Fighters in the War Against Cybercrime
Qui protège nos systèmes ? Découvre les professionnels, les équipes, les outils et les parcours de carrière dans le monde de la cybersécurité.
- Comprendre le fonctionnement d'un SOC (Security Operations Center)
- Identifier les rôles clés en cybersécurité et leurs certifications
- Connaître les outils essentiels du SOC analyst (SIEM, SOAR, ticketing)
- Maîtriser le NIST Incident Response Lifecycle
- Différencier SOC, CSIRT et CERT
- Découvrir les frameworks : NIST CSF, ISO 27001, MITRE ATT&CK, NICE
- Comprendre les métriques SOC : MTTD, MTTR, taux de faux positifs
- Explorer les parcours de carrière et salaires indicatifs
🏢 2.1 — Le SOC (Security Operations Center)
Le SOC est le centre névralgique de la défense en cybersécurité d'une organisation. C'est une équipe dédiée qui surveille, détecte, analyse et répond aux incidents de sécurité 24 heures sur 24, 7 jours sur 7.
Imagine la tour de contrôle d'un aéroport. Des écrans partout, des opérateurs qui surveillent chaque avion, chaque piste, chaque alerte météo. Si quelque chose d'anormal est détecté, un protocole d'urgence se déclenche immédiatement. Le SOC, c'est exactement la même chose, mais pour le réseau et les systèmes informatiques d'une organisation.
Les niveaux du SOC (Tier Model)
Le SOC fonctionne avec un modèle hiérarchique en 3 niveaux. Chaque niveau a des responsabilités, des outils et des compétences différentes. L'escalade suit un chemin précis : Tier 1 vers Tier 2, Tier 2 vers Tier 3.
Tier 1 — Alert Analyst (Analyste d'alertes)
C'est la première ligne de défense. Les analystes Tier 1 surveillent les alertes en temps réel et effectuent le tri initial (triage).
- Surveiller les tableaux de bord et les alertes du SIEM en continu (24/7)
- Classifier les alertes : vrai positif (True Positive), faux positif (False Positive), ou bénin (Benign True Positive)
- Escalader les incidents confirmés au Tier 2 via le système de ticketing
- Documenter chaque alerte traitée dans le système de tickets (Jira, ServiceNow)
- Appliquer les playbooks de triage standard (runbooks prédéfinis)
- Vérifier les IoC (Indicators of Compromise) dans les bases de threat intelligence
Outils principaux : Console SIEM (Splunk, QRadar), système de ticketing (ServiceNow, Jira), outils de threat intel (VirusTotal, AbuseIPDB), EDR (CrowdStrike, Carbon Black).
Volume typique : Un analyste Tier 1 traite en moyenne 20 à 25 alertes par jour. Un SOC moyen génère entre 500 et 10 000+ alertes/jour selon la taille de l'organisation.
Salaire indicatif (US) : 55 000 - 75 000 $/an | Certifications recommandées : CyberOps Associate, CompTIA Security+, Splunk Core Certified User.
C'est comme le gardien à l'entrée d'un immeuble : il vérifie les badges, note les visiteurs et appelle le responsable si quelque chose est suspect.
Tier 2 — Incident Responder (Répondeur d'incidents)
Les Tier 2 prennent en charge les incidents escaladés par le Tier 1 et mènent une investigation approfondie. Ils sont responsables du containment (confinement) et de la remediation.
- Analyser en profondeur les incidents : forensics léger, analyse de malware de base
- Corréler les événements de plusieurs sources (SIEM, EDR, firewall, proxy, DNS)
- Contenir la menace : isoler un poste, bloquer une IP, désactiver un compte compromis
- Proposer des remédiations et suivre la résolution complète de l'incident
- Créer et améliorer les règles de détection (SIEM rules, YARA rules)
- Rédiger les rapports d'incident détaillés pour le management
Outils principaux : SIEM avancé (corrélation custom), outils forensics (FTK, Autopsy, Volatility), sandboxes malware (Cuckoo, Any.Run), SOAR (Palo Alto XSOAR, Splunk SOAR).
Métriques clés : Temps moyen de confinement, taux de ré-escalade vers Tier 3, qualité des rapports d'incident.
Salaire indicatif (US) : 75 000 - 110 000 $/an | Certifications recommandées : CySA+, GCIH, CEH, ECIH.
