Parcours certifiant Security Operations Center
Référence : SECSOC
Durée : 8 jours (56 heures)
Certification : Certification Analyste SOC (Security Operations Center)
Coût : Sur demande
Nos formations intra-entreprise sont personnalisées, flexibles et alignées sur les besoins spécifiques de votre équipe.
Connaissances préalables
La formation Analyste SOC requiert des connaissances en réseau ainsi qu’une bonne compréhension des bases de la cybersécurité. Il est recommandé d’avoir suivi le parcours introductif à la cybersécurité ou de posséder des connaissances équivalentes avant d’intégrer cette formation.
Profil des stagiaires
Cette formation s’adresse aux techniciens et administrateurs systèmes et réseaux, aux responsables informatiques, aux consultants en sécurité, aux ingénieurs et aux responsables techniques. Elle concerne également les architectes réseaux ainsi que les chefs de projet souhaitant développer ou approfondir leurs compétences dans le domaine de la sécurité opérationnelle et des centres SOC.
Objectifs
- Connaître le rôle et les missions d’un analyste SOC.
- Maîtriser les fondamentaux de la cybersécurité défensive.
- Utiliser les outils et technologies du SOC.
- Analyser et corréler les événements de sécurité.
- Gérer les incidents de sécurité.
- Rédiger des rapports techniques.
- Travailler en coordination avec les autres équipes de cybersécurité.
- Faire de la veille (cybermenaces, techniques d’attaques).
Certification préparée
- Aucune
Méthodes pédagogiques
- Mise à disposition d’un poste de travail par stagiaire
- Remise d’une documentation pédagogique numérique pendant le stage
- La formation est constituée d’apports théoriques, d’exercices pratiques, de réflexions et de retours d’expérience
- Le suivi de cette formation donne lieu à la signature d’une feuille d’émargement
Formateur
- Consultant-formateur expert en Cybersécurité et SOC
Méthodes d'évaluation des acquis
- Exercices pratiques et ateliers à chaque étape de la formation.
- Étude de cas permettant de relier les différents blocs de compétences.
- Quiz de validation des acquis à la fin de chaque journée de formation.
- Auto-évaluation des acquis par le stagiaire via un questionnaire.
Contenu du cours
Jour 1 : Introduction au SOC et à ses missions
Jour 1 – Matin : Introduction au SOC et à ses missions
- Définition et objectifs d’un Security Operations Center (SOC).
- Typologies de SOC : interne, mutualisé, externalisé, hybride.
- Missions principales : prévention, détection, réaction, anticipation.
- Rôles clés : analystes N1/N2/N3, SOC manager, threat hunter, ingénieur SIEM.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 1 – Après-midi : Introduction au SOC et à ses missions
- Catalogue de services d’un SOC : surveillance 24/7, gestion des incidents, threat intelligence, reporting.
- Structure et fonctionnement : gouvernance, ressources humaines, processus ITIL/ISO 27035.
- Moyens nécessaires : humains, logistiques, applicatifs.
- Étude de cas : comparaison entre SOC interne et MSSP.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis
Jour 2 : Défenses périmétriques et systèmes de détection
Jour 2 – Matin : Défenses périmétriques et systèmes de détection
- Firewalls : typologies (statique, dynamique, NGFW).
- Proxy : inspection SSL, filtrage URL, politique d’accès.
- Gestion centralisée des politiques de sécurité.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 2 – Après-midi : Défenses périmétriques et systèmes de détection
- IDS/IPS : différences, détection par signatures vs comportements.
- Exemples d’alertes et cas concrets d’attaques bloquées.
- Atelier pratique : configuration basique de firewall / IDS et interprétation d’alertes.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 3 : Gestion des vulnérabilités
Jour 3 – Matin : Gestion des vulnérabilités
- Présentation des scanners (Nessus, Qualys, OpenVAS).
- Cycle de gestion des vulnérabilités : identification, évaluation, remédiation, validation.
- Corrélation avec le CVSS et la criticité métier.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 3 – Après-midi : Gestion des vulnérabilités
- Étude d’un rapport de scan : priorisation des failles.
- Méthodes de communication avec les équipes IT pour la remédiation.
- Atelier pratique : interprétation et priorisation d’un scan simulé.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 4 : SIEM et supervision de la sécurité
Jour 4 – Matin : SIEM et supervision de la sécurité
- Architecture d’un SIEM (Splunk, QRadar, ELK).
- Collecte et normalisation des logs (Windows, Linux, équipements réseau, applications).
- Règles de corrélation et scénarios d’alerte.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 4 – Après-midi : SIEM et supervision de la sécurité
- Investigation sur des logs : recherche d’IoC et d’événements suspects.
- Création de tableaux de bord de supervision.
- Atelier pratique : simulation d’incident et recherche d’alerte dans le SIEM.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis
Jour 5 : Mise en place et aspects juridiques
Jour 5 – Matin : Mise en place et aspects juridiques
- Cadre juridique : RGPD, CNIL, ISO 27001, ISO 27035, valeur probante des journaux.
- Obligations de confidentialité, conservation et traçabilité.
- Règles de preuve numérique en cas de contentieux.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les
acquis.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les
Jour 5 – Après-midi : Mise en place et aspects juridiques
- Étapes de mise en place d’un SOC :
- Design : identification des besoins métiers, définition des objectifs, choix des outils et de l’architecture adaptée.
- Build : déploiement de l’infrastructure, intégration du SIEM et des IDS/IPS, mise en place des procédures d’exploitation.
- Run : exploitation opérationnelle, suivi des alertes, optimisation des règles de détection, montée en charge progressive.
- Étude de cas : bilan d’un SOC nouvellement déployé.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 6 : Pilotage, indicateurs et continuité
Jour 6 – Matin : Pilotage, indicateurs et continuité
- Définition et suivi des KPI/KRI.
- Tableaux de bord pour RSSI et COMEX.
- Processus d’amélioration continue et gestion des non-conformités.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 6 – Après-midi : Pilotage, indicateurs et continuité
- PCA/PRA appliqué au SOC.
- Gestion de la relation avec les clients internes et les prestataires externes.
- Externalisation du SOC : avantages, limites, clauses contractuelles.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.
Jour 7 : Étude de cas (workflow, typologie des incidents, mise en situation pratique)
Jour 7 – Étude de cas
- Présentation d’un SOC opérationnel et de son architecture technique.
- Workflow d’escalade des incidents : N1 → N2 → N3 → CERT.
- Typologie des incidents courants : phishing, malware, DDoS, fuite de données.
- Mise en situation pratique :
- Investigation d’incidents simulés,
- Analyse d’alertes SIEM/EDR,
- Décision de remédiation et communication interne.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis
Jour 8 : Simulation et clôture de formation (incidents, rapport, restitution, évaluation)
Jour 8 – Simulation et clôture de formation
- Simulation complète d’incidents : APT, ransomware, compromission d’active directory.
- Travail en équipe : rôles SOC, investigation, coordination.
- Rédaction d’un rapport technique et d’un rapport exécutif.
- Restitution orale devant un comité fictif de direction.
- Session de veille : panorama des menaces actuelles et tendances futures.
- Clôture et évaluation finale.
- Remise des attestations de participation et évaluation de la formation par les participants.
- Quiz interactif (30 min) sur LMS avec correction collective pour valider et consolider les acquis.