIN7 style emulation.
# Entite fictive : retail B2C 450 salaries, environnement majoritairement Windows AD.
sprint:
identifiant: "PT-2026-Q2-S3"
nom: "FIN7 emulation - initial access plus lateral movement"
duree_jours: 4
date_debut: "2026-05-12"
date_fin: "2026-05-15"
equipe:
red_lead: "Senior red teamer prestataire externe"
blue_leads:
- "SOC L3 interne (SIEM Splunk ES)"
- "Detection engineer senior"
purple_coordinator: "Purple team engineer interne"
environnement: "Lab Windows 11 plus AD 2022 plus Exchange on-premise"
scope: "Hors production, bulle reseau isolee"
threat_intel_reference:
acteur: "FIN7"
motivation: "financier retail"
sources:
- "Mandiant M-Trends 2024"
- "CrowdStrike OverWatch 2024 Threat Hunting Report"
- "MITRE ATT&CK Group G0046 FIN7"
tactiques_ciblees:
- "TA0001 Initial Access"
- "TA0002 Execution"
- "TA0003 Persistence"
- "TA0008 Lateral Movement"
techniques_testees:
- id: "T1566.001"
nom: "Spearphishing Attachment"
atomic: "T1566.001 Atomic Red Team Test 1 plus 2"
execution: "Email avec piece jointe macro Office malveillante"
couverture_baseline: "partielle"
detection_attendue: "Macro Office suspect plus enfant Word vers powershell"
- id: "T1059.001"
nom: "PowerShell"
atomic: "T1059.001 Atomic Red Team Test 3 plus 9 plus 12"
execution: "Execution PowerShell encoded plus execution script download"
couverture_baseline: "bonne"
detection_attendue: "Regle SIGMA powershell_encoded_iex"
- id: "T1547.001"
nom: "Registry Run Keys / Startup Folder"
atomic: "T1547.001 Atomic Red Team Test 1"
execution: "Persistence via HKCU Run key"
couverture_baseline: "absente"
detection_attendue: "A creer - nouvelle regle Sigma"
- id: "T1053.005"
nom: "Scheduled Task / Job"
atomic: "T1053.005 Atomic Red Team Test 1 plus 6"
execution: "Persistence via scheduled task schtasks"
couverture_baseline: "partielle"
detection_attendue: "Regle existante plus enrichissement champs"
- id: "T1003.001"
nom: "LSASS Memory (credential dumping)"
atomic: "T1003.001 Atomic Red Team Test 1 plus 3"
execution: "Mimikatz sekurlsa::logonpasswords plus procdump LSASS"
couverture_baseline: "bonne"
detection_attendue: "Regle Sysmon ID 10 lsass access"
- id: "T1558.003"
nom: "Kerberoasting"
atomic: "T1558.003 Atomic Red Team Test 1 plus 2"
execution: "Rubeus kerberoast plus GetUserSPNs.py"
couverture_baseline: "absente"
detection_attendue: "A creer - event 4769 RC4 hmac requests anormales"
- id: "T1550.002"
nom: "Pass the Hash"
atomic: "T1550.002 Atomic Red Team Test 1"
execution: "Impacket psexec.py avec hash NTLM"
couverture_baseline: "partielle"
detection_attendue: "Event 4624 logon type 3 plus enrichissement"
- id: "T1021.001"
nom: "Remote Desktop Protocol"
atomic: "T1021.001 Atomic Red Team Test 2"
execution: "RDP vers hote interne via compte compromis"
couverture_baseline: "absente"
detection_attendue: "A creer - RDP lateral interne hors patterns normaux"
objectifs_sprint:
coverage_cible_techniques_testees: 0.90
nouvelles_regles_sigma_produites: 3
regles_existantes_tunees: 2
ttd_cible_techniques_critiques_minutes: 15
livrables:
- "Layer MITRE ATT&CK Navigator post-sprint avec techniques annotees"
- "3 regles Sigma nouvelles commitees dans repo detection-rules"
- "Rapport markdown commit dans wiki equipe"
- "Ticket JIRA detection-engineering pour chaque gap restant"
- "Formation blue team 2h sur techniques avancees emulees"3. Stack technique du purple team