Si le Tier 1 est le gardien, le Tier 2 est l'inspecteur de police : il enquête, reconstitue les événements et prend des mesures pour stopper la menace.
Tier 3 — Threat Hunter / Expert SME
Les experts Tier 3 ne se contentent pas de réagir aux alertes : ils cherchent proactivement les menaces qui auraient pu échapper aux systèmes de détection. Ce sont les Subject Matter Experts (SME) du SOC.
- Threat hunting : recherche proactive de menaces cachées en utilisant des hypothèses basées sur le renseignement
- Reverse engineering de malware avancé (analyse statique et dynamique)
- Améliorer les règles de détection, les playbooks et les procédures du SOC
- Analyser les Threat Intelligence feeds et les rapports APT (Advanced Persistent Threat)
- Développer des outils et scripts d'automatisation custom (Python, PowerShell)
- Évaluer les nouvelles technologies de sécurité et recommander des améliorations
- Mentorer les analystes Tier 1 et Tier 2
Outils principaux : Debuggers (IDA Pro, Ghidra), threat intel platforms (MISP, OpenCTI, ThreatConnect), outils de hunting (ELK Stack, Jupyter Notebooks), sandboxes avancées.
Salaire indicatif (US) : 110 000 - 160 000 $/an | Certifications recommandées : OSCP, GREM, GCFA, CISSP.
Le Tier 3, c'est l'agent secret : il ne réagit pas aux alarmes, il infiltre, traque et trouve les menaces avant qu'elles ne frappent.
SOC Manager (Responsable du SOC)
Le SOC Manager supervise l'ensemble de l'équipe SOC et fait le lien entre les opérations techniques et la direction.
- Gérer l'équipe SOC : recrutement, formation, planning des rotations 24/7
- Définir et suivre les KPIs et métriques du SOC (MTTD, MTTR, taux de faux positifs)
- Rapporter au CISO et à la direction sur l'état de la sécurité
- Gérer le budget du SOC : outils, licences, formations, certifications
- Coordonner avec les autres équipes (IT, développement, juridique, CSIRT)
- Réviser les processus et améliorer l'efficacité opérationnelle
Salaire indicatif (US) : 120 000 - 180 000 $/an | Certifications recommandées : CISSP, CISM, GSOM.
Métriques clés du SOC
Un SOC performant se mesure à travers des métriques précises (KPIs). Ces indicateurs sont essentiels pour évaluer l'efficacité de l'équipe et justifier les investissements auprès de la direction.
| Métrique | Description | Valeur cible typique |
|---|---|---|
| MTTD (Mean Time To Detect) | Temps moyen entre le début d'une intrusion et sa détection par le SOC | < 24 heures (objectif : minutes) |
| MTTR (Mean Time To Respond) | Temps moyen entre la détection d'un incident et sa résolution complète | < 4 heures pour les incidents critiques |
| MTTC (Mean Time To Contain) | Temps moyen pour contenir (isoler) une menace après détection | < 1 heure pour les incidents critiques |
| Taux de faux positifs | Pourcentage d'alertes qui s'avèrent non malveillantes après investigation | Industrie : ~80% (objectif : le réduire au maximum) |
| Taux d'escalade | Pourcentage d'alertes Tier 1 escaladées au Tier 2 | 10-20% des alertes traitées |
| Alertes/jour | Volume total d'alertes générées quotidiennement par le SIEM | 500 à 10 000+ (selon la taille de l'organisation) |
| Dwell time | Durée totale pendant laquelle un attaquant reste présent dans le réseau sans être détecté | Moyenne industrie : ~16 jours (objectif : le minimiser) |
MTTD mesure la rapidité de détection. MTTR mesure la rapidité de réponse/résolution. Dwell time = durée de présence de l'attaquant. Un SOC efficace cherche à minimiser ces trois métriques. Le taux de faux positifs élevé (~80%) est un des plus grands défis du SOC : il provoque la alert fatigue (fatigue des analystes).
