ANALYSTE DE LA MENACE CYBERSÉCURITÉ ANALYSTE DE LA MENACE CYBERSÉCURITÉ
Métiers

Blue teamer

Vous aimez les compétitions entre équipes, celles qui ont pour but de repousser les limites de chacun et de faire progresser ? Vous faites partie de ces passionnés de technologie qui croient encore à l’importance du facteur humain et qui savent que notre cerveau peut, à l’occasion, se montrer plus puissant ou plus dommageable qu’une machine ? Votre approche est parfaitement en phase avec celle d’un Blue teamer : ces experts de haut niveau sont là pour compléter l’arsenal purement technique déployé par les Red teamers et vérifier que leurs solutions ne passent pas à côté d’un détail simple, mais potentiellement fatidique pour la sécurité d’une entreprise ou d’une structure publique. Découvrez avec nous un métier passionnant et hautement stimulant.

Fiche métier mise à jour le
Niveau d’études : Bac +5
Bac conseillé : Scientifique
Employabilité : Très bonne
Salaire débutant : 3.050 €
Salaire confirmé : 5.150 €
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et télécommunications

Métier

Au même titre que leurs homologues de la Red team, les Blue teamers interviennent en tant que testeurs de failles de cybersécurité et auditeurs de problèmes techniques. On parle souvent de la Blue team comme étant le « personnel de la cybersécurité », en raison de la nature plus « humaine » de leur intervention, légèrement déconnectée des purs outils techniques. Les spécialistes rangés sous la couleur bleue interviennent de fait en première ligne de la construction d’une ligne de cybersécurité. Généralement, ils sont rattachés à un SOC, le centre d’opérations de la sécurité. À ce titre, ils rejoignent les rangs des analystes hautement qualifiés qui travaillent, 24 heures sur 24, à l’amélioration des défenses de l’organisation pour laquelle ils travaillent.

Missions

Il est impossible de penser le rôle d’une Blue team en faisant l’impasse sur sa connexion et ses interactions directes avec la Red team. Pour résumer les choses très simplement, les Blue teamers apportent une intelligence d’abord humaine là où les Red teamers déploient une intelligence avant tout technique. Le rôle de la Blue team est de s’opposer et d’affaiblir la Red team. En d’autres termes, l’équipe dite « bleue » est là pour mettre à mal les solutions techniques pensés par leurs challengers « rouges », avec un seul objectif en tête : s’assurer qu’en développant des défenses de haut, atteignant une grande technicité, les petits détails les plus insignifiants n’ont pas été oubliés. Un haut degré de perfectionnement peut en effet faire perdre de vue les voies d’accès les plus évidentes, celles qu’un individu loin d’être un expert ou un ingénieur pourrait exploiter de manière simple. « En résumé, dans la Blue team, on s’assure que la Red team n’a pas construit le château fort du siècle, avec porte blindée et pont levis actionné en un millième de seconde, tout en laissant sur le côté un trou de souris qui permettrait à n’importe quelle personne un peu fine – d’esprit – de passer », résume très bien Alessio D., qui est déjà passé plusieurs fois de la Blue team à la Red team au cours de ses 6 ans de carrière.

« Le travail premier de la Blue team, c’est concevoir des scénarios d’attaque pour améliorer les compétences globales et de la Blue team, et de la Red team – et la sécurité de notre équipe commune, à savoir l’entreprise ou l’organisation publique qui nous recrute. »

Les membres de la Blue team, soutenue par le SOC, sont finalement là pour décortiquer et passer au crible d’attaques « plus terre à terre » les trésors de technologie déployés par la Red team.

Les responsabilités du Blue teamer

« Ce n’est pas parce qu’ils enfilent une casquette à dominante plus humaine et qu’ils prennent une toute petite distance par rapport à la technique que les Blue teamers ne jouent pas un rôle essentiel dans la grande pyramide de la cybersécurité. Sans leur concours précieux, de nombreuses trouvailles de la Red team ne serviraient à rien, car on passerait à côté de petites corrections à effectuer avant d’être vraiment opérationnels face aux hackers », explique Alessio D

Compétences

Bien que leur rôle ne consiste pas à mobiliser directement les compétences techniques au cœur de l’activité de la Red team, les Blue teamers se doivent – en tant que challengers et testeurs des Red teamers – d’être parfaitement formés sur les sujets de prédilection de leurs « collègues-concurrents ». Aussi, ils doivent avoir une bonne compréhension et une bonne approche de l’ensemble des sujets suivants :

– la sécurité des systèmes d’exploitation ;

– la sécurité des réseaux et protocoles ;

– les couches applicatives ;

– l’ensemble des méthodologies d’audit, en prenant bien en compte les normes, standards et principes de gouvernance en vigueur ;

– toutes les techniques relatives aux audits techniques de sécurité et aux tests d’intrusion ;

– les différents types de vulnérabilités pouvant être rencontrés sur les environnements les plus courants ;

– les principes de reverse engineering ou rétro-ingénierie des systèmes ;

– le panorama complet des techniques d’attaques et d’intrusion les plus courants, en prenant soin de le compléter au fur et à mesure par la connaissance des techniques nouvelles et récentes ;

– les mécanismes du scripting.

