| Niveau d’études : | Bac +5 |
| Bac conseillé : | Scientifique |
| Employabilité : | Très bonne |
| Salaire débutant : | 3.050 € |
| Salaire confirmé : | 5.150 € |
| Mobilité : | Bonne |
| Code ROME : | M1802, Expertise et support en systèmes d’information |
| Code FAP : | M2Z, Informatique et télécommunications |
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110Métier
Au même titre que leurs homologues de la Red team, les Blue teamers interviennent en tant que testeurs de failles de cybersécurité et auditeurs de problèmes techniques. On parle souvent de la Blue team comme étant le « personnel de la cybersécurité », en raison de la nature plus « humaine » de leur intervention, légèrement déconnectée des purs outils techniques. Les spécialistes rangés sous la couleur bleue interviennent de fait en première ligne de la construction d’une ligne de cybersécurité. Généralement, ils sont rattachés à un SOC, le centre d’opérations de la sécurité. À ce titre, ils rejoignent les rangs des analystes hautement qualifiés qui travaillent, 24 heures sur 24, à l’amélioration des défenses de l’organisation pour laquelle ils travaillent.
Missions
Il est impossible de penser le rôle d’une Blue team en faisant l’impasse sur sa connexion et ses interactions directes avec la Red team. Pour résumer les choses très simplement, les Blue teamers apportent une intelligence d’abord humaine là où les Red teamers déploient une intelligence avant tout technique. Le rôle de la Blue team est de s’opposer et d’affaiblir la Red team. En d’autres termes, l’équipe dite « bleue » est là pour mettre à mal les solutions techniques pensés par leurs challengers « rouges », avec un seul objectif en tête : s’assurer qu’en développant des défenses de haut, atteignant une grande technicité, les petits détails les plus insignifiants n’ont pas été oubliés. Un haut degré de perfectionnement peut en effet faire perdre de vue les voies d’accès les plus évidentes, celles qu’un individu loin d’être un expert ou un ingénieur pourrait exploiter de manière simple. « En résumé, dans la Blue team, on s’assure que la Red team n’a pas construit le château fort du siècle, avec porte blindée et pont levis actionné en un millième de seconde, tout en laissant sur le côté un trou de souris qui permettrait à n’importe quelle personne un peu fine – d’esprit – de passer », résume très bien Alessio D., qui est déjà passé plusieurs fois de la Blue team à la Red team au cours de ses 6 ans de carrière.
« Le travail premier de la Blue team, c’est concevoir des scénarios d’attaque pour améliorer les compétences globales et de la Blue team, et de la Red team – et la sécurité de notre équipe commune, à savoir l’entreprise ou l’organisation publique qui nous recrute. »
Les membres de la Blue team, soutenue par le SOC, sont finalement là pour décortiquer et passer au crible d’attaques « plus terre à terre » les trésors de technologie déployés par la Red team.
Les responsabilités du Blue teamer
« Ce n’est pas parce qu’ils enfilent une casquette à dominante plus humaine et qu’ils prennent une toute petite distance par rapport à la technique que les Blue teamers ne jouent pas un rôle essentiel dans la grande pyramide de la cybersécurité. Sans leur concours précieux, de nombreuses trouvailles de la Red team ne serviraient à rien, car on passerait à côté de petites corrections à effectuer avant d’être vraiment opérationnels face aux hackers », explique Alessio D
Compétences
Bien que leur rôle ne consiste pas à mobiliser directement les compétences techniques au cœur de l’activité de la Red team, les Blue teamers se doivent – en tant que challengers et testeurs des Red teamers – d’être parfaitement formés sur les sujets de prédilection de leurs « collègues-concurrents ». Aussi, ils doivent avoir une bonne compréhension et une bonne approche de l’ensemble des sujets suivants :
– la sécurité des systèmes d’exploitation ;
– la sécurité des réseaux et protocoles ;
– les couches applicatives ;
– l’ensemble des méthodologies d’audit, en prenant bien en compte les normes, standards et principes de gouvernance en vigueur ;
– toutes les techniques relatives aux audits techniques de sécurité et aux tests d’intrusion ;
– les différents types de vulnérabilités pouvant être rencontrés sur les environnements les plus courants ;
– les principes de reverse engineering ou rétro-ingénierie des systèmes ;
– le panorama complet des techniques d’attaques et d’intrusion les plus courants, en prenant soin de le compléter au fur et à mesure par la connaissance des techniques nouvelles et récentes ;
– les mécanismes du scripting.