👥 2.2 — Les rôles clés en cybersécurité
La cybersécurité ne se résume pas au SOC. Il existe de nombreux rôles spécialisés, chacun avec ses responsabilités, compétences, certifications recommandées et salaires distincts.
| Rôle | Mission principale | Compétences clés | Certifications | Salaire (US) |
|---|---|---|---|---|
| SOC Analyst (Tier 1) | Surveiller et trier les alertes de sécurité 24/7 | SIEM, analyse de logs, triage, ticketing | CyberOps Associate, Security+ | 55-75k $ |
| Incident Responder (Tier 2) | Investiguer et contenir les incidents | Forensics, analyse réseau, playbooks, SOAR | CySA+, GCIH, CEH | 75-110k $ |
| Threat Hunter (Tier 3) | Rechercher proactivement les menaces cachées | Threat intelligence, reverse engineering, scripting | OSCP, GREM, GCFA | 110-160k $ |
| Security Engineer | Concevoir et déployer les solutions de sécurité | Firewalls, IDS/IPS, architecture réseau, cloud security | CCNP Security, AWS Security | 100-150k $ |
| Penetration Tester | Tester les défenses en simulant des attaques | Exploitation, scripting, reporting, red teaming | OSCP, CEH, GPEN | 90-140k $ |
| Security Architect | Concevoir l'architecture de sécurité globale | Design sécurisé, zero trust, cloud, framework | CISSP, SABSA, TOGAF | 130-180k $ |
| Compliance Officer | Assurer la conformité aux régulations (RGPD, PCI-DSS, HIPAA, SOX) | Audit, risk assessment, connaissance légale, documentation | CISA, CRISC, CIPP | 80-130k $ |
| Security Auditor | Évaluer l'efficacité des contrôles de sécurité via des audits | Audit technique, ISO 27001, tests de conformité, reporting | CISA, ISO 27001 Lead Auditor | 85-130k $ |
| Forensic Analyst | Analyser les preuves numériques après un incident | Disk forensics, memory forensics, chaîne de custody, legal | GCFE, EnCE, CHFI | 75-120k $ |
| CISO | Définir et piloter la stratégie de sécurité globale | Gouvernance, risk management, leadership, budget | CISSP, CISM, CCISO | 200-400k $ |
Pense à une équipe de pompiers. Le SOC Analyst est la vigie qui surveille les détecteurs de fumée. L'Incident Responder est le pompier qui part éteindre le feu. Le Threat Hunter est l'inspecteur qui enquête sur les causes d'incendies pour les prévenir. Le Security Engineer conçoit les systèmes anti-incendie. Le Compliance Officer vérifie que les normes de sécurité incendie sont respectées. Le Security Auditor inspecte les bâtiments. Le CISO est le directeur de la caserne qui coordonne tout.
Le Compliance Officer travaille en interne pour s'assurer que l'organisation respecte les régulations en continu (RGPD, PCI-DSS, HIPAA). Le Security Auditor effectue des évaluations ponctuelles (souvent externe) pour vérifier l'efficacité des contrôles de sécurité. Le Compliance Officer est proactif et continu ; l'Auditor est réactif et périodique.
🚨 2.3 — SOC vs CSIRT vs CERT : les différences
Ces trois entités sont souvent confondues. Bien qu'elles collaborent étroitement, elles ont des missions, des portées et des modes de fonctionnement distincts.
| Caractéristique | SOC | CSIRT | CERT |
|---|---|---|---|
| Nom complet | Security Operations Center | Computer Security Incident Response Team | Computer Emergency Response Team |
| Mission principale | Surveillance continue et détection des menaces 24/7 | Réponse coordonnée aux incidents de sécurité | Coordination nationale/sectorielle de la réponse aux urgences cyber |
| Mode de fonctionnement | Opérationnel 24/7 en continu | Activé lors d'incidents majeurs (peut être permanent ou ad hoc) | Permanent, souvent gouvernemental ou universitaire |
| Focus | Détection, monitoring, triage, escalade | Investigation, containment, eradication, recovery | Coordination, advisories, partage d'information inter-organisations |
| Portée | Interne à l'organisation | Interne ou sectoriel | National, gouvernemental, ou sectoriel (souvent plus large) |
| Approche | Réactive (alertes) + proactive (hunting) | Principalement réactive (incidents déclarés) | Proactive (advisories, vulnérabilités) + réactive (urgences) |
| Exemples | SOC interne d'une entreprise, MSSP (Managed SOC) | CSIRT d'une banque, CSIRT d'un ministère | CERT/CC (Carnegie Mellon), CERT-FR (ANSSI), US-CERT |
SOC = surveillance continue, détection, triage (les yeux de l'organisation). CSIRT = équipe de réponse aux incidents activée quand un incident est confirmé (les pompiers). CERT = coordination à grande échelle, souvent gouvernemental, publie des advisories (le centre national de crise). En pratique, le terme CERT est une marque déposée par Carnegie Mellon University ; c'est pourquoi beaucoup d'équipes utilisent le terme CSIRT.
