SOC analyst

01 — DéfinitionQu'est-ce qu'un SOC analyst ?

Un SOC analyst (Security Operations Center analyst), ou analyste SOC, est un professionnel de la cybersécurité qui surveille en continu les systèmes d'information d'une organisation depuis un Security Operations Center, analyse les alertes de sécurité, qualifie les incidents et déclenche la réponse appropriée.

Le SOC analyst est au cœur de la défense opérationnelle de la cybersécurité moderne. Il fait partie de la blue team (équipe défensive), par opposition à la red team (équipe offensive composée notamment de pentesters). Son rôle : détecter, comprendre et répondre aux tentatives d'intrusion avant qu'elles ne causent un impact significatif.

Deux modèles principaux d'emploi :

• SOC interne : équipe sécurité interne d'une grande entreprise, d'une administration ou d'un opérateur d'importance vitale.
• SOC externalisé (MSSP) : Managed Security Service Provider qui opère le SOC pour le compte de plusieurs clients. Modèle dominant pour les PME et ETI qui n'ont pas les ressources pour un SOC interne.

Les grandes références MSSP en France : Orange Cyberdefense, Thales Cyber Solutions, Atos/Eviden, Capgemini, Sopra Steria, Advens, Almond, Intrinsec, Wavestone, Airbus Cybersecurity, Darktrace, TEHTRIS.

Le SOC analyst travaille avec plusieurs autres métiers : RSSI/CISO (hiérarchie), CSIRT (réponse à incident escaladée), analystes forensic, équipes réseau, administrateurs systèmes, équipes DevSecOps, analystes threat intelligence.

Le SOC analyst n'est pas un super-administrateur ni un super-réseau. C'est un spécialiste de la détection et de l'analyse d'attaques, qui doit combiner compréhension technique large, méthodologie rigoureuse et esprit adversarial pour anticiper ce que fait l'attaquant.

02 — NiveauxL'organisation L1 / L2 / L3

La structure hiérarchique classique d'un SOC repose sur trois niveaux d'analystes, bien que les SOC modernes commencent à faire évoluer ce modèle.

Tier 1 — Triage et monitoring

Premier niveau d'analyse. En première ligne, souvent en rotation 24/7 pour les SOC avec cette couverture.

Activités principales

• Surveillance des tableaux de bord et alertes du SIEM.
• Tri initial des alertes : qualification en incident réel vs faux positif.
• Enrichissement des alertes avec contexte (IP, domaines, hashes).
• Création de tickets et documentation des investigations.
• Escalade vers le tier 2 pour les incidents confirmés.
• Application des playbooks standard.
• Parfois première réponse sur incidents simples (isolement via EDR, blocage IP, reset de mot de passe).

Profil

• Junior à confirmé, souvent premier poste en cybersécurité.
• Compétences techniques de base : réseau, systèmes, sécurité fondamentale.
• Rigueur, endurance (horaires décalés fréquents), rapidité de traitement.
• Capacité à gérer le stress et les pics d'activité.

Tier 2 — Investigation approfondie

Second niveau, traite les incidents escaladés par le tier 1. Horaires généralement plus classiques (jours ouvrés avec astreintes éventuelles).

Activités principales

• Investigation approfondie des incidents confirmés.
• Corrélation multi-sources (EDR, SIEM, logs applicatifs, trafic réseau).
• Analyse de comportements d'attaquant selon MITRE ATT&CK.
• Coordination avec les équipes IT et métier pour l'investigation.
• Réponse à incident de niveau intermédiaire (containment, éradication, remédiation).
• Écriture et amélioration de playbooks.
• Création de règles de détection simples dans le SIEM.
• Support au tier 1 (mentoring, revue de qualité).

Profil

• 3-5 ans d'expérience typiquement, parfois issu d'une promotion interne L1.
• Bonnes compétences techniques : Windows, Linux, Active Directory, réseau, cloud.
• Scripting (Python, PowerShell, Bash) apprécié.
• Autonomie, capacité d'investigation, compréhension des techniques d'attaque.

Tier 3 — Expertise et threat hunting

Niveau expert, traite les incidents les plus complexes et les recherches proactives. Parfois appelé threat hunter, senior incident responder, advanced analyst.

