Métier de l’informatique et du numérique

Analyste SOC : le surveillant des caméras de sécurité

Quand on parle de cybersécurité, beaucoup pensent directement au pirate informatique, au pentester, au hacker éthique, aux tests d’intrusion…

Mais dans la vraie vie des entreprises, il y a aussi un métier très important, souvent moins “spectaculaire”, mais indispensable :

l’Analyste SOC

SOC veut dire Security Operations Center.
En français simple : c’est un centre où des équipes surveillent la sécurité informatique d’une entreprise.

Imaginez un grand centre commercial.

Il y a des caméras partout : entrée, sortie, parking, magasins, couloirs…

Mais les caméras seules ne servent pas à grand-chose si personne ne les regarde.

Il faut quelqu’un devant les écrans pour dire :

“Tiens, ce comportement est bizarre…”
“Cette personne revient plusieurs fois au même endroit…”
“Cette porte ne devrait pas être ouverte à cette heure-ci…”
“Il faut prévenir la sécurité.”

En cybersécurité, l’Analyste SOC joue un peu ce rôle.

Il ne surveille pas des caméras physiques.
Il surveille des alertes, des logs, des événements système, des connexions réseau, des tentatives suspectes, des comportements anormaux.

Concrètement, il fait quoi ?

L’Analyste SOC passe une partie de son temps dans des outils de surveillance.

Ces outils peuvent lui dire par exemple :

un utilisateur s’est connecté depuis un pays inhabituel
un serveur reçoit beaucoup de tentatives de connexion
un fichier suspect a été détecté sur un poste
un compte essaie d’accéder à trop de ressources
une machine communique avec une adresse douteuse
une alerte antivirus ou EDR vient de remonter

Son travail n’est pas seulement de regarder l’alerte et paniquer.

Son travail, c’est de comprendre.

Les logs : le carnet de bord de l’entreprise

Un log, c’est une trace.

Comme un cahier où une entreprise note ce qui se passe :

“Jean s’est connecté à 08h32.”
“Le serveur a refusé une connexion.”
“Un fichier a été supprimé.”
“Une application a généré une erreur.”
“Une adresse IP a tenté plusieurs connexions.”

Pris un par un, ces événements peuvent sembler banals.

Mais mis ensemble, ils peuvent raconter une histoire.

Un peu comme dans une enquête.

L’Analyste SOC doit apprendre à lire ces traces pour comprendre s’il s’agit d’un vrai problème ou juste d’un événement normal.

Le SIEM : le grand écran de contrôle

Dans un SOC, on parle souvent de SIEM.

SIEM veut dire :
Security Information and Event Management

Dit simplement : c’est un outil qui collecte beaucoup de logs venant de plusieurs endroits :

serveurs
pare-feu
antivirus
postes utilisateurs
applications
équipements réseau
cloud
annuaires comme Active Directory

Le SIEM essaie ensuite de détecter des comportements suspects.

Analogie simple :

Le SIEM, c’est comme un grand tableau de bord dans une salle de sécurité.

Au lieu d’avoir 50 carnets de bord séparés, il rassemble tout au même endroit.

Mais attention : le SIEM ne remplace pas l’humain.

Il peut remonter une alerte.
Mais c’est l’analyste qui doit réfléchir.

Les faux positifs : quand l’alarme sonne pour rien

Dans un magasin, une alarme peut sonner parce qu’il y a vraiment un vol.

Mais elle peut aussi sonner parce qu’un antivol a mal été retiré.

En cybersécurité, c’est pareil.

Une alerte peut être grave.
Mais elle peut aussi être un faux positif.

Un faux positif, c’est quand le système croit détecter un problème, alors qu’en réalité il n’y a pas d’attaque.

Exemple :

Un administrateur fait une opération normale, mais l’outil la trouve suspecte.
Un employé se connecte depuis un nouveau lieu parce qu’il est en déplacement.
Un script interne ressemble à un comportement malveillant, mais il est autorisé.

Le rôle de l’Analyste SOC est donc de trier.

Il doit éviter deux erreurs :

ignorer une vraie menace
déclencher une panique pour rien

Et ça, ça demande de la méthode, de la patience et de la pratique.