Des notions de droit informatique seront également précieuses, sur le point précis de la sécurité des systèmes d’information et de la protection des données. Les Blue teamers doivent aussi être en mesure de mener un travail de veille technologique de manière efficace, afin de connaître les dernières pratiques en vogue chez les hackers et de ne manquer aucune faille possible dans les défenses pensées par la Red team.

Les compétences en gestion de projet peuvent également être utiles, notamment pour le Blue teamer nommé référent d’une équipe.

Qualités

Les deux mots d’ordre aux sons desquels vibre toute Blue team sont : proactif, réactif. Un bon Blue teamer doit par conséquent redoubler d’énergie et d’inventivité pour partir à l’assaut des systèmes de défense mis en place par leurs collègues de la Red team. Cela demande à la fois de la rigueur et de la créativité pour mener des tests de manière efficace mais aussi inattendue. La fonction requiert une grande capacité de concentration, un bon équilibre entre initiative personnelle et goût du travail en équipe, ainsi qu’un goût prononcé pour le jeu : travailler pour la Blue team revient ni plus ni moins à s’engager dans une lutte inoffensive contre la Red team, pour le bien de l’organisation !

Niveau d’études nécessaire

Le Bac +5 est une condition préalable pour intégrer une Blue team. Le poste requiert un certain nombre de compétences techniques de haut niveau, ainsi qu’une compréhension globale des enjeux de cybersécurité.

Quelle formation ?

La formation nécessaire pour intégrer une Blue team est largement similaire à celle pensée pour une Red team. Nous nous trouvons face à des experts techniques de premier plan, que la Guardia School se propose de préparer avec, à la clé, un diplôme d’expert en cybersécurité. Au cours d’une formation en deux volets (un niveau Bachelor et un niveau Master), tous les points clés de l’audit et des tests techniques sont abordés, en même temps que les clés de l’informatique. Les étudiants aborderont notamment les questions de développement et les points techniques relatives aux réseaux et systèmes. Ils seront notamment amenés à traiter les sujets suivants : les outils HTML5, CSS3, PHP ou MySQL, l’algorithmie, le scripting, ainsi que les langages de type C, C+ ou Python. 

Au moment du Master (titre RNCP niveau 7), deux piliers techniques essentiels seront proposés :

– un pilier « Conception technique et projets technologiques », 

– et un pilier « Stratégie de la cybersécurité ».

La gestion des données et l’analyse forensique, autres éléments pouvant être utiles à la conduite de tests pertinents, sont également intégrées au programme.

Bachelor
Diplôme obtenu : Titre école bachelor (Bac+3)
Admission post-bac : Bac généraliste ou technologique
Admission parallèle : Possible en 3e année
Durée totale de la formation : 3 ans
Campus Lyon et Paris
Enseignement 8 unités thématiques
3e année En alternance ou en initial avec stage alterné

 

Master Expert cybersécurité
Diplôme obtenu : Titre école MSc (Bac+5)
Pré-requis : Bac+3 ou Bac+4 validés
Durée totale de la formation : 2 ans
Campus : Lyon et Paris
Alternance : Chaque année, 3 semaines en entreprise / 1 semaine à l’école

Dans quel secteur travailler ?

Les Blue teamers ont un rôle actif à jouer partout où les Red teamers se trouvent eux aussi impliqués. Le recrutement de ces spécialistes complémentaires est particulièrement fréquent dans les secteurs du consulting et de l’audit en général, de même que dans la banque, la finance et l’assurance. Les grands acteurs de l’industrie automobile et aéronautique ne sont pas en reste, de même que les entreprises spécialisées dans la haute technologie, les fournisseurs de services numériques et les services traitant des données de santé.

Les entreprises qui recrutent

Parmi les entreprises fréquemment à la recherche de Blue teamers, on trouve notamment :

  • EY ;
  • KPMG ;
  • AXA ;
  • HeadMind Partners ;
  • SQUAD ;
  • Airbus ;
  • Atos ;
  • Orange Cyberdefense ;
  • ou encore Thales.