Activités principales

• Threat hunting : recherche proactive d'attaquants présents mais non détectés.
• Analyse d'incidents complexes (APT, attaques ciblées sophistiquées).
• Reverse engineering de malwares rencontrés.
• Coordination avec CSIRT et analystes forensic sur les cas majeurs.
• Création de règles de détection avancées (Sigma, YARA, règles propriétaires).
• Amélioration continue des capacités de détection du SOC.
• Participation aux exercices red team / purple team.
• Intégration de la threat intelligence dans les détections.
• Mentoring et formation des tiers 1 et 2.

Profil

• Senior avec 5-10+ ans d'expérience cyber, souvent avec passage opérationnel.
• Expertise technique pointue : reverse, forensic, scripting avancé.
• Compréhension profonde de MITRE ATT&CK, kill chain, TTP des groupes d'attaquants.
• Capacité de synthèse et de communication : rédaction de rapports d'incident, présentations.

Rôles transverses dans un SOC moderne

Au-delà du L1/L2/L3, les SOC modernes ajoutent des rôles spécialisés :

• SOC engineer : gère la plateforme SIEM/EDR/SOAR, ingestion de logs, intégrations.
• Detection engineer : conçoit et maintient les règles de détection (Sigma, YARA, KQL, SPL). Rôle en forte croissance.
• Threat hunter dédié : chasse proactive sans attendre les alertes.
• Threat intelligence analyst : veille sur les acteurs et campagnes pertinentes, alimentation du SOC.
• SOC manager : responsable du SOC, pilote équipe, indicateurs, relations clients.
• Incident responder : spécialiste de la gestion des crises majeures, au-delà du périmètre SOC classique.
• Purple teamer : pont entre red team et blue team, exercices collaboratifs.

Évolution vers des modèles plus plats

Certains SOC modernes (notamment dans les pure-players tech et MSSP nouvelle génération) abandonnent la hiérarchie L1/L2/L3 rigide au profit de modèles plus plats : toute l'équipe est formée pour traiter jusqu'au bout, avec spécialisations (network, endpoint, cloud, identity) plutôt que niveaux. Approche favorisée par l'automatisation SOAR qui réduit le volume de tâches L1.

03 — MissionsLe quotidien d'un SOC analyst

Une journée typique

Exemple d'une journée d'un SOC analyst L2 en équipe jour :

• Prise de quart (handover) : lecture des notes de l'équipe précédente, incidents en cours, alertes non traitées.
• Stand-up d'équipe : partage des priorités du jour.
• Traitement de la file d'alertes : escalades du tier 1, cas en cours.
• Investigation d'incidents : analyse approfondie, corrélation, pivot entre outils.
• Coordination avec équipes IT si action requise côté infrastructure.
• Réponse à incident : isolement, blocage, reset, documentation.
• Documentation : rapports d'incident, mise à jour des playbooks, retour d'expérience.
• Veille : actualité threat intelligence, nouvelles menaces, CVE critiques.
• Amélioration continue : ajustement de règles, réduction de faux positifs.
• Transmission (handover) à l'équipe suivante.

Types d'incidents traités

• Détections EDR : exécution de PowerShell suspect, processus anormaux, tentatives d'évasion.
• Tentatives phishing : emails suspects signalés par utilisateurs ou détectés en passerelle.
• Connexions anormales : géolocalisation inhabituelle, horaires atypiques, appareils non reconnus.
• Tentatives d'authentification : bruteforce, credential stuffing, MFA bypass.
• Exfiltration potentielle : transferts volumineux, destinations inhabituelles.
• Scans et reconnaissance : depuis Internet ou mouvements latéraux internes.
• Malwares détectés : ransomware, infostealers, RAT.
• Vulnérabilités critiques : nouvelles CVE à évaluer sur le périmètre.
• Alertes réseau : trafic anormal, communications vers serveurs C2.
• Signalements utilisateurs : emails suspects, comportements anormaux des postes.

Méthodologie d'investigation

Qualification initiale

• L'alerte est-elle un vrai positif ou un faux positif ?
• Quel est le contexte métier du système concerné ?
• Quels indicateurs (IOC) sont disponibles ?
• Quelle est l'étape potentielle de l'attaque (kill chain / MITRE ATT&CK) ?

Approfondissement

• Recherche de connexions et événements liés dans les logs.
• Pivot sur l'utilisateur, la machine, l'IP pour retracer l'historique.
• Vérification des processus, fichiers créés, modifications système.
• Consultation de la threat intelligence pour contextualiser.
• Analyse de fichiers suspects en sandbox si applicable.

Actions

• Containment : isolement de la machine, blocage du compte, blocage IP/domaine.
• Eradication : suppression du malware, révocation des credentials compromis.
• Recovery : restauration depuis sauvegardes, retour en production.
• Lessons learned : amélioration des détections et processus.

