Red team et blue team sont les deux grandes familles de métiers cybersécurité, opposées par philosophie mais complémentaires dans la pratique. Red team (attaque) regroupe pentester, red team operator, reverse engineer, bug bounty hunter — environ 20 % des offres cyber en France selon Apec 2023-2024, ratio candidats/offres défavorable (10-15 pour 1 en pentest junior). Blue team (défense) regroupe SOC analyst L1/L2/L3, threat hunter, DFIR, detection engineer, incident responder — environ 80 % des offres, marché favorable au candidat (1 offre pour 2-3 candidats). La purple team n'est pas une 3e famille distincte mais une discipline collaborative. Salaires juniors proches (38-68 k€ IDF), senior légèrement en faveur du red team (65-130 k€ vs 65-125 k€), TJM indépendant plus élevé en red team (800-1 500 € vs 600-1 200 €). Le choix rationnel se fait sur appétence psychologique (créativité offensive vs rigueur investigative) et contraintes de vie (missions variables vs shift 24/7), pas sur le salaire. Cet article compare les deux familles sur 6 critères objectifs, détaille philosophies, métiers, pros et cons, et fournit une matrice psychologique pour orienter le choix.
1. La réponse courte : quelle famille selon votre profil ?
| Votre profil / préférence | Famille recommandée |
|---|---|
| Passion pour la créativité technique en résolution de puzzles | Red team |
| Préférence pour la rigueur d'investigation structurée | Blue team |
| Tolérance au 24/7 opérationnel et aux shifts | Blue team |
| Rejet du shift 24/7, préférence horaires classiques | Red team |
| Reconversion avec marché favorable | Blue team (80 % des offres) |
| Passion CTF et bug bounty déjà installée | Red team (trajectoire cohérente) |
| Background support IT ou système / réseau | Blue team (trajectoire la plus directe) |
| Goût pour les missions variées courtes 5-15 jours | Red team |
| Goût pour le travail en équipe durable | Blue team |
| Hybride recherché | Purple team (après 4-7 ans d'une famille) |
Cette lecture rapide se complète par l'analyse détaillée qui suit. Dans la pratique, la plupart des professionnels cyber seniors finissent hybrides — connaître les deux cultures devient un accélérateur de carrière après 5-7 ans.
2. Les 6 critères de comparaison objectifs
Six axes structurants pour comparer red team et blue team sans biais marketing.
- Volume d'emplois et accessibilité : nombre d'offres, ratio candidats / offres.
- Tempo de travail : missions ponctuelles vs 24/7 opérationnel.
- Salaires : junior, senior, TJM indépendant.
- Culture et posture psychologique : créativité offensive vs rigueur investigation.
- Trajectoires d'évolution : plafonds et bifurcations typiques.
- Coût d'entrée : certifications, durée de bascule, portfolio requis.
3. Tableau comparatif red team vs blue team
Synthèse sur les 6 critères, extractible.
| Critère | Red Team | Blue Team |
|---|---|---|
| Métiers principaux | Pentester, red team operator, reverse engineer, bug bounty hunter, exploit developer | SOC L1/L2/L3, threat hunter, DFIR, detection engineer, incident responder |
| Part des offres cyber FR | ≈ 20 % | ≈ 80 % |
| Ratio candidats / offres junior | 10-15 pour 1 (pentest) | 1 pour 2-3 (SOC L1) |
| Durée bascule reconversion | 12-24 mois | 6-15 mois |
| Tempo de travail | Missions ponctuelles, rythme variable | 24/7 opérationnel, shift fréquent |
| Horaires | Classiques, journées business | Shift 3x8 ou 2x12 en L1 |
| Salaire junior IDF | 45-68 k€ | 38-75 k€ (SOC 38-48, DFIR 50-68) |
| Salaire senior IDF | 65-130 k€ | 65-125 k€ |
| TJM indépendant | 800-1 500 € | 600-1 200 € |
| Certifs dominantes | OSCP, PNPT, OSWE, CRTO | Security+, CySA+, GCIH, GCFA |
| Coût certifs totales | 2 500-5 000 € | 1 000-3 000 € |
| Livrable type | Rapport pentest, writeup exploit | Tickets, alertes, runbooks, règles détection |
| Culture dominante | Individualiste, créativité | Équipe, process, rigueur |
| Plafond technique pur | Très élevé (vulnerability research) | Très élevé (DFIR senior, threat hunting) |
Le tableau révèle deux réalités importantes : le blue team est beaucoup plus grand en volume d'offres (quatre fois plus), mais les deux familles se chevauchent sur les salaires seniors — le choix ne doit pas se faire sur la rémunération mais sur l'appétence.
