L’analyste SOC : fonctions et compétences

L’analyste SOC : fonctions et compétences

Hossam M.
Calendar picto
8/6/2021
Clock picto
9 min

Un analyste SOC Security Operation Center fait partie intégrante d’une équipe SOC. Cette dernière est chargée de protéger une organisation contre la cybercriminalité. L’analyste SOC est un professionnel de la sécurité qui détecte toutes les activités suspectes ou malveillantes pouvant nuire au réseau et sécurité des systèmes d’information.

Les équipes SOC sont à l’affût du volume élevé d’évènements de sécurité qui doivent être examinés chaque jour. Ces membres de l’équipe interviennent en amont pour faire de la prévention tout en renforçant les défenses de l’entreprise.

Les tâches d’un analyste SOC

Un analyste SOC est souvent le premier à réagir aux incidents de sécurité. Il est le défenseur en première ligne dans l’analyse des cyberattaques. Pour comprendre ses fonctions, on peut les résumer sous les 4 points suivants :

Gérer les notifications d’alerte

Un analyste SOC est généralement confronté à un flux d’alertes de sécurité au quotidien. Pour traiter les alertes, il peut utiliser des outils comme le SIEM (Software Information Event Management) qui signale les alertes dues à des anomalies, à des règles de corrélation ou simplement à des paramètres d’alerte réguliers. L’analyste SOC examine chaque incident et en détermine la cause. Il doit constamment faire la différence entre les véritables menaces et les fausses. Il y a toujours le risque de rater un incident important dans la multitude de fausses alertes.

Empêcher une attaque de sécurité

Lors de la détection d’une activité anormale, l’analyste SOC l’examine immédiatement et empêche la menace de faire des ravages sur le réseau. Cela peut impliquer une détection des menaces persistantes avancées (APT) ou les logiciels malveillants cachés sur le réseau et de les supprimer avant qu’ils ne causent des dommages.

Pour ce faire, l’analyste doit être suffisamment compétent pour discerner les activités qui pourraient valoir la peine d’être étudiées parmi les milliers de notifications qu’il reçoit. S’il décide de poursuivre l’incident, il devrait être en mesure de trouver les informations pertinentes pouvant l’aider à établir une chronologie des événements qui ont conduit à l’incident. En d’autres termes, l’analyste doit se familiariser avec la topologie du réseau et posséder une expérience suffisante dans la gestion des menaces de sécurité.

Répondre aux incidents

Un analyste SOC doit être en mesure d’assurer la sécurité d’une entreprise afin que celle-ci puisse se rétablir rapidement après une cyberattaque. Cela pourrait signifier minimiser la portée de l’attaque en restreignant l’activité sur le réseau. Cela implique également de prendre des décisions pour limiter le coût et le temps de récupération de l’attaque.

Surveiller les menaces

Un analyste SOC surveille le système d’information d’une entreprise en recherchant de manière proactive les menaces sur le réseau. La recherche de menaces est effectuée sur la base des informations provenant des flux d’informations sur les menaces, une source de données constamment mise à jour qui intègre des informations sur divers vecteurs de menaces, des sites Web infectés, des cyberattaques récentes, etc.

Les compétences requises chez un analyste SOC en fonction de l’expérience

Selon son niveau d’expérience d’un analyste SOC, les entreprises peuvent requérir certaines compétences.

Les compétences d’un analyste SOC débutant

Pour un analyste SOC débutant, son recruteur peut lui exiger :

  • Une solide compréhension de l’informatique de base : algorithmes, structures de données, bases de données, systèmes d’exploitation, réseaux et développement d’outils.
  • Une solide compréhension des opérations informatiques : service d’assistance, gestion des terminaux et administration des serveurs.
  • Une forte capacité à communiquer : rédiger clairement et parler avec autorité aux différentes parties prenantes d’une entreprise.
  • Une bonne compréhension des motivations des cybercriminels : cybercriminalité, hacktivisme, cyber-guerre, cyberespionnage et différence entre la cyber-propagande et le cyber-terrorisme.
  • Une bonne compréhension des concepts des opérations de sécurité : mesures de sécurité, gestion BYOD (bring your own device), protection contre la perte de données, menaces internes, analyse de la chaîne de destruction, évaluation des risques et mesures de sécurité.

Les compétences d’un analyste SOC expérimenté (senior)

Généralement, les entreprises recrutant des analystes SOC seniors recherchent quelques-unes des compétences qui suivent en plus de celles déjà acquises à leurs débuts dans le métier :

  • Une bonne compréhension de la gestion des vulnérabilités : que sont les vulnérabilités, comment les trouver et comment les atténuer ?
  • Une bonne compréhension des techniques de visualisation de base de données, en particulier le Big Data.
  • Une bonne compréhension des techniques de base du renseignement appliquées à la cybernétique.
  • Une bonne compréhension des langues étrangères importantes : le Chinois, le Russe, l’Arabe et le Coréen en premier lieu, puis le Japonais, l’Allemand, le Français, le Portugais et l’Espagnol.