Missions du CSIRT
Mission principale : coordonner la réponse lorsqu'un incident de sécurité majeur est détecté. Le CSIRT suit le cycle de réponse NIST SP 800-61.
- Identification : confirmer et qualifier l'incident (severity, scope, impact)
- Containment : limiter la propagation de la menace (short-term et long-term containment)
- Eradication : supprimer la menace du système (malware removal, patching)
- Recovery : restaurer les systèmes à leur état normal et valider le retour en production
- Lessons Learned : documenter, analyser la root cause, et améliorer les défenses
Le CSIRT assure une veille permanente sur les nouvelles vulnérabilités et menaces :
- Suivi des CVE (Common Vulnerabilities and Exposures) et scoring CVSS
- Analyse des Threat Intelligence feeds (STIX/TAXII)
- Publication d'advisories et d'alertes internes
- Partage d'informations avec d'autres CSIRT via des réseaux de confiance (FIRST, TF-CSIRT)
- Analyse des IoC (Indicators of Compromise) et diffusion aux équipes SOC
Un bon CSIRT ne se contente pas de réagir. Il forme et prévient :
- Formation des employés à la sécurité (security awareness)
- Simulations de phishing pour tester la vigilance
- Rédaction de playbooks de réponse aux incidents
- Exercices de tabletop (simulation d'incident sur table)
- Organisation de red team/blue team exercises
| Organisation | Pays / Portée | Description |
|---|---|---|
| CERT/CC | USA | Le premier CERT, créé en 1988 à Carnegie Mellon University après le Morris Worm |
| ANSSI / CERT-FR | France | CERT gouvernemental français, rattaché à l'ANSSI |
| US-CERT (CISA) | USA | CERT du Department of Homeland Security, aujourd'hui sous CISA |
| ENISA | Union Européenne | Agence européenne de cybersécurité, coordonne les CERTs nationaux |
| FIRST | International | Forum of Incident Response and Security Teams — réseau mondial de CSIRTs |
🛠️ 2.4 — Les outils du SOC Analyst
Un SOC analyst utilise quotidiennement un ensemble d'outils pour surveiller, détecter et analyser les menaces. Voici les outils essentiels par catégorie :
SIEM — Security Information and Event Management
Le cerveau du SOC
Le SIEM collecte, agrège, normalise et corrèle les logs provenant de toutes les sources du réseau (serveurs, firewalls, endpoints, applications, cloud) et génère des alertes quand un comportement suspect est détecté grâce à des règles de corrélation.
Fonctions clés :
- Log collection : ingestion centralisée de tous les logs (Syslog, Windows Event Logs, API)
- Normalization : standardisation des formats de logs hétérogènes
- Correlation : application de règles pour détecter des patterns suspects
- Alerting : génération d'alertes priorisées (Critical, High, Medium, Low)
- Dashboards : tableaux de bord en temps réel pour les analystes
- Reporting : rapports de conformité (PCI-DSS, HIPAA, SOX)
- Retention : stockage des logs pour investigation forensique (souvent 90 jours à 1 an)
Analogie : Le SIEM est comme le tableau de bord central d'une voiture de course. Il rassemble toutes les données (vitesse, température, pression) en un seul endroit et allume un voyant rouge quand quelque chose ne va pas.
| Solution SIEM | Éditeur | Particularité |
|---|---|---|
| Splunk Enterprise Security | Splunk (Cisco) | Leader du marché, SPL (Search Processing Language) puissant, très extensible |
| IBM QRadar | IBM | Corrélation avancée, intégré avec Watson AI, populaire dans les grandes entreprises |
| ArcSight | Micro Focus (OpenText) | Un des plus anciens SIEM, fort en corrélation, utilisé par les gouvernements |
| Microsoft Sentinel | Microsoft | SIEM cloud-native Azure, intégré avec l'écosystème Microsoft 365 |
| Elastic SIEM | Elastic | Open source (ELK Stack), flexible, bon rapport qualité/prix |
| Google Chronicle | Google Cloud | SIEM cloud avec capacité de recherche massive sur les logs |
IDS/IPS — Intrusion Detection / Prevention System
Détection et blocage d'intrusions
L'IDS (Intrusion Detection System) analyse le trafic réseau et alerte en cas de comportement suspect. L'IPS (Intrusion Prevention System) va plus loin : il bloque automatiquement le trafic malveillant.