Analyste SOC vs Pentester : ce n’est pas le même métier

Beaucoup de débutants confondent tout dans la cybersécurité.

Le pentester, lui, joue souvent le rôle de celui qui teste les défenses.

Il cherche les failles, simule des attaques, vérifie si une entreprise est vulnérable.

Analogie :

Le pentester, c’est un peu comme quelqu’un qu’on engage pour essayer d’ouvrir les portes, les fenêtres, les serrures, afin de voir ce qui est mal protégé.

L’Analyste SOC, lui, surveille ce qui se passe au quotidien.

Il regarde les alertes, analyse les traces, confirme les incidents, puis escalade aux bonnes équipes.

Analogie :

L’Analyste SOC, c’est celui qui regarde les caméras, reçoit les alarmes, vérifie si c’est sérieux, puis appelle les agents de sécurité si nécessaire.

Les deux métiers sont liés.
Mais ils ne font pas la même chose.

Ce qu’un débutant doit comprendre

Pour devenir Analyste SOC, il ne suffit pas de connaître un outil.

Il faut comprendre les bases :

réseau
système Linux et Windows
Active Directory
logs
adresses IP
DNS
pare-feu
authentification
malware
vulnérabilités
bonnes pratiques de sécurité

Parce qu’une alerte sans compréhension, c’est juste du bruit.

Comme une caméra qui montre une scène, mais si vous ne savez pas quoi regarder, vous risquez de passer à côté de l’essentiel.

L’Analyste SOC n’est pas un magicien

Un Analyste SOC débutant ne va pas forcément “arrêter les hackers” dès le premier jour.

Souvent, il commence par :

lire des alertes
vérifier des logs
documenter ce qu’il voit
comparer avec des procédures
demander l’avis d’un analyste plus expérimenté
escalader les incidents sérieux

Et c’est normal.

Dans beaucoup de SOC, il y a des niveaux :

SOC L1 : premier tri des alertes
SOC L2 : analyse plus poussée
SOC L3 : investigation avancée, réponse, hunting, expertise

On commence quelque part.
Personne ne naît expert.

Pourquoi ce métier est important ?

Parce qu’aujourd’hui, une entreprise peut avoir :

des serveurs
des applications web
des comptes cloud
des postes utilisateurs
des bases de données
des emails
des VPN
des accès distants
des utilisateurs partout

Et tout cela produit des traces.

Sans surveillance, une attaque peut rester invisible pendant longtemps.

L’Analyste SOC est donc un œil important dans la sécurité de l’entreprise.

Il ne voit pas tout.
Il ne résout pas tout seul.
Mais il aide à détecter, comprendre et réagir.

Pour résumer simplement

Un Analyste SOC, c’est un surveillant numérique.

Il regarde les alertes comme un agent regarde les caméras de sécurité.

Il analyse les logs comme un enquêteur lit un carnet de bord.

Il distingue les vraies menaces des fausses alarmes.

Il escalade les incidents quand il faut.

Et surtout, il apprend chaque jour à mieux comprendre les comportements normaux et anormaux dans un système informatique.

Chez Aide en Informatique, nous écrivons pour les débutants, les étudiants, les autodidactes, les personnes en reconversion, et tous ceux qui partent de 0, voire de -1.

Notre objectif n’est pas de faire peur avec la cybersécurité.
Notre objectif est d’expliquer simplement, avec des analogies de la vie réelle, pour que chacun puisse comprendre les bases avant d’aller plus loin.

Nous avons écrit plusieurs livres sur la cybersécurité pour aider les débutants à construire des bases solides, progressivement, sans jargon inutile.

Livres disponibles sur Amazon.
Liens en commentaire.

Aux experts qui nous lisent : vos compléments, corrections et retours de terrain sont toujours les bienvenus, tant que cela aide les débutants à mieux comprendre.

Tous les liens utiles sont en commentaire.

Lien pour rejoindre le groupe WhatsApp Aide en Informatique :
https://chat.whatsapp.com/HT2E6dD6TAz5a42TJSwLtR

Canal WhatsApp Aide en Informatique pour être alerté de nos publications :
https://whatsapp.com/channel/0029VbBBXcyI1rcns0yxlh0C

Lien pour rejoindre le groupe Telegram :
https://t.me/+GDDdnSReRM82NjFk