Des notions de droit informatique seront également précieuses, sur le point précis de la sécurité des systèmes d’information et de la protection des données. Les Blue teamers doivent aussi être en mesure de mener un travail de veille technologique de manière efficace, afin de connaître les dernières pratiques en vogue chez les hackers et de ne manquer aucune faille possible dans les défenses pensées par la Red team.
Les compétences en gestion de projet peuvent également être utiles, notamment pour le Blue teamer nommé référent d’une équipe.
Qualités
Les deux mots d’ordre aux sons desquels vibre toute Blue team sont : proactif, réactif. Un bon Blue teamer doit par conséquent redoubler d’énergie et d’inventivité pour partir à l’assaut des systèmes de défense mis en place par leurs collègues de la Red team. Cela demande à la fois de la rigueur et de la créativité pour mener des tests de manière efficace mais aussi inattendue. La fonction requiert une grande capacité de concentration, un bon équilibre entre initiative personnelle et goût du travail en équipe, ainsi qu’un goût prononcé pour le jeu : travailler pour la Blue team revient ni plus ni moins à s’engager dans une lutte inoffensive contre la Red team, pour le bien de l’organisation !
Niveau d’études nécessaire
Le Bac +5 est une condition préalable pour intégrer une Blue team. Le poste requiert un certain nombre de compétences techniques de haut niveau, ainsi qu’une compréhension globale des enjeux de cybersécurité.
Quelle formation ?
La formation nécessaire pour intégrer une Blue team est largement similaire à celle pensée pour une Red team. Nous nous trouvons face à des experts techniques de premier plan, que la Guardia School se propose de préparer avec, à la clé, un diplôme d’expert en cybersécurité. Au cours d’une formation en deux volets (un niveau Bachelor et un niveau Master), tous les points clés de l’audit et des tests techniques sont abordés, en même temps que les clés de l’informatique. Les étudiants aborderont notamment les questions de développement et les points techniques relatives aux réseaux et systèmes. Ils seront notamment amenés à traiter les sujets suivants : les outils HTML5, CSS3, PHP ou MySQL, l’algorithmie, le scripting, ainsi que les langages de type C, C+ ou Python.
Au moment du Master (titre RNCP niveau 7), deux piliers techniques essentiels seront proposés :
– un pilier « Conception technique et projets technologiques »,
– et un pilier « Stratégie de la cybersécurité ».
La gestion des données et l’analyse forensique, autres éléments pouvant être utiles à la conduite de tests pertinents, sont également intégrées au programme.
| Bachelor | |
| Diplôme obtenu : | Titre école bachelor (Bac+3) |
| Admission post-bac : | Bac généraliste ou technologique |
| Admission parallèle : | Possible en 3e année |
| Durée totale de la formation : | 3 ans |
| Campus | Lyon et Paris |
| Enseignement | 8 unités thématiques |
| 3e année | En alternance ou en initial avec stage alterné |
| Master Expert cybersécurité | |
| Diplôme obtenu : | Titre école MSc (Bac+5) |
| Pré-requis : | Bac+3 ou Bac+4 validés |
| Durée totale de la formation : | 2 ans |
| Campus : | Lyon et Paris |
| Alternance : | Chaque année, 3 semaines en entreprise / 1 semaine à l’école |
Dans quel secteur travailler ?
Les entreprises qui recrutent
Parmi les entreprises fréquemment à la recherche de Blue teamers, on trouve notamment :
- EY ;
- KPMG ;
- AXA ;
- HeadMind Partners ;
- SQUAD ;
- Airbus ;
- Atos ;
- Orange Cyberdefense ;
- ou encore Thales.