Le rôle du SOAR

Les plateformes SOAR (Security Orchestration, Automation and Response) automatisent de plus en plus les tâches répétitives : enrichissement d'alerte, actions de containment simples, création de tickets, envoi de notifications. Un SOC analyst moderne travaille avec ces automatisations : il intervient sur les décisions complexes et les cas où l'automatisation ne suffit pas.

Spécialisations croissantes

• Cloud SOC : spécialisation AWS, Azure, GCP. Logs spécifiques (CloudTrail, Azure Activity, VPC Flow Logs), outils natifs (GuardDuty, Defender for Cloud, Security Command Center).
• OT / ICS SOC : industriel, systèmes SCADA, protocoles Modbus/DNP3. Éditeurs dédiés (Dragos, Claroty, Nozomi).
• Identity SOC : focus sur les attaques d'identité (ITDR — Identity Threat Detection and Response).
• Threat Detection Engineering : création de règles avancées, dev-like approach.

04 — OutilsL'arsenal du SOC analyst

SIEM — pièce centrale

Le SIEM agrège les logs et produit les alertes. Grands acteurs :

• Splunk Enterprise Security : historique, très puissant, coûteux.
• Microsoft Sentinel : cloud natif, KQL, forte adoption.
• Google Chronicle / SecOps : nouvelle génération, YARA-L, adapté aux gros volumes.
• Elastic Security : open source + offre managée, stack Elastic.
• IBM QRadar : historique enterprise.
• Sekoia.io : acteur français, XDR avec SIEM intégré.
• Crowdstrike NG-SIEM (Falcon LogScale) : ex-Humio, montée en puissance.
• Sumo Logic, LogRhythm, Exabeam : autres acteurs du marché.

EDR / XDR

L'EDR (Endpoint Detection and Response) et l'XDR (extension multi-sources) sont des outils essentiels de détection et de réponse.

• CrowdStrike Falcon : leader du marché, forte télémétrie.
• Microsoft Defender XDR : intégré Windows et Microsoft 365.
• SentinelOne Singularity : très répandu.
• Palo Alto Cortex XDR.
• HarfangLab : EDR français, qualifié ANSSI.
• Tehtris XDR : français.
• Sekoia XDR : français.
• Trend Micro Vision One, Trellix XDR.

SOAR

SOAR (Security Orchestration, Automation and Response) automatise les tâches répétitives et orchestre les playbooks.

• Palo Alto Cortex XSOAR (ex-Demisto) : leader.
• Splunk SOAR (ex-Phantom).
• Microsoft Sentinel Automation : intégré.
• Swimlane, Tines, Torq : acteurs modernes.
• ServiceNow SecOps : intégration ITSM.

Threat Intelligence Platform (TIP)

• Recorded Future : leader, très large couverture.
• Mandiant Advantage (Google).
• CrowdStrike Falcon Intelligence.
• MISP : open source, référence du secteur.
• Sekoia.io TIP : français.
• Anomali, ThreatConnect, Flashpoint.

Autres outils du quotidien

• Analyse de fichiers : VirusTotal, Hybrid Analysis, Any.run (sandbox).
• Reverse engineering : Ghidra, IDA, Cutter.
• Analyse réseau : Wireshark, Zeek, tcpdump.
• OSINT : Shodan, Censys, Maltego.
• Ticketing : Jira, ServiceNow, TheHive.
• Collaboration : TheHive + Cortex (open source), Slack, Teams.
• Documentation : Confluence, wikis internes, knowledge base.
• Scripting : PowerShell, Python, Bash, KQL, SPL.
• Règles de détection : Sigma, YARA, Suricata, Snort.

Plateformes de pratique

Indispensables pour se former et s'entraîner :

• LetsDefend : simulation SOC avec alertes réalistes.
• CyberDefenders : labs forensic et investigation.
• TryHackMe SOC Analyst Path : parcours structuré.
• HackTheBox Blue Team : labs défensifs.
• Blue Team Labs Online : scénarios d'investigation.
• Immersive Labs : labs en entreprise.

05 — FormationSe former au métier

Formations initiales

Bac+2 / Bac+3

• BTS SIO option SISR (Solutions d'Infrastructure, Systèmes et Réseaux).
• BUT R&T (Réseaux et Télécommunications) ou informatique avec spécialisation cyber.
• Licences professionnelles cybersécurité : nombreuses en France.
• Titres RNCP : Analyste SOC, Pentester, Administrateur Cybersécurité.