4. Red team : philosophie, métiers, pros et cons
Philosophie red team
Le red team attaque pour révéler. Son postulat : seule une simulation réaliste d'attaque, menée par des professionnels qui pensent comme des attaquants, permet de découvrir les failles exploitables. Le red teamer ne cherche pas les vulnérabilités théoriques documentées, il cherche le chemin d'exploitation réaliste qui compromet l'objectif.
La posture est créative et individualiste : l'opérateur red team résout seul des énigmes techniques complexes, construit des chaînes d'attaque créatives, contourne les défenses. L'équipe red existe mais beaucoup du travail est solo ou en binôme.
Les six métiers red team
- Pentester : missions cadrées 5-15 jours, exhaustivité des vulnérabilités. Voir Qu'est-ce qu'un pentester ?.
- Red team operator : simulations longues 3-6 mois, objectif précis et discret.
- Exploit developer : écriture d'exploits fonctionnels pour vulnérabilités connues ou 0day.
- Vulnerability researcher : découverte de 0day dans du code propriétaire.
- Reverse engineer : analyse de malwares, firmwares, protocoles. Voir Qu'est-ce qu'un reverse engineer ?.
- Bug bounty hunter : indépendant, programmes publics, rémunération par prime.
Pros red team
- Valeur intellectuelle de l'exploitation : résolution de puzzles techniques complexes au jour le jour, motivation intrinsèque forte.
- Horaires classiques sans shift : journées business, weekends et nuits libres (sauf missions urgentes).
- Autonomie et créativité : beaucoup de travail en solo, choix des approches techniques.
- Salaires seniors et TJM très élevés : pentester senior 65-90 k€, red team operator 85-130 k€, TJM 900-1 500 €.
- Communauté dynamique : CTF, conférences SSTIC / Pass the SALT / DEF CON, bug bounty.
- Trajectoire recherche possible : vulnerability research, publication de CVE, présentations conférences.
Cons red team
- Accessibilité junior difficile : goulot d'étranglement, 10-15 candidats pour 1 offre en pentest.
- Durée de bascule longue : 12-24 mois pour un profil IT solide, 24-30 mois pour reconversion totale.
- Rédaction 40 % du temps (pentester) : surprise fréquente, un pentester junior qui déteste écrire plafonne vite.
- Contraintes juridiques strictes : article 323 Code pénal, autorisation écrite obligatoire.
- Cycle mission court, pas d'attachement produit : un red teamer qui veut voir ses findings corrigés en production bascule souvent vers AppSec.
- Volume d'emplois limité : seulement 20 % des offres cyber FR, concentrées sur une vingtaine d'employeurs.
5. Blue team : philosophie, métiers, pros et cons
Philosophie blue team
Le blue team défend pour protéger. Son postulat : les attaques sont permanentes, la détection doit être continue, la réponse doit être rapide et structurée. Le blue teamer n'attend pas l'alerte parfaite, il construit des signaux qui dépassent le bruit, trie, investigue, contient, documente.
La posture est méthodique et collaborative : le SOC fonctionne en équipe 24/7, l'investigation DFIR se fait souvent en binôme ou trinôme, la detection engineering exige la coordination avec plusieurs sources. La rigueur documentaire est centrale.
Les six métiers blue team
- SOC Analyst L1 / L2 / L3 : tri d'alertes, investigation, escalade. Voir Qu'est-ce qu'un blue teamer ?.
- Threat Hunter : chasse proactive de compromissions non détectées par les règles existantes.
- DFIR Analyst : forensique post-incident, disque / mémoire / réseau.
- Detection Engineer : écriture et maintenance de règles (Sigma, YARA, SIEM queries).
- Incident Responder senior : coordination de crise, gestion ransomware et compromissions majeures.
- CSIRT / CERT Analyst : équipe nationale ou sectorielle, réponse à incident transverse.
Pros blue team
- Accessibilité large : 80 % des offres cyber en France, bascule 6-10 mois depuis support IT.
- Durée de bascule courte : revenu stable rapidement.