| Catégorie | Outils principaux 2026 |
|---|---|
| Exécution atomique | Atomic Red Team (Red Canary, 1 300+ tests), Invoke-AtomicRedTeam PowerShell |
| Adversary emulation automatisée | MITRE CALDERA, PurpleSharp (Mordor, orienté Windows AD), Mordor Framework |
| Campaign management | VECTR (Security Risk Advisors, gratuit Community Edition), AttackIQ, SCYTHE |
| Cartographie | MITRE ATT&CK Navigator (layers JSON), DeTT&CT (open-source mapping) |
| SIEM de détection | Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, Wazuh (open-source), Graylog |
| Endpoint telemetry | Sysmon (avec config SwiftOnSecurity ou Olaf Hartong), EDR (CrowdStrike, SentinelOne, Defender XDR) |
| Detection-as-code | Sigma (SigmaHQ repo), pySigma, Detection Lab, Splunk Research |
| Datasets publics | Mordor Datasets (Cyb3rWard0g), Security Datasets, Insider Threat Test Dataset |
| Documentation | Jupyter Notebook, Obsidian, Confluence, Notion |
| Lab | Detection Lab (Chris Long), GOAD (Game of Active Directory, Mayfly277), Orange Cyberdefense Active Directory Lab |
Stack junior recommandée 2026 (gratuite, montable en 2-3 jours sur une machine 32 Go RAM) : GOAD lab Active Directory plus Splunk Free 500 MB/day plus Sysmon config SwiftOnSecurity plus Atomic Red Team plus VECTR Community Edition plus MITRE ATT&CK Navigator. Production d'un premier sprint purple complet en 2-4 semaines de travail personnel.
4. Métriques de succès
Cinq métriques structurent l'évaluation d'un programme purple team.
| Métrique | Définition | Cible 2026 |
|---|---|---|
| Coverage ATT&CK | Pourcentage de techniques couvertes par ≥ 1 règle de détection | 50-80 % selon maturité |
| Detection rate sprint | Techniques détectées / techniques testées | ≥ 90 % post-sprint |
| Time-To-Detect (TTD) | Délai entre exécution et alerte | inférieur à 15 min techniques critiques |
| False positive rate | Ratio faux positifs sur 7-30 jours | inférieur à 5 % après tuning |
| Confidence level | Validation par 3 sources (positif, négatif, evasion) | 3/3 pour techniques critiques |
Heatmap MITRE ATT&CK Navigator : output canonique d'un sprint purple. Chaque case technique est colorée selon 3 états (rouge = non couverte, orange = partielle, vert = couverte et validée). La heatmap cumulée sur 4-8 sprints par an donne une vision synthétique au RSSI. Voir Qu'est-ce qu'un RSSI pour le rôle commanditaire qui pilote cette vision.
5. Les trois modèles organisationnels
| Modèle | Structure | Typique de | Avantages | Limites |
|---|---|---|---|---|
| 1 — Mandat ponctuel | Sprint lancé ad hoc, red et blue existants | PME, ETI, primo-adoptants | Souplesse, coût faible | Pas de continuité, dépendance au vouloir-faire |
| 2 — Rôle rotatif | Un senior (red ou blue) assure le lead purple 1-2 sprints par an | ETI, grands groupes débutants | Montée en compétences progressive | Charge supplémentaire sur des profils déjà tendus |
| 3 — Équipe dédiée | 2-8 Purple Team Engineers permanents | Grands groupes matures, secteurs régulés | Continuité, coverage progressive | Coût structurel, rareté des profils |
Le modèle 3 se généralise dans les grands groupes français depuis 2023, notamment en banque (Société Générale, BNP Paribas, Crédit Agricole), assurance (AXA, Allianz, Generali), énergie (EDF, Engie, TotalEnergies) et Big Tech française. Les équipes dédiées opèrent typiquement 6-12 sprints par an avec un cycle complet de couverture ATT&CK en 18-24 mois.