Analogie : L'IDS est comme une caméra de surveillance qui détecte un intrus et sonne l'alarme. L'IPS est comme un portail automatique qui se ferme devant l'intrus pour l'empêcher d'entrer.
Exemples : Snort (IDS/IPS open source, basé sur des signatures), Suricata (multi-thread, supporte règles Snort), Cisco Firepower (NGIPS).
Wireshark — Network Protocol Analyzer
L'analyseur de paquets réseau
Wireshark capture et analyse les paquets réseau en temps réel. Il permet de voir exactement ce qui circule sur le réseau, paquet par paquet.
Analogie : Wireshark est comme un microscope pour le réseau. Tu peux examiner chaque "cellule" (paquet) de données qui circule, voir son contenu, sa source et sa destination.
Utilisations : Investigation d'incidents, analyse de malware réseau, dépannage, capture de preuves (forensics).
Firewall Logs — Journaux du pare-feu
La mémoire du gardien réseau
Les logs du firewall enregistrent toutes les connexions autorisées et bloquées. Ils sont essentiels pour comprendre qui tente d'accéder au réseau et ce qui est bloqué.
Analogie : Les firewall logs sont comme le registre d'entrée d'un immeuble sécurisé. On y voit qui est entré, qui a été refoulé, à quelle heure, et par quelle porte.
Informations clés : IP source/destination, port, protocole, action (allow/deny), timestamp, bytes transférés.
SOAR — Security Orchestration, Automation and Response
L'automatisation de la réponse
Le SOAR automatise les tâches répétitives du SOC grâce à des playbooks (séquences d'actions prédéfinies). Il orchestre les différents outils pour une réponse plus rapide et cohérente.
Les 3 piliers du SOAR :
- Orchestration : coordination automatisée entre les outils (SIEM, firewall, EDR, ticketing)
- Automation : exécution automatique des tâches répétitives (enrichissement d'IoC, blocage d'IP, isolation de poste)
- Response : exécution des playbooks de réponse aux incidents de bout en bout
Analogie : Le SOAR est comme un chef d'orchestre automatique. Quand une alerte arrive, il sait exactement quel instrument (outil) doit jouer, dans quel ordre, sans attendre qu'un humain donne chaque instruction.
Exemples : Palo Alto XSOAR (ex-Demisto), Splunk SOAR (ex-Phantom), IBM Resilient, Swimlane, Tines.
Ticketing Systems — Systèmes de gestion de tickets
Le suivi de chaque incident
Chaque alerte et incident doit être documenté et tracé dans un système de tickets. C'est essentiel pour le suivi, les métriques, l'audit et la conformité.
- ServiceNow : plateforme ITSM leader, module SecOps dédié à la cybersécurité
- Jira Service Management : populaire chez les équipes agiles, très personnalisable
- TheHive : plateforme open source conçue spécifiquement pour la réponse aux incidents
- RTIR (Request Tracker for Incident Response) : utilisé par de nombreux CERTs
Informations dans un ticket d'incident : Numéro unique, severity (Critical/High/Medium/Low), description, analyste assigné, timeline des actions, statut, resolution notes, temps de résolution.
Threat Intelligence Platforms (TIP)
Le renseignement sur les menaces
Les plateformes de threat intelligence collectent, analysent et partagent des informations sur les menaces connues (IoC, TTPs des attaquants, vulnérabilités).
- MISP (Malware Information Sharing Platform) : open source, partage d'IoC entre organisations
- ThreatConnect : plateforme commerciale, intégration SIEM et SOAR
- OpenCTI : open source, modélisation structurée des menaces (STIX 2.1)
- Recorded Future : intelligence automatisée par IA, riche en contexte
- VirusTotal : analyse de fichiers/URL/domaines, agrégation de multiples moteurs antivirus
SIEM = collecte et corrèle | IDS/IPS = détecte et bloque | Wireshark = analyse en profondeur | Firewall logs = historique réseau | SOAR = automatise la réponse | Ticketing = traçabilité | TIP = renseignement sur les menaces.