On trouvera une grande quantité d’offres sur les pages suivantes :

  • LinkedIn ;
  • Monster.fr ;
  • Cyberjobs.fr ;
  • Glassdoor.fr ; 
  • Wizbii.com ;
  • Indeed.com ;
  • ou le site de l’Apec, parmi d’autres.

Salaire

Pour un premier poste, un Blue teamer peut viser un salaire brut mensuel aux alentours de 3 050 euros. Ce salaire peut atteindre jusqu’à 3 550 euros si l’individu en question a occupé un autre poste significatif en lien avec les tests de cyberdéfense, au sein du SOC ou avec une Red team, par exemple. Un Bue teamer confirmé peut espérer gagner jusqu’à 5 150 euros bruts par mois environ. À nouveau, les expériences complémentaires en cybersécurité – sur des postes très techniques ou des missions plus traverses – donneront certainement lieu à un ajustement de salaire à la hausse.

Évolution de carrière

Le membre d’une Blue team qui a envie de changer d’horizon peut assez facilement demander à passer du côté rouge des forces de cyberdéfense. Il sera au préalable soumis à des formations et à un accompagnement de mise à jour, pour se défaire de certains réflexes d’analyse et adapter la bonne approche. Ce changement correspond, en général, à une légère augmentation de salaire, valorisant des compétences plus techniques.

Les Blue teamers peuvent aussi envisager de se reconvertir en consultants en cybersécurité. Leur travail au sein du SOC en fait des experts confirmés. Une mise à jour sur certains techniques est, une fois encore, une condition préalable à ce type d’évolution.

Un Blue teamer bénéficiant de dix années au moins d’expérience ont également la légitimité suffisante pour progresser au sein du SOC : après être passé sur un poste plus général d’analyste opérateur du SOC, il est possible de briguer le poste le plus convoité, à savoir responsable du SOC.

Les avantages et inconvénients

« Lorsqu’on a été formé pour être un petit as de la technique, il peut être un peu compliqué d’oublier ses réflexes et ses acquis lorsqu’on rejoint une Blue team. On peut avoir envie, plus ou moins consciemment, de montrer ce que l’on sait et ce que l’on sait faire : il peut y avoir une tendance à basculer dans un rôle de Red teamer, sans s’en rendre compte. À chaque membre de la Blue team de prendre garde à bien maintenir son cap et à ne pas déborder du rôle qui est le sien. Cela peut générer des frustrations à l’occasion, mais il faut se rappeler que chercher la faille simple n’est pas – et c’est là toute l’ironie – un exercice facile. Le rôle de Blue teamer prend dès lors une dimension très ludique et très valorisante à la fois », reconnaît Alessio D. « L’un des avantages flagrants est que passer d’une Blue team à une Red team est relativement aisé. Si la monotonie ou l’ennui s’installe, on peut assez facilement envisager de changer d’équipe et d’horizon, avec pas mal de perfectionnements à la clé – pour l’entreprise et sa sécurité d’une part, pour l’employé et ses compétences d’autre part. »

En résumé

Quelles sont les missions d’un Blue Teamer ?

Les missions d’un Blue Teamer sont intimement liées aux enjeux de Threat Intelligence. Ce professionnel est chargé de centraliser et d’analyser un maximum de données en accès public, dans le but de rassembler de nouvelles connaissances sur des attaquants potentiels, leurs motivations, leurs méthodes et leurs outils. À terme, il s’agit d’adapter et renforcer les protections de la structure sur la base de ces données et des tendances suspectées.

Quel est le salaire du Blue Teamer ?

Le salaire de base moyen d’un Blue Teamer est de 5 400 euros bruts par mois pour un premier poste. Deux ans de carrière suffisent pour se rapprocher de la frontière des 6 000 euros bruts mensuels. En fin de parcours, un Blue Teamer touchera environ 8 200 euros bruts par mois.

Quel niveau d’étude et formation pour devenir Blue Teamer ?

De même que tous les métiers techniques de la sphère cyber, les fonctions d’un Blue Teamer sont accessibles à partir d’un Bac +5. Toute formation technique de niveau supérieur, avec une spécialité en gestion et intelligence des données, sera fortement appréciée, de même que les cursus approfondissant les sujets de cybersécurité de manière générale.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique et sciences informatiques.

Métiers proches d’un Blue Teamer

Continuez vos recherches autour des métiers de la cybersécurité :