Qu'est ce qu'un Analyste SOC ?

L'Analyste SOC (Security Operations Center) est un défenseur en première ligne. Son métier : surveiller en continu les systèmes d'information d'une organisation, détecter les comportements suspects, qualifier les alertes, et répondre aux incidents de sécurité. Il opère au sein d'un SOC interne ou d'un MSSP (Managed Security Service Provider).

Les SOC s'organisent en plusieurs niveaux : N1 (triage et qualification d'alertes), N2 (investigation approfondie), N3 (réponse à incident, threat hunting). Au-dessus se trouvent les Threat Intel Analysts et Incident Response Leads.

Pourquoi recruter un Analyste SOC ?

Toute organisation traitant des données sensibles ou avec une surface d'attaque significative doit pouvoir détecter et répondre aux attaques en temps réel - pas après coup. Sans SOC ou avec un SOC sous-staffé, les alertes s'accumulent, les attaques passent sous le radar, et le temps de détection (MTTD) dépasse les seuils acceptables.

Le SOC est aussi un prérequis pour les certifications (SOC2, ISO 27001) et pour les exigences sectorielles (NIS2, DORA).

Quel rôle joue l'Analyste SOC ?

L'Analyste SOC est rattaché à l'équipe sécurité opérationnelle (sous un Head of SOC, Lead SOC, ou CISO). Il travaille en 8/5 ou en 24/7 selon la criticité. Il collabore avec les équipes IT, Platform, AppSec, et les équipes business en cas d'incident affectant un service.

Son outil principal : un SIEM (Splunk, Elastic, Sentinel, Chronicle), souvent complété par un SOAR pour automatiser les playbooks et un EDR (CrowdStrike, SentinelOne, Defender).

Quelles sont les missions de l'Analyste SOC ?

• Trier les alertes entrantes : qualifier vrai positif vs faux positif, prioriser.
• Investiguer les incidents : timeline d'attaque, IoCs, scope d'impact.
• Répondre aux incidents : containment, eradication, recovery selon les playbooks.
• Tuner les détections : créer / améliorer les règles SIEM, réduire les faux positifs.
• Faire du threat hunting (N3) : chercher proactivement les compromissions silencieuses.
• Documenter les incidents : timeline, lessons learned, mises à jour des playbooks.
• Intégrer la threat intel : MITRE ATT&CK, IOCs, TTPs.

Quelles compétences clés ?

• Compréhension solide des protocoles réseau (TCP/IP, DNS, HTTP, TLS)
• Connaissance des systèmes : Windows AD, Linux, Mac, cloud (AWS/GCP/Azure)
• Maîtrise d'au moins un SIEM majeur (Splunk, Elastic, Sentinel, QRadar)
• EDR/XDR : CrowdStrike, SentinelOne, Defender for Endpoint
• Connaissance des frameworks : MITRE ATT&CK, kill chain, NIST CSF
• Scripting : Python, PowerShell, Bash pour automatiser les investigations
• Certifications appréciées : Security+, CySA+, GCIA, GCFA

Les soft skills

Sang-froid en crise (un incident sérieux peut durer des heures), rigueur (chaque étape doit être documentée), curiosité (ne pas se contenter d'un "alerte fermée"), et endurance (les attaquants n'ont pas d'horaires).

Quel salaire pour un Analyste SOC ?

N1 (junior) : 35K€-45K€. N2 (confirmé) : 45K€-60K€. N3 / Senior IR / Threat Hunter : 60K€-90K€. Lead SOC / Head of SOC : 80K€-120K€+. Le 24/7 ajoute typiquement 10-20% de primes/astreintes.

Comment évolue la carrière d'un Analyste SOC ?

Évolution N1 → N2 → N3 → Lead SOC → Head of SOC. Bascule possible vers Incident Responder senior, Threat Hunter, DFIR Consultant, Detection Engineer, ou Threat Intel Analyst. Certains pivotent vers le côté offensif (pentester) ou vers l'AppSec.