- Trajectoire claire : L1 → L2 → L3 → SOC manager → RSSI adjoint, progression lisible.
- Équipe et collaboration : travail en équipe durable, formation continue par les seniors.
- Large spectre de bifurcations : DFIR, threat hunter, detection engineer, IR senior accessibles après 2-4 ans en SOC.
- Exposition aux cas réels : voir de vraies attaques quotidiennement vs simulations en pentest.
- Accessibilité sans diplôme ingénieur : BTS SIO, licence pro, reconversions acceptés.
Cons blue team
- Shift 24/7 en L1 : nuits, weekends, jours fériés. Fatigue cumulative.
- Monotonie en L1 après 12-18 mois : triage d'alertes répétitif, stagnation si absence de plan de progression.
- Salaire junior L1 plus bas : 38-48 k€ IDF vs 45-58 k€ pentester junior.
- Pression SLA : temps de réponse par type d'incident chronométré.
- Moins de valorisation médiatique : le blue team est sous-médiatisé vs le hacker « red ».
- Plafond salarial moyen légèrement plus bas (hors DFIR senior et threat hunter senior qui atteignent le plafond red team).
6. Purple team : au-delà de la rivalité
La purple team est souvent mal comprise comme une 3e famille distincte. En réalité, c'est une discipline collaborative entre red et blue qui a gagné en importance depuis 2020-2022.
Ce qu'est vraiment la purple team
- Adversary emulation : la red team exécute des Techniques Tactiques et Procédures (TTP) issues du référentiel MITRE ATT&CK ciblées sur un contexte donné ; la blue team valide en temps réel si les détections s'activent.
- Sprints purple : cycles de 2-6 semaines où red et blue travaillent ensemble sur une dizaine de TTP précises, avec métriques coverage mesurables.
- Coverage ATT&CK : pourcentage de techniques du framework couvertes par au moins une règle de détection. Une équipe mature vise 50-80 % de coverage sur les techniques critiques de son secteur.
- Amélioration continue des détections : chaque sprint purple produit de nouvelles règles Sigma, des playbooks IR mis à jour, des heatmaps MITRE actualisées.
Profils purple team
- Purple team coordinator : senior 5-7 ans dans une famille + expérience croisée 2-3 ans dans l'autre. Rôle de pont, management léger d'une équipe de 3-8 personnes mixtes.
- Adversary emulation engineer : profil red team avec compréhension fine des détections blue. Construit les scénarios purple.
- Detection engineer avec mindset red : profil blue avec compréhension fine de l'attaque. Écrit des règles de détection qui résistent aux techniques d'évasion.
Quand viser la purple team ?
Pas en reconversion initiale. La purple team est une évolution à 5-8 ans de carrière, pas un point d'entrée. Les candidats en reconversion doivent d'abord maîtriser une des deux familles pendant 3-5 ans avant d'envisager la bascule hybride.
7. Bilan honnête : quelle famille pour quel profil
Matrice d'appariement psychologique et pratique entre profil candidat et famille cyber.
matrice_choix_red_vs_blue:
profil_ideal_red_team:
traits_psychologiques:
- "Passion pour la resolution creative de puzzles techniques"
- "Tolerance au travail en solo sur des problemes complexes"
- "Acceptation du cadre juridique strict (scope, autorisation ecrite)"
- "Motivation intrinseque par l'exploit decouvert"
pratique:
- "Pratique CTF ou HackTheBox / TryHackMe sur temps personnel"
- "Rejoint deja une communaute cyber offensive (Discord, meetup)"
- "Publie sur GitHub (writeups, scripts offensifs)"
contraintes_vie:
- "Tolere 12-24 mois de bascule sans revenu stable"
- "Prefere horaires classiques sans shift 24/7"
socle_technique:
- "Linux avance, Python scripting, Active Directory"
- "15+ machines HackTheBox compromises avant candidature"
profil_ideal_blue_team:
traits_psychologiques:
- "Rigueur investigation structuree"
- "Preference pour le travail en equipe durable"
- "Tolerance aux processus et procedures structurees"
- "Motivation par l'incident deJoue et la protection"
pratique:
- "Experience support IT, helpdesk ou systeme / reseau"
- "Interet pour les SIEM (Splunk, Sentinel) et MITRE ATT&CK"
- "Profil TryHackMe SOC Level 1 complete"
contraintes_vie:
- "Tolere le shift 24/7 en L1 (12-18 mois typique)"