🔄 2.5 — NIST Incident Response Lifecycle (SP 800-61)
Le NIST SP 800-61 (Computer Security Incident Handling Guide) définit le cycle de vie standard de la réponse aux incidents. Ce modèle en 4 phases est la référence utilisée par la majorité des SOC et CSIRT dans le monde.
La phase la plus importante car elle a lieu avant tout incident. Sans bonne préparation, la réponse sera chaotique.
- Mettre en place les outils : SIEM, IDS/IPS, EDR, SOAR, ticketing
- Rédiger les playbooks (procédures de réponse) et les runbooks
- Former l'équipe : exercices de tabletop, simulations, CTF
- Définir les rôles et responsabilités (qui fait quoi en cas d'incident)
- Préparer le kit forensique (jump bag) : laptops dédiés, write blockers, câbles
- Établir les contacts : management, juridique, forces de l'ordre, CERT national
- Configurer la baseline du réseau (état normal) pour pouvoir détecter les anomalies
Identifier qu'un incident de sécurité est en cours et l'analyser pour comprendre sa nature et sa portée.
- Détection via les alertes SIEM, IDS/IPS, EDR, rapports utilisateurs, threat intel
- Validation : confirmer que l'alerte est un vrai incident (éliminer les faux positifs)
- Triage : classifier la sévérité (Critical, High, Medium, Low)
- Analyse : identifier les IoC, le vecteur d'attaque, les systèmes affectés
- Documentation : tout noter dans le système de tickets avec timestamps
- Notification : alerter les parties prenantes selon la sévérité
Vecteurs de détection : alertes SIEM, signatures IDS, anomalies comportementales (UEBA), rapports utilisateurs, threat intelligence, honeypots.
Trois sous-phases regroupées en une seule phase dans le modèle NIST :
- Containment (Confinement) :
- Short-term : actions immédiates (isoler le poste, bloquer l'IP, désactiver le compte)
- Long-term : solutions durables en préparant la remédiation (rebuild du système)
- Eradication (Éradication) :
- Supprimer le malware, les backdoors, les comptes créés par l'attaquant
- Patcher les vulnérabilités exploitées
- Renforcer les configurations
- Recovery (Récupération) :
- Restaurer les systèmes à partir de backups vérifiés
- Remettre en production progressivement (monitoring renforcé)
- Valider que la menace a bien été éliminée
Point clé : Pendant le containment, il est crucial de préserver les preuves (evidence preservation) pour l'investigation forensique et les éventuelles poursuites judiciaires.
Phase souvent négligée mais essentielle pour l'amélioration continue de la posture de sécurité.
- Lessons Learned meeting : réunion avec toutes les parties prenantes (dans les 1-2 semaines après l'incident)
- Rapport d'incident final : timeline complète, root cause analysis, impact, actions prises
- Mise à jour des playbooks, règles de détection, politiques de sécurité
- Évaluation des métriques : MTTD, MTTR, efficacité de la réponse
- Partage d'IoC avec la communauté (CSIRT, ISAC, MISP)
- Retention des preuves selon la politique de l'organisation et les obligations légales
Le cycle NIST IR est itératif, pas linéaire : on peut revenir à la phase Detection & Analysis depuis Containment si de nouveaux éléments sont découverts. La phase Preparation est considérée comme la plus importante car elle conditionne l'efficacité de toutes les autres. La phase Post-Incident Activity boucle vers la Preparation (amélioration continue).
📐 2.6 — Frameworks et standards de sécurité
Les professionnels de la cybersécurité s'appuient sur des frameworks (cadres de référence) et des standards pour structurer leur approche. Clique sur chaque framework pour en savoir plus :
Développé par le National Institute of Standards and Technology (USA), c'est le framework le plus utilisé au monde pour organiser la sécurité.
5 fonctions principales :
- Identify : connaître ses actifs, risques et vulnérabilités (asset management, risk assessment)
- Protect : mettre en place les protections (access control, training, encryption)
- Detect : détecter les événements de sécurité (monitoring continu, anomaly detection)
- Respond : répondre aux incidents (response planning, communications, analysis)
- Recover : restaurer les services après un incident (recovery planning, improvements)
Analogie : C'est comme un plan de sécurité pour une maison : inventorier ce qu'on a, installer des serrures, mettre des alarmes, savoir quoi faire si un cambrioleur entre, et réparer les dégâts après.