6. Detection engineering et purple team
La detection engineering est la discipline d'ingénierie qui construit, teste et maintient les règles de détection comme du code (detection-as-code). Elle est intimement liée à la purple team — le detection engineer est souvent le Purple Team Engineer dans les équipes matures.
Pratiques detection engineering 2026
- Detection-as-code : règles Sigma versionnées en Git, CI/CD avec tests unitaires, déploiement automatisé vers le SIEM.
- Test pyramid : test positif (la technique déclenche l'alerte), test négatif (l'activité légitime ne déclenche pas), test d'evasion (la technique avec obfuscation déclenche toujours l'alerte ou loggue un signal adjacent).
- Fidelity scoring : chaque règle classée en fonction de sa fiabilité (low/medium/high), avec seuils d'action différenciés (SOC L1 pour high, escalade L2 pour medium, suppression automatique low).
- Coverage-driven roadmap : roadmap detection priorisée par les gaps ATT&CK identifiés lors des sprints purple.
Référentiels et ressources clés
- Red Canary Threat Detection Report 2024 : techniques ATT&CK les plus observées en production.
- Splunk Security Content : 1 000+ règles SPL open-source.
- SigmaHQ : 3 000+ règles Sigma communautaires.
- Elastic Security Labs Detection Rules : règles EQL officielles.
- MITRE Engage : framework de défense active et déception, complément à ATT&CK.
- ThreatHunter-Playbook (Roberto Rodriguez / Cyb3rWard0g) : playbooks de chasse alignés ATT&CK.
7. Profil Purple Team Engineer et certifications
Profils d'entrée typiques
| Profil initial | Durée de bascule purple | Prérequis clés |
|---|---|---|
| SOC L3 / Detection engineer confirmé | 6-12 mois | Maîtrise SIEM, écriture Sigma/KQL, MITRE ATT&CK |
| Pentester confirmé 2-4 ans bascule défense | 9-12 mois | OSCP obtenu, curiosité défensive, appétence detection |
| Red teamer bifurquant collab | 6-9 mois | Expérience red, volonté de défense, collaboratif |
| DFIR senior 3-5 ans | 9-12 mois | Investigation approfondie, capacité reconstruction attack chain |
| Threat hunter confirmé | 6-9 mois | Hypothèses de chasse, exploitation dataset |
Certifications par palier
| Palier | Certification | Éditeur | Coût examen |
|---|---|---|---|
| Socle blue team hands-on | BTL1 / BTL2 (Blue Team Level 1 / 2) | Security Blue Team | 399-699 $ |
| Socle red team hands-on | CRTO (Certified Red Team Operator) | Zero-Point Security | ≈ 399 £ |
| Socle detection engineering | SEC555 ou SEC556 SANS (GCDA) | SANS/GIAC | ≈ 1 000 $ par cert |
| Purple team dédiée | SEC599 (SANS Defeating Advanced Adversaries) | SANS/GIAC | ≈ 1 000 $ |
| Transverse | GCIH plus GCFA plus GDAT | SANS/GIAC | ≈ 1 000 $ par cert |
| Adversary emulation | MAD-ATT&CK plus MITRE Engenuity (gratuit) | MITRE | Gratuit |
Combinaison marché France 2026 : BTL1 ou BTL2 plus CRTO plus GCDA (ou Security Content Developer / Splunk Certified). Le portfolio GitHub pèse autant que les certifications sur ce métier : repo avec 10+ atomics executés, 5+ règles Sigma originales, 1 sprint purple complet documenté.
