Quel est le rôle d’un analyste SOC ?

17 septembre 2024
Romain, analyste SOC chez SkillX

Le SOC, ou Security Operations Center, est une équipe au sein d’une entreprise dédiée à garantir la sécurité globale de l’organisation, principalement la protection des systèmes sensibles. Mais qui sont les collaborateurs qui constituent ce Centre des Opérations de Sécurité ? Quel est le rôle d’un analyste SOC ?

 

Un analyste SOC surveille, détecte et répond aux menaces de cybersécurité pour protéger les systèmes d’informations de l’entreprise par l’analyse de logs et la configuration d’outils de cybersécurité comme un SIEM (Security information and event management) ou encore un EDR (Endpoint detection and response).

 

Selon son niveau et son expérience, l’analyste SOC crée des règles de détection basées sur des logs, ainsi, il analyse ces détections grâce à ses compétences et à la Cyber Threat Intelligence (CTI). Il propose ensuite une investigation pour expliquer le comportement suspect et formuler des recommandations. Ces recommandations aident à traiter la détection ou, au minimum, permet d’améliorer la règle afin d’éviter un faux positif. C’est-à-dire une détection qui n’est pas une vraie alerte, mais seulement un comportement ayant déclenché une alarme.

 

Découvre le métier d’analyste SOC à travers 10 questions posées à Romain, analyste SOC de l’équipe SkillX :

 

Quelles sont les principales compétences requises pour être analyste SOC ?

La compétence principale d’un analyste SOC est l’organisation. Être organisé permet d’offrir des analyses rigoureuses et de travailler sur des templates. Une bonne organisation permet de gagner du temps et d’éviter de refaire constamment le même travail, car celui-ci peut être automatisé ou facilité grâce à des modèles prédéfinis.

Cette organisation permet également de proposer des analyses et des investigations claires, précises et bien documentées, ce qui est crucial dans notre domaine pour comprendre une menace.

 

Quelles sont les compétences techniques requises pour être analyste SOC ?

Il faut avoir une vision globale des domaines techniques de l’informatique. Il est important d’avoir des notions de :

  • Système ;
  • Réseau ;
  • Base de données ;
  • Programmation et développement ;
  • Architecture des SI ;
  • Infrastructure à clés publiques (PKI) ;
  • Gestion d’identité (IAM).

 

Quelle est la formation pour devenir analyste SOC ?

Il existe plusieurs chemins pour le devenir. Typiquement, la formation de base est souvent une école d’ingénieur spécialisée en cybersécurité.

De plus en plus d’écoles offrent des formations pour devenir analyste SOC, mais il faut être vigilant·e lors du choix de son établissement.

« Personnellement, je conseille aux étudiants de choisir une formation en alternance après le bac (BTS, licence). Si l’alternance n’est pas possible dès la première année post-bac, il est préférable de faire les deux premières années en continu, puis d’opter pour l’alternance jusqu’au Master. Cela permet d’une part de financer sa formation et, d’autre part, d’acquérir une expérience pratique sur le terrain. »

 

Quelles sont les principales activités quotidiennes d’un analyste SOC ?

Les activités quotidiennes incluent :

  • traitement des incidents remontés par les outils,
  • veille technologique sur les menaces cyber,
  • création et maintien de règles de détection,
  • réunions de suivi,
  • création de KPI (indicateurs clés de performance),
  • automatisation des tâches,
  • montée en compétences et formation continue.

 

Quels sont les principaux outils utilisés par les analystes SOC ?

Le SIEM est au cœur de la plupart des SOC. Aussi, sont souvent utilisés des logiciels de sécurité comme les EDR, ainsi que tous les systèmes fournissant des logs pour les détections : systèmes Windows et Linux, proxy, firewalls, WAF, etc. Pour les entreprises les plus avancées, des détections peuvent aussi être effectuées sur des logiciels métiers.

➡️ Il est donc primordial pour l’analyste de se former et d’être en veille active sur les différents outils de cybersécurité.

 

Qu'est-ce qu'un analyste SOC ?

 

Comment les analystes SOC collaborent-ils avec les autres équipes de l’organisation ?

L’analyste SOC travaille principalement par tickets. Lors d’une détection d’incident, une sévérité est attribuée. Selon son niveau, des tickets sont créés pour les équipes concernées. La criticité, et donc la priorité de prise en charge d’un incident, est évaluée en fonction de son impact et de son urgence pour l’organisation.

➡️ Par exemple, un incident P1 est un incident critique alors qu’un incident P2 est une priorité élevée, et un incident P3 une priorité moyenne, etc.

Pour les détections critiques (P1), des SLA (Service-Level Agreement) sont définis pour un traitement rapide. Les équipes sont souvent astreintes pour gérer les incidents critiques en dehors des heures de travail. Ça fait partie du jeu !

 

Quels sont les principaux défis des analystes SOC ?

Un des plus grands défis est de suivre les nouvelles menaces et les acteurs malveillants. Chaque jour, de nouvelles vulnérabilités apparaissent : l’analyste doit les suivre pour comprendre quand un système est vulnérable.

 

Quelles sont les perspectives d’évolution pour un analyste SOC ?

Il ou elle peut évoluer vers un poste de manager SOC, responsable des équipes. Il peut également intégrer un CERT : une équipe spécialisée dans l’analyse des menaces émergentes. En fonction de sa montée en compétences, certaines opportunités peuvent être trouvées pour devenir auditeur de sécurité (notre article sur l’importance des audits de sécurité réguliers ici), analyste forensic ou chef de projet sécurité.

 

Quel est le profil type d’un·e analyste SOC performant·e ?

Un analyste SOC est généralement un passionné de cybersécurité, capable de suivre l’actualité cyber et d’assimiler rapidement les techniques des cybercriminels.

 

Quels sont les avantages et inconvénients du métier d’analyste SOC ?

« Ce métier est passionnant car il permet de travailler sur de nouveaux sujets chaque jour et d’être au cœur de l’actualité cyber. Il permet de se sentir challengé, et de sentir que nous montons en compétences progressivement. Cependant, ce métier exige évidemment de remettre en question ses méthodes et de se former en continu. »

 portrait

Romain LEFEVRE

Je m'appelle Romain et j'ai rejoint SkillX en octobre 2020 à la suite d'études en Cybersécurité. J'ai choisi SkillX pour ses valeurs de responsabilité, de confiance, d'innovation et de collaboration, mais aussi pour son approche d'entreprise libérée. Pour la Cybersécurité, j'ai une appétence pour les sujets de sensibilisation, de SOC et d'audit de sécurité. En dehors de la sphère professionnelle, je suis un passionné de sport avec comme principale activité le Water-Polo, mais je fais aussi de la natation, de la course à pied et du vélo. Je suis aussi un grand lecteur avec une préférence pour les sujets autour des sciences, de l'Intelligence Économique ou encore de la gestion des données personnelles.

Olivier ANDOH, fondateur de SkillX | Cybersécurité et cloud

Rencontrons nous !

Prenez rendez-vous avec l'équipe SkillX

Prendre RDV

⚡ Votre navigateur est obsolète ⚡

Mettre à jour mon navigateur