Surveillance, détection et réponse aux incidents de sécurité
- Durée
- Durée :5 jours
- Niveau
- Niveau :Intermédiaire
- Certification
- Certification :Non
3780€ HT
Prochaine session :
SOC Analyste : Niveau 1
Comprendre le fonctionnement d’un SOC et acquérir les compétences d’analyse et de réponse aux incidents de sécuritéDescription de la formation Analyste SOC
Qu’est-ce que SOC Analyste Niveau 1 ?
Le Security Operations Center (SOC) est le centre névralgique de la cybersécurité d’une organisation : il assure la surveillance, la détection, l’analyse et la réponse aux incidents de sécurité. L’analyste SOC de niveau 1 est chargé d’identifier les alertes, d’en qualifier la criticité, de les analyser et de coordonner les premières réponses aux incidents dans le SI (système d’information).
Pourquoi suivre une formation SOC Analyste Niveau 1 ?
Dans un contexte où les menaces cyber se multiplient, il est crucial d’avoir des analystes capables d’assurer une veille permanente, de détecter précocement les incidents et d’intervenir efficacement. Cette formation permet d’acquérir des compétences techniques indispensables (réseaux, logs, SIEM, forensic basique) et opérationnelles pour devenir un maillon essentiel de la défense informatique d’une entreprise. Elle prépare à des rôles d’analyste SOC, notamment en tant que premier rempart contre les cyberattaques.
Programme de la formation
Objectif opérationnel :
Savoir surveiller un SI, analyser les alertes de sécurité, qualifier les incidents et effectuer les premières remédiations en contexte SOC.
Objectif pédagogiques :
À l'issue de cette formation SOC Analyste Niveau 1, vous aurez acquis les connaissances nécessaires pour :
- Comprendre le rôle et l’organisation d’un Se-curity Operations Center (SOC) dans la stra-tégie globale de cybersécurité en entreprise
- Maîtriser les principales fonctions du SOC, telles que la collecte, la corrélation et l’ana-lyse des événements de sécurité via un SIEM
- Apprendre à détecter, qualifier et prioriser des incidents de sécurité en s’appuyant sur des cas d’usage concrets
- S’exercer à la réponse à incident à travers des scénarios pratiques : investigation, créa-tion de playbooks, et communication d’alerte
- Développer une approche opérationnelle de la cybersécurité, en intégrant les enjeux tech-niques, organisationnels et humains du SOC
JOUR 1
Principes de défense en profondeur.
Définition et mission d’un SOC.
Les métiers du SOC : analyste SOC, ingénieur sécurité, gestionnaire des incidents.
Introduction aux différents types de SOC : internalisé, externalisé (MSSP), virtuel
Méthodologie des cyberattaquants : reconnaissance, exploitation, maintien d’accès.
Études de cas d’attaques récentes.
Introduction à la Cyber Kill Chain et au MITRE ATT&CK Framework.
Outils d’attaque couramment utilisés par les attaquantsJOUR 2
Méthodologie des cyberattaquants : reconnaissance, exploitation, maintien d’accès.
Études de cas d’attaques récentes.
Introduction à la Cyber Kill Chain et au MITRE ATT&CK Framework.
Outils d’attaque couramment utilisés par les attaquantsJOUR 3
Communication et coordination pendant un incident
Méthodologie de documentation d’un incident.
Introduction aux PlaybooksJOUR 5
Conception de l’architecture du SOC
Élaboration de stratégies de détection, y compris la création de cas d’usage, de règles d’alerte et d’indicateurs de compromission (IoC)
Définition des processus de gestion des incidents (détection, confinement, éradication, récupération) et création de playbooks d’intervention
Définition des rôles et responsabilités et des processus de communication entre les membres du SOC
Rédaction d’un rapport de détection et de réponse à incident
Introduction au Security Operations Center : Comprendre les bases de la cybersécurité et le rôle d’un SOC :
Concepts de base en cybersécurité : menaces, vulnérabilités, attaques.Principes de défense en profondeur.
Définition et mission d’un SOC.
Les métiers du SOC : analyste SOC, ingénieur sécurité, gestionnaire des incidents.
Introduction aux différents types de SOC : internalisé, externalisé (MSSP), virtuel
Menaces et attaques – 1ère partie : Connaître les principales menaces et techniques d’attaque.
Les types de menaces : malware, phishing, ransomware, attaque par déni de service (DDoS).Méthodologie des cyberattaquants : reconnaissance, exploitation, maintien d’accès.
Études de cas d’attaques récentes.
Introduction à la Cyber Kill Chain et au MITRE ATT&CK Framework.
Outils d’attaque couramment utilisés par les attaquantsJOUR 2
Menaces et attaques – 2ème partie : Connaître les principales menaces et techniques d’attaque.
Les types de menaces : malware, phishing, ransomware, attaque par déni de service (DDoS).Méthodologie des cyberattaquants : reconnaissance, exploitation, maintien d’accès.
Études de cas d’attaques récentes.
Introduction à la Cyber Kill Chain et au MITRE ATT&CK Framework.
Outils d’attaque couramment utilisés par les attaquantsJOUR 3
Utilisation SIEM : Savoir configurer et utiliser un SIEM pour détecter les menaces.
Introduction aux principales fonctionnalités d’un SIEM
Configuration de collecteurs de logs et de règles de corrélation.
Recherche et analyse de données dans un SIEM.
Études de cas : résolution d’alertes sur des incidents simulés
Réponse à incidents : Maîtriser les étapes de réponse à un incident de sécurité.
Phases de gestion des incidents : détection, analyse, confinement, éradication, récupération, amélioration continueCommunication et coordination pendant un incident
Méthodologie de documentation d’un incident.
Introduction aux PlaybooksJOUR 5
Développement complet d’un cas d’usage
Élaboration d’un scenario de menace : Identification des risques spécifiques, des menaces et de la priorisation des actifs.Conception de l’architecture du SOC
Élaboration de stratégies de détection, y compris la création de cas d’usage, de règles d’alerte et d’indicateurs de compromission (IoC)
Définition des processus de gestion des incidents (détection, confinement, éradication, récupération) et création de playbooks d’intervention
Définition des rôles et responsabilités et des processus de communication entre les membres du SOC
Rédaction d’un rapport de détection et de réponse à incident
Public cible :
Ce cours s'adresse aux RSSI souhaitant structurer ou piloter un SOC en interne, aux analystes SOC débutants, aux ingénieurs et techniciens, aux administrateurs systèmes et réseaux, ainsi qu’aux opérateurs de supervision ou de helpdesk.
Prérequis :
Pour suivre cette formation, il est nécessaire de disposer de connaissances de base en informatique et en cybersécurité, de bases solides en réseaux informatiques, ainsi que d’une familiarité avec l’environnement IT d’entreprise (serveurs, pare-feu, antivirus…). Une rigueur d’analyse et une approche méthodique sont également requises. Une première expérience avec des outils de supervision ou de gestion des événements constitue un atout, sans être obligatoire.
J'évalue mes connaissances pour vérifier que je dispose des prérequis nécessaires pour profiter pleinement de cette formation en faisant le test de prérequis.
Date de mise à jour du programme : 26/11/2025
Dates et lieux
Période souhaitée
Lieux
Type d'affichage