La simulation d'attaques n'est plus réservée aux équipes rouges (red teams) opérant dans l'ombre ni aux exercices destructeurs qui paralysent les opérations. Le purple teaming — cette collaboration structurée entre équipes offensives et défensives — est devenu pour moi un levier pragmatique pour améliorer la posture de sécurité tout en maintenant la continuité du business. Dans cet article, je partage comment je conçois, planifie et exécute des campagnes de purple teaming pour générer des gains mesurables, réduire les risques et préserver la disponibilité des services.

Pourquoi le purple teaming change la donne

Dans beaucoup d'organisations, les exercices d'intrusion sont vus comme des audits ponctuels : on identifie des failles, on rédige un rapport et on espère que les correctifs seront appliqués. Le problème est qu'il y a souvent un écart entre découverte et action — et que les équipes défensives n'apprennent pas en temps réel comment les attaques réussissent.

Le purple teaming vise à combler cet écart. Au lieu de jouer chacun dans son coin, l'équipe offensive simule des techniques (souvent basées sur des frameworks comme MITRE ATT&CK) et l'équipe défensive observe, ajuste ses règles, ses playbooks et ses procédures en direct. Le résultat : apprentissage accéléré, détection améliorée et remédiation plus rapide — sans sacrifier la production.

Principes clefs pour ne pas interrompre le business

Pour que ces exercices restent compatibles avec les contraintes opérationnelles, j'applique systématiquement quelques règles de gouvernance :

  • Définir des périmètres clairs : environnements de test, segments réseau non critiques, ou créneaux horaires à faible activité.
  • Obtenir l'engagement des parties prenantes : DSI, CTO, sécurité, équipes ops et métiers doivent comprendre l'objectif et valider le calendrier.
  • Éviter les techniques destructrices : privilégier l'émulation de comportements (exfiltration simulée, commandes inoffensives) plutôt que la perturbation réelle.
  • Mettre en place un "kill switch" opérationnel : si un comportement inattendu impacte la production, l'exercice est arrêté immédiatement.
  • Documenter l'approche légale et conformité : s'assurer des implications RGPD, contrats tiers et obligations réglementaires.

    • Préparation : cartographier, prioriser, définir les scénarios

    Un bon exercice commence par une cartographie pragmatique des risques. Voici ma checklist de préparation :

  • Identifier les actifs critiques : API publiques, bases de données clients, systèmes de paiement, etc.
  • Prioriser les vecteurs réalistes : phishing, exploitation d'un service web, compromission d'un endpoint, mouvement latéral.
  • Construire des scénarios alignés sur la menace réelle : s'inspirer des incidents sectoriels et du modèle de l'adversaire (TTP).
  • Sélectionner des techniques MITRE ATT&CK associées et définir les indicateurs observables attendus.
  • Choisir l'environnement : staging isolé, lab cloud, ou production limitée (avec safeguards).

    • Parfois, revenir à l'élémentaire aide : reproduire une campagne de phishing ciblée sur une population restreinte permet souvent de révéler des lacunes organisationnelles plus critiques que des vulnérabilités techniques sophistiquées.

    Collaboration en direct : déroulé d'une session purple teaming

    Voici le déroulé type que j'utilise pour une session productive et sans risque :

  • Briefing initial (30-60 min) : objectifs, périmètre, rôles, règles d'engagement et procédure d'arrêt.
  • Phase d'émulation offensive : l'équipe rouge applique des techniques documentées, minute par minute.
  • Observation et détection : l'équipe bleue surveille, active règles SIEM, recettes EDR, playbooks SOAR et note les gaps.
  • Itération en temps réel : lorsque la défense manque une détection, l'offensive explique le déclencheur et on ajuste immédiatement les règles/signatures.
  • Validation des actions : on re-teste la même technique après ajustement pour s'assurer de l'efficacité.
  • Debrief et plan d'action : priorisation des remédiations, tickets, responsabilités et timeline.

    • Cet enchaînement “attaquer—détecter—corriger—vérifier” sur une même session accélère la montée en compétence et réduit le délai entre découverte et correction.

    Outils et ressources pratiques

    Pour exécuter des exercices sûrs, je m'appuie sur un mix d'outils open source et commerciaux :

  • MITRE ATT&CK : référence pour construire des scénarios et communiquer les TTP.
  • Atomic Red Team (FireEye) : petites "atomes" d'attaques faciles à exécuter pour valider des détections.
  • Caldera (MITRE) : framework d'automatisation pour émuler adversaires sur un périmètre contrôlé.
  • EDR/SIEM/SOAR : utiliser les capacités existantes (CrowdStrike, Sentinel, Splunk, Elastic, Palo Alto Cortex, etc.) pour mesurer la détection et l'automatisation de réponse.
  • Simulateurs de phishing : KnowBe4, Cofense, ou solutions internes pour exercices utilisateurs.
  • Environnements cloud isolés : AWS/Azure/GCP pour des tests à moindre risque.

    • Attention toutefois à l'usage d'outils à double emploi (ex : Cobalt Strike) : ils sont puissants mais nécessitent des garde-fous stricts et un cadre légal clair.

    Mesurer l'impact : KPIs et tableaux de bord

    Pour convaincre les décideurs, il faut chiffrer les progrès. Je recommande ces KPIs simples et actionnables :

  • Temps moyen de détection (MTTD) par technique/TTP.
  • Temps moyen de réponse (MTTR) : du déploiement de la règle à la remédiation effective.
  • Taux de détection par canal (EDR, SIEM, logs applicatifs).
  • Régressions détectées : nombre de règles qui diminuent l'alerte bruit vs. couverture réelle.
  • Nombre de vulnérabilités corrigées via les sessions purple teaming.

    • Un tableau de bord synthétique permet de suivre l'évolution session après session et de montrer le ROI en réduction d'exposition et en amélioration opérationnelle.

    Culture et compétences : le point le plus important

    Le purple teaming n'est pas juste technique : c'est un catalyseur culturel. Pour qu'il fonctionne :

  • Favoriser la transparence : partager les résultats, les erreurs et les apprentissages sans blâme.
  • Former au croisement des compétences : organiser des ateliers où les ingénieurs réseau apprennent des analystes SOC et vice-versa.
  • Institutionnaliser le feedback : intégrer les retours dans les sprints sécurité et les roadmaps produit.
  • Impliquer les métiers : comprendre les priorités business pour calibrer les risques et les scénarios.

    • Souvent, la plus grande valeur vient moins de la technique testée que de la qualité des échanges entre équipes : quand elles parlent le même langage, elles construisent des défenses plus robustes et pragmatiques.

    Exemples concrets d'impact

    Dans une mission récente, nous avons reproduit un mouvement latéral simple basé sur l'exploitation d'authentification Windows obsolète dans un environnement de staging. En travaillant en direct, l'équipe sécurité a mis en place une règle EDR qui détecte l'anomalie de comportement et un playbook SOAR qui isole le poste en 3 minutes. Résultat : MTTD réduit de plusieurs heures à quelques minutes dans l'environnement testé, et la règle a ensuite été déployée en production lors d'une fenêtre approuvée.

    Autre cas : un exercice de phishing ciblé limité à 5% des employés a permis d'identifier une faiblesse dans l'onboarding des nouveaux arrivants. La remédiation n'était pas technique mais procédurale : un module de formation obligatoire et un contrôle d'accès mieux configuré. Le purple teaming a donc généré une action transverse à fort impact.

    Ces exemples montrent que le purple teaming est un outil flexible : il détecte les défauts techniques, mais révèle aussi les frictions organisationnelles qui créent des risques.