Bac+4 / Bac+5

• Écoles d'ingénieurs avec spécialisation cyber : ESIEA, EPITA SRS, INSA, Centrale-Supélec, Télécom Paris, ESIEE, Ensimag, IMT Atlantique.
• Masters universitaires : M2 Sécurité des SI dans de nombreuses universités (Paris-Saclay, Rennes 1, Grenoble, Toulouse).
• Masters spécialisés : Cybersécurité à Centrale-Supélec, Télécom Paris, IMT.

Reconversions et parcours alternatifs

• Bootcamps cybersécurité : Simplon, Ecole 2600, Oteria Cyber School, OpenClassrooms.
• Autodidacte + certifications : parcours valorisé si étayé par des labs et projets concrets.
• Reconversion depuis l'IT : admin système, réseau, dev — base solide pour passer au SOC.

Certifications de référence

Pour débuter

• Blue Team Level 1 (BTL1) — Security Blue Team : excellente certification pratique pour débutants, labs intégrés, examen hands-on. Très recommandée en 2026.
• CompTIA Security+ : base généraliste, largement reconnue.
• CompTIA CySA+ : orientée SOC, intermédiaire.
• eJPT (INE) : complément offensif utile pour comprendre les attaques.
• Certified SOC Analyst (CSA) — EC-Council.

Pour progresser

• GCIH (GIAC Certified Incident Handler) : référence incident response, SANS.
• GCIA (GIAC Certified Intrusion Analyst) : analyse d'intrusion, très technique.
• GCDA (GIAC Certified Detection Analyst) : nouvelle, focus detection.
• Blue Team Level 2 (BTL2) : suite avancée de BTL1.
• CRTO (Red Team Ops) : compréhension offensive utile.

Pour se spécialiser

• GCFE / GCFA : forensic.
• GREM : reverse engineering malwares.
• GNFA : network forensic.
• GCTI : threat intelligence.
• Certifications éditeur : Splunk Certified, Microsoft SC-200 (Security Operations Analyst), CrowdStrike CCFA/CCFR.
• CISSP : plutôt pour évoluer vers management SOC.

Formations françaises reconnues

• CFSSI (ANSSI) : formations pour agents publics.
• Formations HarfangLab, Sekoia, Advens, Tehtris : éditeurs français qui forment leurs opérateurs.
• Orange Cyberdefense Academy, Thales Cyber Academy : formations internes et externes.

Compétences à acquérir en parallèle

• Fondamentaux réseau : TCP/IP, DNS, HTTP, protocoles.
• Systèmes : Windows (logs, AD, PowerShell), Linux (syslog, bash).
• Cloud : AWS/Azure/GCP fondamentaux.
• Scripting : Python pour automatisation, KQL pour Sentinel, SPL pour Splunk.
• MITRE ATT&CK : framework incontournable.
• Cyber kill chain de Lockheed Martin.
• Analyse de logs : regex, filtrage, enrichissement.

06 — SalaireMarché et rémunérations

Fourchettes indicatives 2026 — France

SOC analyst L1 / junior

• Province : 30 000 - 40 000 € brut annuel.
• Paris/Île-de-France : 35 000 - 48 000 €.
• Primes pour poste 24/7, astreintes, horaires décalés : +10 à +30% selon les organisations.
• Temps en poste : typiquement 18-36 mois avant évolution L2.

SOC analyst L2 / confirmé

• Province : 45 000 - 60 000 €.
• Paris/Île-de-France : 50 000 - 70 000 €.
• Horaires généralement plus classiques (jours ouvrés), astreintes possibles.

SOC analyst L3 / threat hunter / senior

• Province : 60 000 - 85 000 €.
• Paris/Île-de-France : 70 000 - 100 000 €.
• Secteurs critiques (banque, défense) 10-20% au-dessus.
• Rôles detection engineer ou threat hunter spécialisés paient souvent au haut de fourchette.

SOC manager / Responsable SOC

• PME/ETI : 80 000 - 110 000 €.
• Grands comptes : 110 000 - 160 000 € + variable.
• Responsabilité d'équipes de 5 à 50+ analystes, budgets, relations clients pour les MSSP.

Freelance

• L2 confirmé : 500 - 700 € HT / jour.
• L3 / expert : 700 - 1 000 € HT / jour.
• Threat hunter / incident responder expert : 900 - 1 400 € HT / jour.
• Marché freelance moins dynamique que pour les pentesters : les SOC préfèrent les contrats long terme.