Standard international pour les systèmes de management de la sécurité de l'information (SMSI / ISMS).
Points clés :
- Approche basée sur le risk management
- Certification officielle (audit par un organisme tiers accrédité)
- ISO 27001 = exigences du SMSI | ISO 27002 = guide de bonnes pratiques (contrôles)
- 114 contrôles de sécurité organisés en 14 domaines (version 2013) / 93 contrôles en 4 thèmes (version 2022)
- Cycle d'amélioration continue (Plan-Do-Check-Act / PDCA)
Analogie : ISO 27001, c'est comme obtenir un label qualité pour la sécurité de ton entreprise. Un auditeur vient vérifier que tu respectes toutes les règles.
Une base de connaissances qui catalogue toutes les tactiques, techniques et procédures (TTPs) utilisées par les attaquants dans le monde réel.
Structure :
- Tactics : les objectifs de l'attaquant (ex: Initial Access, Persistence, Lateral Movement, Exfiltration — 14 tactiques)
- Techniques : les méthodes utilisées pour atteindre chaque objectif (200+ techniques)
- Sub-techniques : variantes spécifiques d'une technique
- Procedures : les implémentations spécifiques observées chez des groupes APT
Utilisation par le SOC : mapper les détections aux techniques ATT&CK pour évaluer la couverture, guider le threat hunting, et comprendre le comportement des attaquants.
Analogie : MITRE ATT&CK est comme une encyclopédie des stratégies de guerre de tous les ennemis connus. Les défenseurs l'utilisent pour anticiper les prochains mouvements de l'attaquant.
Le NICE Cybersecurity Workforce Framework (National Initiative for Cybersecurity Education) est un standard du NIST qui catégorise tous les rôles et compétences en cybersécurité.
7 catégories de travail :
- Securely Provision (SP) : conception et développement sécurisé des systèmes IT
- Operate and Maintain (OM) : administration et maintenance des systèmes
- Oversee and Govern (OV) : gouvernance, management, legal, compliance
- Protect and Defend (PR) : identification, analyse et réponse aux menaces (SOC, CSIRT)
- Analyze (AN) : analyse spécialisée de threat intelligence et d'informations
- Collect and Operate (CO) : opérations de collecte de renseignement cyber
- Investigate (IN) : investigation d'incidents et forensics
Chaque catégorie contient des specialty areas, des work roles, et des KSAs (Knowledge, Skills, and Abilities) détaillés.
Utilité : utilisé par les organisations pour définir les descriptions de poste, planifier les formations, et évaluer les compétences de leur workforce cybersécurité.
NIST CSF = comment organiser sa sécurité (5 fonctions : Identify, Protect, Detect, Respond, Recover). ISO 27001 = certification officielle basée sur le risk management (PDCA). MITRE ATT&CK = catalogue des TTPs d'attaque. NICE Framework = catégorisation des rôles et compétences en cybersécurité (7 catégories). Le rôle de SOC Analyst correspond à la catégorie Protect and Defend (PR) du NICE Framework.
🎯 2.7 — Parcours de carrière en cybersécurité
La cybersécurité offre des parcours de carrière variés et en forte demande. Voici une vue d'ensemble des certifications et de la progression typique.
