La méthodologie Purple Team combine les forces offensives (Red Team) et défensives (Blue Team) au sein d’un cadre collaboratif et mesurable. Objectif : accélérer l’amélioration de la détection et de la réponse en production, pas seulement au laboratoire.
Qu’est-ce qu’une Purple Team ?
Plutôt qu’une équipe séparée, c’est une pratique qui synchronise activités d’attaque et d’observation en temps réel, facilite l’apprentissage croisé, et aligne les objectifs sur des résultats vérifiables (MTTD/MTTR, baisse des faux positifs, couverture ATT&CK…).
| Aspect | Red/Blue classique | Purple Team |
|---|---|---|
| Communication | Souvent limitée | Transparente et continue |
| Objectif | Faire tomber / Résister | Amélioration collective |
| Feedback | Post-exercice | Temps réel + post-exercice |
| Rythme | Campagnes ponctuelles | Itératif et continu |
Objectifs & KPIs
- Réduire le MTTD/MTTR et augmenter la précision des alertes
- Mesurer la couverture de détection par Tactiques/Techniques ATT&CK
- Capitaliser via playbooks et règles versionnées (Git)
- Acculturer SOC/Ingénierie/Infra aux TTP contemporaines
NoteFixez des objectifs quantifiés à 90 jours (OKR), visualisez la progression, et publiez un changelog sécurité après chaque itération.
Gouvernance pragmatique
- Comité Purple Team (mensuel) : priorités, arbitrage, budget/risque
- Cérémonies agiles : planning toutes les 2–4 semaines, démo, rétro
- Rôles : PT Lead, Red lead, Blue lead, observateurs métier/IT
Cadre PTES-Purple (adapté)
- Pré-engagementPérimètre technique/organisationnel, objectifs mesurables, contraintes légales/production.
- Reconnaissance collaborativeOSINT partagé, notifications de scans, monitoring en parallèle par la Blue Team.
- Exploitation guidéeApproche par paliers (basique → avancé → expert) avec pauses pédagogiques et adaptation aux détections.
- Post-exploitation éducativePersistance contrôlée, latéralité guidée, focus sur les artefacts et signaux exploitables par le SOC.
- Débriefing & améliorationRapport chronologique, résultats ATT&CK, KPIs, quick wins + roadmap (30/60/90j).
Exemple de scénario priorisé (phishing→latéralité)
- Préparation : mails spear-phishing co-construits, règles de détection mails (SPF/DKIM/DMARC + heuristiques)
- Exécution : tracking des clics/téléchargements/exécutions, corrélation EDR + proxy + DNS
- Latéralité : détections SMB/RDP, Kerberoasting, services distants, AD artefacts (BloodHound)
- Rétro/action : nouvelles règles SIEM, durcissement GPO, runbooks SOC mis à jour
Mesure & pilotage
- MTTD/MTTR/MTTC par kill chain
- Précision des alertes (vrais/faux positifs) et coût analyste
- Couverture ATT&CK (Navigator) par technique → règles/telemetry
- Scorecards Purple : progression par sprint (détections, playbooks, corrections)
Scorecard (exemple JSON stocké en Git)
{
"sprint": "2024-12",
"objectifs": ["Réduire MTTD phishing", "Couvrir T1021.002 SMB"],
"kpi": { "MTTD": "3.1m", "MTTR": "7.6m", "precision_alertes": "92%" },
"livrables": ["Règle KQL latéralité", "Playbook SOAR confinement"],
"actions": ["Durcir GPO", "Blocage macros", "Sensibilisation ciblée"]
}Pièges fréquents & remèdes
- Sur-focalisation « red show » : basculer vers objectifs détectables/mesurables
- Documents sans exécution : imposer des jalons démontrables
- Silotage IT/Sécurité : intégrer un représentant infra au comité
À retenirLa valeur d’une Purple Team se mesure à la vitesse d’amélioration mesurable en production (détection, réponse, durcissement).