Formation SOC Analyste — TEHTRIS Academy

TEHTRIS
Academy
Instructor-Led · 5 jours · Nouveaux analystes SOC

Formation
SOC Analyste

Un parcours intensif d'une semaine pour former les nouveaux arrivants au SOC aux pratiques opérationnelles réelles : triage, investigation, escalade DFIR, respect des SLA — du concept à la situation de travail réelle.

Durée
5 jours
Niveau
Entrée en poste SOC
Méthodes
AFEST · JDR · Étude de cas
Alignement
ENISA ECSF · MITRE ATT&CK
9 Ateliers pédagogiques
01

Objectifs de la formation

Objectif stratégique
  • Former les nouveaux arrivants au SOC à leurs responsabilités opérationnelles dès la prise de poste
Objectif opérationnel
  • Analyser les événements de sécurité
  • Traiter les incidents selon les procédures
  • Escalader vers les équipes DFIR au bon moment
  • Respecter les SLA définis
Objectif global
  • Maîtriser le triage et la qualification des alertes
  • Conduire des activités de threat hunting
  • Appliquer les SOP de l'équipe
  • Respecter les métriques et le MCO
Objectifs partiels
  • Rôle du SOC et rôle personnel
  • Incident Handling · Prise en main de l'UI
  • Configuration des notifications · Log types
  • Threat Modeling (CKC / MITRE)
  • Actions de mitigation · Zones de sécurité
  • Investigation · Inventory · Scripting
  • Reporting · Protocoles · Team Play
02

Compétences couvertes

La formation couvre l'ensemble des compétences nécessaires à un analyste SOC opérationnel. Chaque compétence est ancrée dans un atelier pratique.

RôleRôle du SOC & rôle personnel
IHIncident Handling
UIPrise en main de l'interface
ConfigConfiguration des notifications
MCOMaintien en conditions opérationnelles
LogsLog Types & Taxonomy
CTIThreat Modeling — CKC / MITRE ATT&CK
TriageUse Cases · Priorisation · FP/VP
SOPProcédures opérationnelles
Invest.Investigation & Reporting
ZonesZones de sécurité & Actions de mitigation
Inv.Inventory
ScriptScripting
APIAutomatisation & SOAR
TeamTeam Play & Protocoles de communication
03

Planning de la semaine

Lundi
Introduction & SOC
Feuille de route
Rôles SOC
Incident Handling
Mardi
Préparation & Sources
UI & Config
MCO
Logs & Taxonomy
Mercredi
Triage & Investigation
Use Cases
Priorisation FP/VP
SOP & Reporting
Jeudi
AFEST
FFA — Autonomie
Procédure guidée
Course contre la montre
Vendredi
Automatisations & Wrap-up
API & SOAR
Timelines & Reports
Bilan & Clôture
04

Programme détaillé — Ateliers & méthodes pédagogiques

Chaque journée alterne apports conceptuels et ateliers pratiques. La méthode pédagogique est adaptée à chaque thématique pour ancrer les apprentissages dans la réalité opérationnelle du SOC.

