Analyste SOC (Security Operation Center) Mixte : présentiel / à distance

Ce parcours intensif de 8 jours forme les participants aux missions essentielles d’un analyste SOC dans un environnement de cybersécurité opérationnelle. À travers des ateliers pratiques, ils apprendront à détecter, analyser et gérer des incidents de sécurité en s’appuyant sur les outils clés du SOC (SIEM, EDR, CTI).

Ce programme permet de maîtriser les fondamentaux techniques, les méthodes de supervision, et les bonnes pratiques d’investigation. 

A l'issue de la formation, le stagiaire sera capable d'assurer les fonctions d'analyste d'un Security Operations Center (SOC), principalement la détection et l'analyse des intrusions, l'anticipation et la mise en place des protections nécessaires.

• Connaître le rôle et les missions d'un analyste SOC
• Maîtriser les fondamentaux de la cybersécurité défensive
• Utiliser les outils et technologies du SOC
• Analyser et corréler les événements de sécurité
• Gérer les incidents de sécurité
• Rédiger des rapports techniques
• Travailler en coordination avec les autres équipes de cybersécurité
• Faire de la veille (cybermenaces, techniques d'attaques)

Avoir des connaissances en réseau

Avoir suivi le parcours introductif à la cybersécurité ou posséder des connaissances équivalentes.

Jour 1 

 Objectifs pédagogiques couverts :

• Connaître l'organisation d'un SOC
• Comprendre le métier d'analyste SOC.

Introduction à la cybersécurité et au métier d'analyste SOC :

• Panorama des menaces actuelles (malware, phishing, ransomware)
• Notions clés : vulnérabilités, risques, événements, incidents
• Qu'est-ce qu'un SOC ? Missions, rôles, types d'organisation
• Acteurs du SOC : Analyste L1/L2, SOC Manager, Threat Hunter
• Outils principaux : SIEM, EDR, SOAR, ticketing

Exercice : Identifier les rôles dans un organigramme SOC fictif     

Jour 2 

Objectif pédagogique couverts :

• Appréhender les outils utilisés par les analystes SOC.

Bases réseau pour la cybersécurité :

• Modèle OSI et protocoles essentiels (TCP/IP, HTTP, DNS, ICMP)
• Ports et services : reconnaissance d'un trafic légitime
• Introduction aux logs système, réseau et applicatifs
• Outils de base : Wireshark, tcpdump

Travaux pratiques : Analyse de trafic simple avec Wireshark

Jour 3

Objectif pédagogique couverts : 

• Identifier les principales problématiques à travers des cas d'usage.

Introduction aux attaques informatiques :

• Techniques d'attaque classiques :
• IP/ARP Spoofing, DoS/DDoS, Man-in-the-middle
• Introduction aux malwares (virus, vers, chevaux de Troie)
• Typologie des attaques selon le MITRE ATT&CK

 Atelier : Simulation d'une attaque simple de type reconnaissance réseau

Jour 4

Objectif pédagogique couvert :  

• Identifier les principales problématiques à travers des cas d'usage.

Gestion des incidents de sécurité :

• Différence entre alerte, événement et incident
• Cycle de gestion des incidents (ISO 27035)
• Classification : gravité, criticité, temps de traitement
• Méthodes de confinement, remédiation et restauration

Exercice pratique : Étude d'un incident et rédaction d'un rapport d'investigation

Jour 5

Objectif pédagogique couvert : 

• Apprendre à détecter des intrusions.

Initiation à la supervision avec un SIEM :

• Fonction d'un SIEM : collecte, corrélation, détection, visualisation
• Architecture d'un SIEM (source de logs, parseurs, règles)
• Démonstration : Splunk / Wazuh ou QRadar (au choix selon outil disponible)

Travaux Pratiques : Visualiser une alerte de type login suspect dans un SIEM

Jour 6

Objectif pédagogique couverts : 

• Apprendre à détecter des intrusions.

Détection d'anomalies et fuites de données :

• Fuites d'informations : causes, détection, impact
• Signatures comportementales (baseline, UEBA simple)
• Exemples : détection d'une exfiltration via DNS ou ICMP

Travaux Pratiques : Détecter un comportement anormal à l'aide de logs

Jour 7

Objectif pédagogique couverts : 

• Savoir gérer différents incidents.

Exercices pratiques de corrélation et d'enrichissement

• Corrélation d'événements dans un SIEM
• Alertes croisées : multi-sources (ex. EDR + SIEM)
• Enrichissement de logs avec CTI (threat intelligence)
• Préparer une alerte enrichie (source, gravité, type de menace)

Travaux Pratiques : Investigation d'une alerte multi-source dans un SIEM

Jour 8

Objectif pédagogique couverts : 

• Optimiser la sécurité d'un système d'information.

Bilan, mini-projet et préparation à l'autonomie

• Restitution d'un incident : détection → analyse → réponse
• Présentation de tableaux de bord (KPI simples : MTTD, MTTR)
• Rappel des bonnes pratiques d'un analyste SOC débutant
• Conseils pour intégrer une équipe SOC (veille, rigueur, méthode)

Projet final : Étude de cas complet “Réagir à une attaque type et produire un rapport”

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
• En groupe (inter-entreprises ou intra-entreprise)
• En individuel (monitorat)
• En journée ou en cours du soir (sur demande spécifique)
• Formation en distanciel
• Distanciel synchrone
• Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Equilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.

NB : dans le cadre d'une Action collective, chaque stagiaire bénéficiaire sera également contacté par un prestataire choisi par l'Opco Atlas afin d'évaluer « à chaud » la qualité de la formation suivie. 

• Admission sans disposition particulière