Analyste SOC (Security Operations Center)

Techniciens et administrateurs systèmes et réseaux, responsables informatiques, consultants en sécurité, ingénieurs, architectes réseaux, chefs de projets techniques

Bonnes connaissances des réseaux et des systèmes d’information

Comprendre le rôle, les missions et l’environnement d’un analyste SOC - Maîtriser les fondamentaux de la cybersécurité défensive (logs, vulnérabilités, détection, corrélation) - Utiliser les principaux outils du SOC (SIEM, EDR, sondes, outils de ticketing et de CTI)- Analyser et corréler les événements de sécurité, qualifier et traiter les incidents- Collaborer avec les autres équipes de cybersécurité et réaliser une veille active

Définir le rôle de l’analyste SOC et les fondamentaux SOC & Threat Intelligence

Comprendre l’organisation et les missions d’un SOC (Niveaux 1, 2, 3, management)
Identifier les rôles et responsabilités d’un analyste SOC dans la chaîne de défense
Découvrir les principaux types de menaces et les concepts de base de la CTI (Cyber Threat Intelligence)
Relier SOC, CTI, gestion des vulnérabilités et gestion des incidents

Atelier fil rouge : cartographier les flux d’informations entre SOC, CTI, équipes réseau/systèmes et RSSI

Maîtriser la collecte de logs, la détection et la gestion des vulnérabilités

Comprendre les sources de logs : systèmes, applications, réseaux, sécurité, cloud
Configurer et interpréter les logs les plus importants pour la détection d’incidents
Découvrir les outils de gestion des vulnérabilités et leur intégration dans le SOC
Prioriser les vulnérabilités en tenant compte du contexte et des menaces actives

Atelier fil rouge : analyser un jeu de logs et de vulnérabilités et en extraire les événements les plus critiques

Utiliser un SIEM et automatiser les tâches récurrentes

Comprendre l’architecture et les fonctionnalités d’un SIEM
Créer et affiner des règles de corrélation et des alertes pertinentes
Mettre en place des tableaux de bord et des rapports pour le suivi des événements
Découvrir les principes d’automatisation via SOAR et scripts (playbooks, réponses automatiques)

Atelier fil rouge : construire une règle de corrélation simple dans un SIEM de labo et analyser les alertes générées

Investiguer des scénarios d’attaques et gérer les incidents

Suivre une chaîne d’attaque typique (kill chain) à partir d’alertes SIEM et d’indices techniques
Recouper différentes sources (logs, CTI, vulnérabilités) pour qualifier un incident
Appliquer les procédures de réponse : containment, éradication, remédiation, restauration
Documenter l’incident et assurer le transfert vers les équipes concernées (forensic, réseau, systèmes, gouvernance)

Atelier fil rouge : conduire une investigation complète sur un scénario d’attaque simulée et rédiger une fiche d’incident

Travailler en coordination et assurer la veille cyber

Collaborer avec les équipes réseau, systèmes, développement, DPO, RSSI
Communiquer efficacement les risques et incidents aux différents interlocuteurs
Mettre en place une veille structurée sur les menaces, vulnérabilités et techniques d’attaque
Construire un plan de montée en compétences et de spécialisation pour un analyste SOC

Atelier fil rouge final : élaborer un mini-plan d’amélioration pour un SOC (processus, outils, CTI, compétences)

Active Learning

contrôle continu ou certification si prévue dans le financement