8. Salaires et trajectoire
| Niveau | Ancienneté purple | Province (brut annuel) | Île-de-France (brut annuel) |
|---|---|---|---|
| Purple Team Engineer junior (après 2-4 ans SOC L3 ou pentest) | 0-2 ans purple | 60-78 k€ | 65-85 k€ |
| Purple Team Engineer confirmé | 2-4 ans purple | 75-95 k€ | 80-105 k€ |
| Purple Team Engineer senior | 4-7 ans purple | 95-120 k€ | 100-130 k€ |
| Purple Team Lead | 7+ ans | 115-145 k€ | 125-170 k€ |
| Detection Engineering Manager | 8+ ans | 120-150 k€ | 130-175 k€ |
Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Les profils Purple Team sont structurellement rares en France en 2026 — la double compétence offensive plus défensive plus detection engineering tire la fourchette haute même en junior. Secteurs payeurs : banque, assurance, défense, grands éditeurs SaaS, scale-ups cyber.
Bifurcations possibles
- Detection Engineering Lead : spécialisation pure sur la construction de détections.
- Threat Intelligence Analyst senior : bascule vers le tracking d'acteurs avec expertise technique.
- Adversary Simulation Engineer : spécialisation fine sur émulation d'APT avec CALDERA et contributions MITRE.
- Red Team Lead : retour côté offensif en management.
- Head of Offensive / Defensive Cyber : trajectoire management direction cyber. Voir Les étapes pour devenir RSSI.
- Consulting senior purple team : TJM 900-1 400 €, forte demande cabinet spécialisé 2024-2026.
9. Pour aller plus loin
- Panorama des métiers de la cybersécurité : guide complet.
- Qu'est-ce qu'un red teamer : pratique complémentaire sous stealth.
- Qu'est-ce qu'un analyste SOC : partenaire quotidien du purple.
- Qu'est-ce qu'un forensic analyst : investigation post-sprint si détection incomplète.
- Qu'est-ce qu'un ingénieur sécurité : implémente les remédiations issues du purple.
- Qu'est-ce qu'un RSSI : pilote la heatmap ATT&CK issue des purple sprints.
Points clés à retenir
- Purple team = pratique collaborative transparente red plus blue pour améliorer les détections en continu. Pas un remplacement du red team.
- Sprint 2-5 jours : 10-30 techniques ATT&CK exécutées avec atomics, mesurées en direct, règles ajustées immédiatement.
- Stack clé : Atomic Red Team (Red Canary), CALDERA (MITRE), VECTR (SRA), MITRE ATT&CK Navigator, Sigma, Splunk/Sentinel/Elastic/Wazuh.
- 5 métriques canoniques : Coverage ATT&CK (50-80 % mature), Detection rate sprint (≥ 90 %), TTD (inférieur à 15 min), False positive rate (inférieur à 5 %), Confidence level (3/3 validations).
- 3 modèles organisationnels : mandat ponctuel, rôle rotatif, équipe dédiée. Modèle 3 se généralise en grand groupe depuis 2023.
- Rôle émergent 2023-2026 : Purple Team Engineer, profil hybride offensif-défensif plus detection engineering.
- Salaires : 60-85 k€ junior, 95-130 k€ senior, 125-175 k€ Lead. Profils rares, fortement valorisés.
- Lab gratuit complet : GOAD plus Splunk Free plus Sysmon plus Atomic Red Team plus VECTR Community — montable en 2-3 jours.
- Livrable moderne : heatmap MITRE ATT&CK Navigator plus pull request detection-rules Git. PowerPoint 30 slides obsolète.
L'accompagnement cyber 6 mois propose un cursus purple team avec préparation BTL1 plus CRTO intégrée, lab GOAD plus Splunk, exécution de 100+ atomics ATT&CK, écriture de règles Sigma/KQL documentées, conduite d'un sprint purple complet avec rapport, et coaching d'entretien grands groupes et cabinets spécialisés detection engineering.