On trouvera une grande quantité d’offres sur les pages suivantes :
- LinkedIn ;
- Monster.fr ;
- Cyberjobs.fr ;
- Glassdoor.fr ;
- Wizbii.com ;
- Indeed.com ;
- ou le site de l’Apec, parmi d’autres.
Salaire
Pour un premier poste, un Blue teamer peut viser un salaire brut mensuel aux alentours de 3 050 euros. Ce salaire peut atteindre jusqu’à 3 550 euros si l’individu en question a occupé un autre poste significatif en lien avec les tests de cyberdéfense, au sein du SOC ou avec une Red team, par exemple. Un Bue teamer confirmé peut espérer gagner jusqu’à 5 150 euros bruts par mois environ. À nouveau, les expériences complémentaires en cybersécurité – sur des postes très techniques ou des missions plus traverses – donneront certainement lieu à un ajustement de salaire à la hausse.
Évolution de carrière
Le membre d’une Blue team qui a envie de changer d’horizon peut assez facilement demander à passer du côté rouge des forces de cyberdéfense. Il sera au préalable soumis à des formations et à un accompagnement de mise à jour, pour se défaire de certains réflexes d’analyse et adapter la bonne approche. Ce changement correspond, en général, à une légère augmentation de salaire, valorisant des compétences plus techniques.
Les Blue teamers peuvent aussi envisager de se reconvertir en consultants en cybersécurité. Leur travail au sein du SOC en fait des experts confirmés. Une mise à jour sur certains techniques est, une fois encore, une condition préalable à ce type d’évolution.
Un Blue teamer bénéficiant de dix années au moins d’expérience ont également la légitimité suffisante pour progresser au sein du SOC : après être passé sur un poste plus général d’analyste opérateur du SOC, il est possible de briguer le poste le plus convoité, à savoir responsable du SOC.
Les avantages et inconvénients
« Lorsqu’on a été formé pour être un petit as de la technique, il peut être un peu compliqué d’oublier ses réflexes et ses acquis lorsqu’on rejoint une Blue team. On peut avoir envie, plus ou moins consciemment, de montrer ce que l’on sait et ce que l’on sait faire : il peut y avoir une tendance à basculer dans un rôle de Red teamer, sans s’en rendre compte. À chaque membre de la Blue team de prendre garde à bien maintenir son cap et à ne pas déborder du rôle qui est le sien. Cela peut générer des frustrations à l’occasion, mais il faut se rappeler que chercher la faille simple n’est pas – et c’est là toute l’ironie – un exercice facile. Le rôle de Blue teamer prend dès lors une dimension très ludique et très valorisante à la fois », reconnaît Alessio D. « L’un des avantages flagrants est que passer d’une Blue team à une Red team est relativement aisé. Si la monotonie ou l’ennui s’installe, on peut assez facilement envisager de changer d’équipe et d’horizon, avec pas mal de perfectionnements à la clé – pour l’entreprise et sa sécurité d’une part, pour l’employé et ses compétences d’autre part. »
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110Devenir Blue Teamer
Les missions d’un Blue Teamer sont intimement liées aux enjeux de Threat Intelligence. Ce professionnel est chargé de centraliser et d’analyser un maximum de données en accès public, dans le but de rassembler de nouvelles connaissances sur des attaquants potentiels, leurs motivations, leurs méthodes et leurs outils. À terme, il s’agit d’adapter et renforcer les protections de la structure sur la base de ces données et des tendances suspectées.
Le salaire de base moyen d’un Blue Teamer est de 5 400 euros bruts par mois pour un premier poste. Deux ans de carrière suffisent pour se rapprocher de la frontière des 6 000 euros bruts mensuels. En fin de parcours, un Blue Teamer touchera environ 8 200 euros bruts par mois.
De même que tous les métiers techniques de la sphère cyber, les fonctions d’un Blue Teamer sont accessibles à partir d’un Bac +5. Toute formation technique de niveau supérieur, avec une spécialité en gestion et intelligence des données, sera fortement appréciée, de même que les cursus approfondissant les sujets de cybersécurité de manière générale.
Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique et sciences informatiques.
En vidéo
Métiers proches d’un Blue Teamer
Continuez vos recherches autour des métiers de la cybersécurité :