- "Prefere bascule rapide avec revenu stable 6-10 mois"
socle_technique:
- "Linux et Windows bases, reseau TCP/IP"
- "Lecture de logs, comprehension CVE et CVSS"
profils_ambivalents_qui_heuritent:
- profil: "Developpeur backend 3+ ans"
bascule_recommandee: "AppSec engineer (ni red ni blue pur)"
raison: "le socle dev valorise mieux en AppSec qu'en red team ou blue team pur"
- profil: "Admin Active Directory 3+ ans"
bascule_recommandee: "Pentester AD interne OU SOC L2 focus AD"
raison: "socle AD permet les deux trajectoires viables selon appetence offensive"
- profil: "DevOps / cloud engineer 2+ ans"
bascule_recommandee: "DevSecOps ou Cloud Security Engineer (plutot que red ou blue pur)"
raison: "le socle build / runtime cloud ne se revalorise pas completement en red ou blue"
regle_de_decision_finale:
- "Si passion CTF/HTB deja active : red team viable"
- "Si pas de passion offensive preexistante + bascule rapide necessaire : blue team"
- "Si horaires classiques obligatoires (famille) : red team"
- "Si marche favorable prioritaire : blue team (80 % offres FR)"
- "Si salaire senior prioritaire : equivalence, depend de la specialite (DFIR vs pentester senior)"
- "Si doute : demarrer blue team, basculer red team a 4-7 ans avec OSCP finance par employeur"Cette matrice se combine avec l'auto-évaluation personnelle détaillée dans Comment savoir si la cybersécurité est faite pour vous et avec le comparatif plus spécifique Pentester vs analyste SOC : quel métier choisir ?.
Bilan Zeroday (sans biais commercial)
Pour la grande majorité des candidats en reconversion cyber, commencer par la blue team est le choix rationnel : marché favorable (80 % des offres), bascule rapide (6-10 mois), trajectoire claire (L1 → L2 → L3 → DFIR ou manager), bifurcations nombreuses. La red team reste viable mais exige une passion offensive préalable démontrée (CTF actif, HackTheBox, bug bounty) et une tolérance à 12-24 mois de bascule.
La trajectoire pragmatique fréquente que nous recommandons aux profils IT solides sans passion offensive préexistante : blue team 3-5 ans puis bascule red team avec OSCP financé par l'employeur. Ce chemin produit des profils hybrides excellents (compréhension défensive + offensive), recherchés en purple team et à haute rémunération senior.
Éviter le piège médiatique qui pousse vers le pentest parce que « c'est cool » sans passion préalable. Les candidats qui tentent red team sans passion finissent typiquement en SOC L1 après 12-18 mois d'échec, avec perte de temps significative.
Points clés à retenir
- Red team et blue team = deux familles cyber (attaque vs défense), pas deux métiers opposés.
- 80 % blue team, 20 % red team en France (Apec 2024). Asymétrie structurelle de volume d'emplois.
- Salaires proches aux niveaux junior et senior. TJM indépendant légèrement en faveur red team (800-1 500 € vs 600-1 200 €).
- Tempo différent : red team missions ponctuelles horaires classiques ; blue team 24/7 opérationnel souvent en shift.
- Culture différente : red team individualiste créative ; blue team équipe méthodique collaborative.
- Purple team = discipline collaborative, pas 3e famille. Accessible à 5-8 ans d'expérience senior.
- Bascule asymétrique : blue team → red team plus fréquente que l'inverse. 4-7 ans typique avant bascule.
- Choix rationnel : commencer blue team pour la majorité des reconversions. Red team viable avec passion offensive démontrée.
Pour les fiches métier détaillées, voir Qu'est-ce qu'un pentester ? Fiche métier complète et Qu'est-ce qu'un blue teamer ? Fiche métier complète. Pour une comparaison plus spécifique au niveau métier (pentester vs SOC), voir Pentester vs analyste SOC : quel métier choisir ?. Pour la niche red team technique, voir Qu'est-ce qu'un reverse engineer ? Fiche métier. Pour le panorama global avec salaires et accessibilité par profil, voir Les métiers de la cybersécurité : guide complet. L'accompagnement cyber 6 mois oriente prioritairement les profils reconversion vers la blue team (marché favorable, bascule rapide) avec option bascule red team en senior via préparation OSCP à 2-3 ans.