Facteurs influençant le salaire

• Horaires : 24/7 avec nuits et week-ends peut ajouter 15-30% de primes.
• Secteur : défense, banque, grands industriels tirent vers le haut.
• Localisation : Paris et grandes métropoles vs régions.
• Taille de l'organisation : grand compte rémunère mieux que MSSP pour profils confirmés, l'inverse en junior.
• Certifications : GCIH, GCIA, CISSP valorisent 5-15%.
• Spécialisations : cloud, OT/ICS, threat hunting premium.
• Habilitations : Confidentiel Défense, Secret Défense — valorisées pour secteurs sensibles.

Tension du marché

Pénurie structurelle :

• Plus de 15 000 postes cyber vacants en France selon les estimations.
• Temps de recrutement moyen : 3-6 mois pour un L2 confirmé.
• Forte concurrence entre MSSP, SOC internes, cabinets conseil.
• Croissance soutenue tirée par NIS2, DORA, maturation générale.
• Hausse des salaires de 10-20% sur 2022-2026.

Les acteurs qui recrutent en France

MSSP et ESN

Orange Cyberdefense, Thales, Atos/Eviden, Capgemini, Sopra Steria, Sogeti, Advens, Almond, Intrinsec, Wavestone, Airbus CyberDefence, I-TRACING, NSI, Opensphere.

Éditeurs / pure players

Tehtris, Sekoia.io, HarfangLab, Stormshield, CrowdStrike France, SentinelOne, Microsoft Security, Palo Alto France.

Grands comptes avec SOC internes

Banques (BNP, SG, CA, BPCE), assurances (AXA, Allianz, Covéa), industriels (Total, EDF, Engie, Airbus, Safran, Stellantis), télécoms (Orange, Free, SFR, Bouygues), e-commerce et tech (Doctolib, Back Market, OVH, BlaBlaCar), administration (ministères, gendarmerie, douanes, armée).

07 — ÉvolutionsLe métier face à l'IA et aux nouvelles menaces

L'IA transforme le SOC

L'intelligence artificielle générative et les modèles spécialisés cybersécurité transforment profondément le métier depuis 2023.

• Tri automatisé des alertes : les modèles ML réduisent massivement les faux positifs.
• Enrichissement contextuel : rapprochement automatique d'alertes avec la threat intelligence.
• Assistants virtuels : Microsoft Security Copilot, CrowdStrike Charlotte, Splunk AI Assistant, Google SecOps Gemini.
• Génération de requêtes : traduction langage naturel vers KQL, SPL, SQL.
• Résumés d'incidents : synthèses automatiques des investigations.
• Détection comportementale : UEBA (User and Entity Behavior Analytics) ML.
• Playbooks dynamiques : adaptation automatique selon le contexte.

Impact sur l'emploi

Scénarios débattus dans la profession :

• Scénario pessimiste : réduction de 30-50% des besoins en SOC analysts L1 d'ici 2028-2030, automatisation massive des tâches répétitives, frontière L1/L2 qui s'efface.
• Scénario neutre : les volumes d'alertes augmentent au même rythme que l'automatisation, emploi stable mais transformation des profils, montée en compétences exigée.
• Scénario optimiste : l'IA démultiplie la productivité, permet enfin de combler la pénurie, nouveaux métiers émergent (AI SOC engineer, detection-as-code developer).

La réalité observée en 2026 penche vers le scénario neutre à optimiste pour les profils qui s'adaptent : ceux qui maîtrisent l'IA comme amplificateur, savent critiquer ses résultats, développent des compétences au-delà du pur triage.

Menaces émergentes à maîtriser

• Attaques augmentées par IA : phishing hyper-personnalisé, deepfakes vocaux, génération d'exploits.
• Attaques supply chain : SolarWinds, 3CX, MOVEit, XZ. Détection complexe sur la durée.
• Attaques identitaires : ITDR, AiTM (adversary-in-the-middle), MFA bypass, token theft.
• Cloud security : surface d'attaque hybride, shadow IT, misconfigurations.
• OT convergent : IT et OT de plus en plus liés, exigences dédiées.
• Living Off The Land : attaquants qui n'utilisent que des outils système légitimes.

