Les métiers d’avenir : former à l’analyse SOC

En septembre 2021, la ministre des Armées Florence Parly a annoncé intensifier les recrutements en matière de cyberdéfense sur la période 2019-2025 avec 770 cyberscombattants en plus des 1 100 prévus face à la multiplication des cyberattaques. Les profils experts en cybersécurité sont très recherchés !

L’analyste SOC est au cœur de ces préoccupations. Son rôle est de superviser le système d’information de l’organisation afin de détecter des activités suspectes ou malveillantes. Il identifie, catégorise, analyse et qualifie les évènements de sécurité en temps réel ou de manière asynchrone sur la base de rapports d’analyse sur les menaces.

Nous avons interrogé Tiffany M., analyste SOC, le lieutenant-colonel (LCL) Nicolas du Commandement de la cyberdéfense (COMCYBER) au Ministère des armées et Hervé Mafille, directeur d'un cabinet de recrutement spécialisé en cybersécurité, afin d’en savoir plus sur les technologies à maitriser et les soft skills à développer dans ce métier d’avenir.

Pourquoi former à l’analyse SOC ?

Les experts en cybersécurité font partie des profils les plus recherchés. Au sein du Ministère des armées, l’emploi d’analyste SOC recouvre de nombreux métiers comme nous l’explique le LCL Nicolas :

• Veilleur superviseur
• Spécialiste cyberdétection (écriture et amélioration des règles de détection, mise en œuvre, maintenance et évolution de l’outil de Security Information and Event Management - SIEM),
• Spécialiste en anticipation de la menace (Threat Intel)
• Investigateur numérique (Forensic),

Quelles technologies au programme de ma formation ?

Pour Tiffany M., un analyste SOC doit disposer de bonnes connaissances en sécurité, réseau et système ainsi que des techniques d'intrusion des SI.  Un des outils principaux du SOC est le SIEM (Security Information and Event Management) qui va collecter des journaux d'évènements provenant de sources diverses, les analyser et les corréler afin de détecter de potentiels incidents de sécurité.

Pour bien fonctionner, en complément du SIEM, d’autres outils se retrouvent au sein du SOC :

• Les solutions de Cyber Threat Intelligence afin de collecter et exploiter des informations concernant les cybermenaces
• Un SOAR (Security Orchestration Automation and Response) permettant d'orchestrer la sécurité et automatiser les tâches redondantes afin de fournir une réponse automatisée pour les incidents.
• Un SIRP (Security Incident Response Platform) afin de disposer d'une plateforme d'aide à la réponse à incident
• D'autres solutions de détection des menaces (exemple : solutions EDR (Endpoint Detection and Response))

Au sein du Ministère des armées, les profils recherchés vont du DUT/BUT R&T ou informatique, BTS SIO (toutes options) ou SN IR ainsi que licences professionnelles en cybersécurité aux ingénieurs spécialisés en cybersécurité, notamment les experts en cyberdétection. « Il y a possibilité de travailler sous différents statuts, civil ou militaire, avec un recrutement de Bac à Bac + 5 » explique le COMCYBER.

Mais au-delà de ces profils type, les parcours atypiques sont aussi les bienvenus ! « Les parcours démontrant une forte appétence pour la cybersécurité, soit par la participation prolifique à des Bug Bounty ou des bons classements dans des évènements de type Capture The Flag, sont de nature à attirer l’attention. »

Comme l’explique le Journal du Net, un « Bug Bounty » est « une récompense monétaire accordée à des hackers éthiques pour avoir découvert et signalé une vulnérabilité (ou un bug) au développeur d’une application ».

Quelles soft skills développer chez les apprenants ?

Hervé Mafille conseille de prévoir un cours sur la connaissance de Soi pour aider les apprenants à évaluer s'ils pourront prendre plus plaisir dans telle ou telle organisation de travail.  La dimension de soft skills devrait prendre en compte cette connaissance de soi. « Cela éviterait certainement des "erreurs de casting" et limiterait probablement un peu le turnover sur ce type de fonctions car l’état d'esprit est effectivement un critère important au-delà de la compétence technique ».

Pour Tiffany M., un bon analyste SOC doit être « réactif, organisé et rigoureux et savoir communiquer oralement et par écrit (qualité rédactionnelles). » Il doit savoir travailler en équipe car « il opère en étroite collaboration avec les analystes en cybermenace et les opérateurs de réponse à incident » ajoute le COMCYBER.

Il faut aussi savoir repérer les cyberattaques : « Les analystes SOC ont à charge l’analyse, l’identification et la caractérisation de la cybermenace. Une bonne connaissance des modes opératoires des attaquants permet à ces techniciens d’être toujours à même de détecter aussi bien les tentatives d’attaques en cours que les signaux faibles. Savoir détecter une attaque, c’est tout d’abord savoir comment les attaquants s’y prennent. Il faut avoir l’esprit du chasseur qui cherche des traces, d’où le terme de Threat Hunter ! Il faut également être curieux pour toujours se maintenir à jour » complète-t-il.

En conclusion

Rigoureux, capable de détecter les attaques dès les premiers signaux faibles et de gérer son stress tout en disposant de solides connaissances techniques, on comprend pourquoi l’analyste SOC est plébiscité ! Vous pouvez former ces futurs professionnels très recherchés notamment par le Ministère des armées.