Blue Team
Qu'est-ce que Blue Team ?
Blue TeamÉquipe défensive chargée de surveiller, détecter, répondre et améliorer en continu les défenses face aux attaques.
Comme la red team, le concept de blue team provient des exercices militaires où la force "bleue" représentait les défenseurs. En cybersécurité, la blue team regroupe les analystes SOC, ingénieurs détection, responders, threat hunters et opérateurs des plateformes (SIEM, EDR, XDR, SOAR, IAM). Leur travail couvre prévention, détection, réponse et reprise : durcissement des systèmes, écriture et ajustement de détections, triage d'alertes, conduite d'investigations et retour d'expérience vers l'architecture et le processus. L'efficacité de la blue team se mesure souvent via le MTTD, le MTTR et la couverture de détection face à MITRE ATT&CK.
● Exemples
- 01
Un analyste SOC trie une alerte EDR et pivote sur les données SIEM pour confirmer un point d'ancrage issu d'un phishing.
- 02
Un ingénieur détection rédige une règle Sigma pour repérer la technique utilisée lors de l'exercice red team de la semaine.
● Questions fréquentes
Qu'est-ce que Blue Team ?
Équipe défensive chargée de surveiller, détecter, répondre et améliorer en continu les défenses face aux attaques. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Blue Team ?
Équipe défensive chargée de surveiller, détecter, répondre et améliorer en continu les défenses face aux attaques.
Comment se défendre contre Blue Team ?
Les défenses contre Blue Team combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.