Syllabus : Purple Team et amélioration continue

Objectifs pédagogiques

• Comprendre la philosophie Purple Team et son positionnement par rapport aux exercices Red/Blue Team.
• Concevoir et exécuter des exercices Purple Team structurés avec le framework MITRE ATT&CK.
• Mesurer et améliorer la couverture de détection face aux TTP adverses.
• Mettre en place un cycle d'amélioration continue de la posture de sécurité.

Séquences

1. Séance 1 · 5 h

   Fondamentaux du Purple Teaming

   Philosophie Purple Team vs Red/Blue Team, bénéfices de la collaboration offensive-défensive, maturité organisationnelle requise, frameworks de référence (MITRE ATT&CK, DETT&CT), rôles et responsabilités, métriques de succès.

   Activité : Atelier : évaluation de la maturité Purple Team d'une organisation fictive et construction d'une feuille de route d'implémentation avec objectifs à 3, 6 et 12 mois.

2. Séance 2 · 6 h

   Cartographie des défenses et gap analysis

   Inventaire des capacités de détection existantes (SIEM, EDR, NDR), mapping sur MITRE ATT&CK avec DETT&CT, identification des gaps de visibilité et de détection, priorisation des TTP à tester.

   Activité : Lab : utilisation de DETT&CT pour cartographier la couverture de détection d'un SOC simulé, identification des techniques non couvertes et priorisation par risque sectoriel.

3. Séance 3 · 7 h

   Conception et exécution d'exercices Purple Team

   Planification d'un exercice Purple Team (scénarios, TTP ciblées, critères de succès), exécution collaborative avec Atomic Red Team, documentation temps réel des résultats, communication Red-Blue en direct.

   Activité : Lab : exécution d'un exercice Purple Team sur 10 techniques MITRE ATT&CK avec Atomic Red Team : émulation offensive, observation des alertes côté défensif, et documentation des gaps.

4. Séance 4 · 7 h

   Amélioration des règles de détection

   Écriture et tuning de règles de détection (Sigma, YARA, Suricata), réduction des faux positifs, corrélation d'événements multi-sources, création de playbooks de réponse, validation par re-test.

   Activité : Lab : pour chaque gap identifié lors de l'exercice précédent, écriture de règles Sigma, déploiement dans le SIEM, et validation par re-exécution des techniques d'attaque.

5. Séance 5 · 7 h

   Émulation de menaces avancées

   Émulation de groupes APT complets (MITRE Engenuity evaluations), simulation de kill chains multi-étapes, test des capacités de réponse à incident, évaluation de la résilience face à des scénarios réalistes.

   Activité : Lab : émulation d'un groupe APT sectoriel complet (kill chain de 8 étapes), mesure de la détection à chaque étape, et évaluation du temps moyen de détection et de réponse.

6. Séance 6 · 5 h

   Métriques, reporting et amélioration continue

   KPI Purple Team (couverture de détection, MTTD, MTTR, taux de faux positifs), dashboards de suivi, reporting exécutif, cycle d'amélioration continue, intégration dans la gouvernance sécurité.

   Activité : Atelier : construction d'un dashboard Purple Team avec métriques clés, rédaction d'un rapport exécutif de synthèse et proposition d'un plan d'amélioration trimestriel.

7. Séance 7 · 7 h

   Exercice de synthèse : programme Purple Team complet

   Mise en œuvre d'un cycle Purple Team complet : gap analysis, planification d'exercice, exécution, amélioration des détections, re-test et reporting final.

   Activité : Exercice : cycle Purple Team complet sur un scénario de ransomware : de l'évaluation initiale à l'amélioration des détections, avec mesure de la progression et présentation du bilan.

Évaluation

Participation aux exercices collaboratifs (30 %), qualité des règles de détection produites (30 %), rapport final et métriques d'amélioration (40 %).

Prérequis

Expérience en Red Team ou Blue Team, maîtrise de MITRE ATT&CK, familiarité avec un SIEM et un EDR.

Outils et environnement

• ·Atomic Red Team
• ·MITRE ATT&CK Navigator
• ·DETT&CT
• ·Sigma Rules
• ·Elastic SIEM / Splunk
• ·Velociraptor