Lundi
Introduction
SOC
Cadrage & culture SOC
Première journée de cadrage : comprendre la feuille de route de la semaine, s'approprier les rôles au sein de l'équipe, et ancrer les fondamentaux de l'Incident Handling dans la culture opérationnelle du SOC. Les méthodes analogiques et le vrai-faux permettent de tester et corriger les représentations initiales.
Introduction — Feuille de route
Présentation du parcours, des objectifs, des livrables attendus et du cadre d'évaluation de la semaine.
Objectifs semaineContrat pédagogiqueLivrable : feuille de route personnelle
Briefing
SOC — Rôles & Incident Handling
Cartographie des rôles L1/L2/L3, responsabilités et périmètres. Cycle de vie d'un incident, chaîne d'escalade, SLA et critères de qualification.
Rôle SOCIncident HandlingEscalade DFIRSLALivrable : RACI équipe
Analogique · Vrai-Faux
Mardi
Préparation
Sources
Environnement de travail & sources de données
Prise en main complète de l'UI, configuration des alertes et notifications, et maintien en conditions opérationnelles. En parallèle, compréhension des types de logs et de la taxonomie des événements — avec les vidéos de référence Chris Sanders comme support d'apprentissage autonome.
Préparation — UI, Config & MCO
Navigation dans l'interface, configuration des notifications personnelles, gestion des dashboards opérationnels et vérification du MCO (disponibilité des sources, coverage endpoints).
UINotificationsMCOCoverageInventoryLivrable : config personnelle validée
Étude de cas
Sources — Logs & Taxonomy
Identification des types de logs (réseau, endpoint, application, authentification), modèles de données, normalisation et taxonomy. Threat Modeling avec la Cyber Kill Chain et MITRE ATT&CK.
Log TypesTaxonomyCKCMITRE ATT&CKThreat ModelingLivrable : matrice de sources
Vidéo (Chris Sanders)
Mercredi
Triage
Investigation
Du triage à l'investigation : le cycle complet
Journée centrale du parcours. Le matin est dédié au triage par jeu de rôle pompier — simulant la pression opérationnelle et la gestion des priorités sous contrainte. L'après-midi bascule sur l'investigation structurée, la rédaction des SOP et le reporting via brainstorm et mind map.
Triage — Use Cases, Priorisation, FP/VP
Application des use cases, grille de priorisation (criticité, contexte, fréquence), identification et traitement des faux positifs. Mise en situation avec flux d'alertes réaliste.
Use CasesPriorisationFaux PositifsVrais PositifsZones sécuritéLivrable : grille de triage
JDR Pompier
Investigation — SOP & Reporting
Construction collaborative d'une SOP d'investigation, structuration du reporting d'incident, actions de mitigation et définition des zones de sécurité. Scripting d'automatisation basique.
SOPReportingMitigationScriptingProtocolesLivrable : SOP + template de rapport
Brainstorm · Mind Map
Jeudi
AFEST
Situation réelle
Action de Formation en Situation de Travail
Journée AFEST complète en deux temps. Le matin en autonomie libre (Free for All) : l'apprenant prend en charge des incidents réels sans guidage, seul face à son environnement de production. L'après-midi en procédure guidée et chronomètrée : application des protocoles sous pression temporelle avec un instructeur en observateur.
AFEST — Autonomie libre (FFA)
Triage et investigation en conditions réelles, sans assistance. Évaluation des acquis : application autonome des use cases, triage, escalade et reporting sur un flux d'incidents non filtrés.
Triage autonomeInvestigationEscaladeReportingÉvaluation : test de connaissances
Test connaissances
AFEST — Procédure guidée
Application des SOP et protocoles de communication sur incident simulé, avec contrainte de temps. Évaluation de la rigueur procédurale, de la communication d'équipe et du respect des délais SLA.
ProcessCommunicationTeam PlaySLAÉvaluation : score chronométré
Course contre la montre
Vendredi
Automatisation
Wrap-up
Automatisation & bilan de semaine
Dernière journée orientée vers la montée en efficacité : API, SOAR, timelines automatisées et reporting structuré. La résolution de problèmes comme méthode pédagogique permet d'ancrer les automatisations dans des cas réels rencontrés pendant la semaine. La session de wrap-up conclut sur les axes de progrès individuels et collectifs.
Automatisation — API, SOAR, Timelines, Reports
Utilisation des API pour l'automatisation des tâches récurrentes, configuration de playbooks SOAR, création de timelines d'incident et génération de rapports automatisés. Scripting avancé appliqué aux SOP.
APISOARTimelinesReportsScriptingLivrable : playbook SOAR
Résolution de problèmes
Wrap-up — Bilan & feuille de route individuelle
Retour sur la semaine, consolidation des acquis, identification des axes de progrès prioritaires. Chaque participant repart avec une feuille de route personnelle de montée en compétences.
BilanAxes de progrèsLivrable : feuille de route personnelle
Débriefing collectif

TEHTRIS
Academy
Formation SOC Analyste — Prise de poste
Instructor-Led · 5 jours · AFEST
© TEHTRIS 2026