Évolutions professionnelles possibles

• SOC L1 → L2 → L3 : progression classique interne.
• SOC → CSIRT / incident response : spécialisation gestion de crise.
• SOC → detection engineering : focus sur la création de règles, plutôt dev-like.
• SOC → threat hunter : recherche proactive.
• SOC → threat intelligence : analyse stratégique des acteurs.
• SOC → forensic / DFIR : investigation approfondie.
• SOC → pentester / red team : passage en sécurité offensive.
• SOC → SOC manager → RSSI : évolution management.
• SOC → architecte sécurité : conception des défenses.
• SOC → éditeur : rejoindre un vendeur EDR/SIEM/XDR en pre-sales ou R&D.

Qualités qui resteront essentielles

• Curiosité : aller au-delà de l'alerte, comprendre ce qui se passe vraiment.
• Rigueur méthodologique : ne pas conclure trop vite, documenter.
• Pensée adversariale : se mettre à la place de l'attaquant.
• Résilience au stress : certains incidents sont intenses.
• Capacité d'apprentissage continu : le domaine évolue sans cesse.
• Collaboration : travail en équipe avec IT, métiers, juridique.
• Esprit critique vis-à-vis de l'IA : valider, corriger, ne pas faire confiance aveuglément.

08 — FAQQuestions fréquentes

Faut-il vraiment travailler en 24/7 comme SOC analyst ?

Pas toujours. Plusieurs configurations existent :

• SOC 24/7 avec rotations : équipes qui se relaient en 3x8 ou 2x12. Horaires décalés, primes compensatrices. Typique des grands SOC internes et MSSP.
• SOC 24/7 follow-the-sun : équipes réparties sur plusieurs fuseaux horaires (Paris, Singapour, Mexico). Chaque équipe travaille en horaires locaux normaux.
• SOC 8x5 + astreintes : couverture ouvrée, astreintes pour les week-ends et nuits. Équilibre possible.
• SOC 12x5 ou 12x7 : amplitudes étendues mais pas 24/7.
• Rôles transverses (detection engineer, threat hunter, SOC manager) : horaires normaux.

Si les horaires décalés ne conviennent pas, cibler des SOC follow-the-sun, des postes de tier 2/3, ou des rôles transverses. L'évolution de carrière permet de sortir des rotations après quelques années.

Le SOC analyst est-il un métier en voie de disparition ?

Non, mais en transformation. L'IA et l'automatisation réduisent effectivement certaines tâches répétitives. Mais l'explosion des volumes, la sophistication croissante des attaques, les obligations réglementaires (NIS2, DORA) et la pénurie chronique maintiennent une forte demande. Les profils qui s'adaptent (montée en compétences techniques, intégration de l'IA comme amplificateur) ont un avenir très positif. Les profils purement exécutants sans évolution seront progressivement moins demandés.

Pentester ou SOC analyst, quoi choisir ?

Question de tempérament et de préférences.

• Pentester : rythme projet, travail offensif, nouveauté permanente, livrable par mission, plutôt jours ouvrés.
• SOC analyst : rythme opérationnel, défensif, horaires potentiellement décalés, travail en équipe continue, livrable par incident.

Les deux métiers se complètent et les passerelles existent dans les deux sens. Les purple teamers combinent parfois les deux. Les débuts se font plus facilement côté SOC qui recrute largement en junior, les pentesters demandent davantage de formation préalable ou de certifications (OSCP).

Faut-il préférer un SOC interne ou un MSSP ?

Chaque modèle a ses avantages :

• SOC interne : périmètre unique, connaissance approfondie du métier, évolution possible vers RSSI, stabilité, meilleurs salaires pour confirmés. Limite : exposition à moins de contextes variés.
• MSSP : multi-clients, apprentissage rapide, variété technique, idéal pour junior. Salaires parfois inférieurs, pression de rentabilité, rotation plus forte.

Parcours fréquent : démarrer en MSSP pour exposition large, puis basculer en SOC interne après 3-5 ans pour approfondir un contexte.

Quelle est la formation gratuite la plus utile pour débuter ?

Plusieurs excellentes ressources gratuites :

• TryHackMe SOC Analyst Path : parcours structuré, labs pratiques.
• LetsDefend : tier gratuit avec alertes réelles à traiter.
• CyberDefenders : labs forensic gratuits.
• MITRE ATT&CK : documentation gratuite, à maîtriser.
• SANS Reading Room : papiers techniques gratuits.
• YouTube : chaînes 13Cubed, John Hammond, The PC Security Channel, DFIR-Diva.
• Blogs spécialisés : The DFIR Report, Red Canary, Mandiant.

Investir dans BTL1 (coût modéré, environ 500 $) après 3-6 mois d'apprentissage autodidacte est souvent un excellent rapport qualité/prix pour valider un premier poste.