Les certifications clés
Certifications d'entrée
| Certification | Organisme | Focus | Difficulté |
|---|---|---|---|
| CyberOps Associate | Cisco | SOC analyst, monitoring, détection d'incidents | Intermédiaire |
| CompTIA Security+ | CompTIA | Fondamentaux de la sécurité, large spectre | Intermédiaire |
| CompTIA Network+ | CompTIA | Fondamentaux réseau (pré-requis recommandé) | Débutant |
| CC (Certified in Cybersecurity) | (ISC)2 | Introduction à la cybersécurité, gratuite | Débutant |
| Splunk Core Certified User | Splunk | Utilisation de base de Splunk, recherches SPL | Débutant |
Certifications intermédiaires
| Certification | Organisme | Focus | Difficulté |
|---|---|---|---|
| CEH (Certified Ethical Hacker) | EC-Council | Techniques de hacking éthique et pentesting | Intermédiaire |
| CySA+ (Cybersecurity Analyst) | CompTIA | Analyse de menaces, monitoring avancé, SOC | Intermédiaire+ |
| CCNA Security | Cisco | Sécurité réseau Cisco | Intermédiaire |
| GCIH (GIAC Incident Handler) | SANS/GIAC | Réponse aux incidents, techniques d'attaque | Intermédiaire+ |
| ECIH (EC-Council Certified Incident Handler) | EC-Council | Gestion et réponse aux incidents | Intermédiaire |
Certifications avancées
| Certification | Organisme | Focus | Difficulté |
|---|---|---|---|
| CISSP | (ISC)2 | Gouvernance, management de la sécurité (gold standard) | Avancé |
| OSCP | OffSec | Pentesting avancé, certification 100% pratique | Avancé |
| CISM | ISACA | Management de la sécurité de l'information | Avancé |
| CISA | ISACA | Audit des systèmes d'information | Avancé |
| CCNP Security | Cisco | Sécurité réseau avancée | Avancé |
| GREM | SANS/GIAC | Reverse engineering de malware | Expert |
Progression de carrière typique
CyberOps Associate, Security+, CC. Apprendre les fondamentaux réseau, systèmes et sécurité. Labs pratiques, CTF (Capture The Flag), projets personnels. Catégorie NICE : apprentissage transversal.
Premier poste en SOC. Surveillance des alertes, triage, documentation. Montée en compétences sur les outils (SIEM, IDS). Préparation du CySA+ ou CEH. Catégorie NICE : Protect and Defend (PR).
Investigation approfondie, forensics, réponse aux incidents. Spécialisation possible : pentesting, threat intelligence, cloud security. Certifications GCIH, OSCP. Catégorie NICE : Protect and Defend / Investigate.
Threat Hunter, Security Architect, ou Team Lead. Expertise avancée, mentorat. Certifications CISSP, CISM. Catégorie NICE : Analyze / Oversee and Govern.
Direction de la stratégie de sécurité, gestion du budget, communication avec le board. Vision business + technique. Catégorie NICE : Oversee and Govern (OV).
La cybersécurité manque cruellement de talents : plus de 3,5 millions de postes non pourvus dans le monde. C'est le moment idéal pour se lancer ! Le NICE Framework (SP 800-181) est utilisé par de nombreux employeurs pour définir les compétences attendues pour chaque rôle.
🔬 2.8 — Exercice : Incident au SOC !
Une alerte vient d'arriver au SOC ! Un comportement réseau suspect a été détecté sur le poste d'un employé. Classe les étapes de réponse dans les bonnes catégories selon le NIST Incident Response Lifecycle.
Lundi 9h15 — Le SIEM génère une alerte : le poste de travail de l'employé #4521 communique avec une adresse IP connue comme serveur C2 (Command & Control). Le trafic est chiffré et se répète toutes les 30 secondes (beaconing).
🔍 Detection (Détection)
🛑 Containment (Confinement)
🧹 Eradication (Éradication)
📝 Post-Incident Activity
📝 2.9 — Quiz de révision
Points clés du Module 2
- Le SOC est le centre de surveillance 24/7, organisé en 3 tiers : Tier 1 (Alert Analyst — triage), Tier 2 (Incident Responder — investigation), Tier 3 (Threat Hunter — proactif) + SOC Manager
- Métriques SOC essentielles : MTTD (temps de détection), MTTR (temps de réponse), dwell time, taux de faux positifs (~80%), taux d'escalade (10-20%)
- SOC = surveillance continue | CSIRT = réponse aux incidents majeurs | CERT = coordination nationale (marque Carnegie Mellon)
- Outils du SOC : SIEM (Splunk, QRadar, ArcSight, Sentinel), SOAR, IDS/IPS, Wireshark, ticketing (ServiceNow, Jira), TIP (MISP, VirusTotal)
- NIST IR Lifecycle (SP 800-61) : 4 phases — Preparation, Detection & Analysis, Containment/Eradication/Recovery, Post-Incident Activity
- Frameworks : NIST CSF (5 fonctions), ISO 27001 (certification SMSI), MITRE ATT&CK (TTPs), NICE Framework (7 catégories de rôles cyber)
- Le NICE Framework (SP 800-181) catégorise les rôles en 7 groupes ; SOC Analyst = Protect and Defend (PR)
- Certifications clés par niveau : débutant (Security+, CyberOps), intermédiaire (CySA+, CEH, GCIH), avancé (CISSP, OSCP, CISM)