Cahier des charges — Formation SOC Manager — TEHTRIS Academy

TEHTRIS
Academy
Cahier des charges · Instructor-Led

Formation
SOC Manager

Programme 5 jours. Conception, réalisation et évaluation d'un parcours de formation managériale pour les responsables d'équipes Security Operations Center.

Émetteur
TEHTRIS Academy
Durée
5 jours
Audience
SOC Managers / Team Leads
Alignement
ENISA ECSF · VTLM
Offre valable jusqu'au 01/01/2027
01

Compréhension du besoin

Les équipes SOC disposent aujourd'hui de formations techniques solides pour leurs analystes. Les outils, les méthodologies de détection et les frameworks de référence sont enseignés et maîtrisés. Pourtant, de nombreuses organisations constatent que la performance opérationnelle ne suit pas : incidents mal escaladés, coordination défaillante entre niveaux d'analyse, épuisement des équipes.

Le problème n'est pas technique : il est organisationnel et managérial.

La formation des managers de SOC constitue un angle mort persistant. Si un analyste L1 sait détecter une alerte, il ne sait pas nécessairement les étapes claires et les contenus attendus par l'organisation, faute de processus clairs définis par son manager. Cette opacité entre les niveaux L1, L2 et L3 génère des frictions quotidiennes : doublons d'investigation, alertes perdues, responsabilités floues.

À ces dysfonctionnements structurels s'ajoutent des défauts de pilotage récurrents : missions mal définies, absence de vision d'équipe partagée, planification inadaptée aux contraintes d'astreinte et de rotation. Ces lacunes, tolérables en temps normal, deviennent critiques en période de crise.

Ces défauts organisationnels ne restent pas sans conséquence humaine. La charge cognitive permanente, l'absence de sens et les processus défaillants exposent les équipes SOC à des risques psychosociaux élevés, aggravés par les contraintes budgétaires fréquentes dans ce secteur.

Fonctionnement opérationnel
  • Hausse de l'absentéisme
  • Turnover élevé
  • Présentéisme
  • Accidents du travail
Climat social
  • Dégradation de l'ambiance
  • Multiplication des conflits
  • Incivilités
  • Isolement des équipes
Performance globale
  • Baisse de la qualité
  • Perte de créativité
  • Atteinte à la réputation
  • Dégradation de l'image

Cette formation s'adresse aux managers de SOC qui souhaitent passer d'une posture réactive à une posture structurante. Elle leur permet d'identifier les écueils les plus fréquents, d'adopter progressivement les standards du marché, et de mettre en place les conditions durables d'une équipe performante, résiliente et engagée, y compris en situation de crise.

02

Périmètre non couvert

Cette formation ne couvre pas les aspects techniques et opérationnels du SOC. Les éléments suivants sont explicitement hors périmètre :

  • Paramétrage des outils de détection et optimisation des règles de corrélation
  • Augmentation du volume d'alertes et gestion de la productivité individuelle
  • Application des frameworks de sécurité standards — la formation enseigne quand et pourquoi s'en écarter
  • Préparation à une certification formelle (CISSP, CISM ou équivalent)
  • Relations avec les équipes amont (threat intelligence, red team, équipes de réponse à incident)
  • Problématiques de recrutement initial ou de réduction d'un backlog d'alertes (SOC en phase de construction)
03

Prérequis

Cette formation s'adresse à des professionnels déjà en poste. Elle suppose une expérience opérationnelle préalable dans un environnement SOC ou sécurité, à un niveau d'analyste senior, de team lead ou de manager en prise de poste.

Technique requis

Maîtrise des fondamentaux de la détection et de la réponse à incident : cycle de vie d'une attaque, outils SIEM et EDR en contexte opérationnel, lecture et interprétation de logs de sécurité. Première exposition à MITRE ATT&CK attendue.

Management requis

Aucune certification formelle exigée. Une expérience d'encadrement ou de coordination d'équipe, même partielle, est nécessaire pour tirer pleinement parti des exercices de crise et des labs de management.

Profils non adaptés

Analystes juniors sans expérience de coordination. Managers issus de fonctions IT sans exposition à la cybersécurité opérationnelle. Participants cherchant une préparation à une certification technique.

Engagement commanditaire

Le commanditaire s'engage à vérifier l'adéquation des profils avant inscription. TEHTRIS se réserve le droit de refuser ou rediriger un participant dont le profil ne correspond pas, afin de préserver la qualité du groupe.

04

Méthodologie

Cette formation est structurée autour des difficultés réelles des équipes SOC, pas autour d'un référentiel théorique. Chaque section part d'un problème concret : turnover élevé, burnout masqué en problème de performance, couverture de détection surestimée, métriques utilisées comme outil de pression plutôt que de pilotage.

Aucune section ne s'arrête à la théorie : chacune produit un livrable de travail, utilisé directement dans le lab qui suit.

Les labs sont le cœur de la méthode : cartographie des actifs critiques, évaluation des règles de détection, construction de playbooks d'incident response, tableau de bord réduit aux indicateurs utiles. Les exercices de crise reproduisent des scénarios réels : coordination sous pression, décisions de confinement avec information incomplète, communication vers la direction en temps de crise.

La maturité SOC est traitée sans complaisance. Le SOC-CMM n'est pas un objectif marketing : c'est un outil de diagnostic.

Pour le commanditaire
  • Managers capables de diagnostiquer le burnout
  • Couverture de détection pilotable
  • Équipes qui s'améliorent sur la durée
Répartition du temps
  • 40% discussion et décisions
  • 40% simulation de crise
  • 20% management et people
Références pédagogiques
  • Référentiel VTLM
  • ENISA ECSF
  • Évaluation par examen final
05

Planning — 5 jours

01
SOC design et planification opérationnelle
Un SOC sans mission claire est une équipe qui réagit au lieu de défendre. Cette journée part du terrain : état réel de l'industrie, pièges des chartes inapplicables, cartographie des fonctions qui comptent vraiment. On construit les fondations opérationnelles du SOC, pas son organigramme théorique. À l'issue, chaque participant repart avec une charte en langage opérationnel, une cartographie des actifs critiques et des intelligence requirements utilisables immédiatement.
Sujets
Charte SOCFonctions SOCCTIStaffing
Labs
Création charteCartographie actifsPIR
Références
NIST SP 800-61NIST CSFENISA SOCANSSIMITRE ATT&CK
02
Télémétrie et analyse
Détecter sans les bonnes données, c'est opérer à l'aveugle. Cette journée traite de la collecte comme discipline stratégique : quelles sources couvrir, dans quel ordre, avec quelles ressources réelles. ATT&CK n'est pas un référentiel à cocher : c'est un outil de priorisation. On travaille sur la capacité analyste soutenable, pas sur la couverture idéale.
Sujets
Outils critiques SOCCollecte de donnéesCapacités analyste
Labs
Éval. acteurs menaceATT&CK NavigatorCapacity planning
Références
MITRE D3FENDNIST SP 800-137ENISA Threat Land.CIS Controls v8
03
Détection, threat hunting et triage
Une règle de détection non maintenue est une dette. Un threat hunt sans méthode est du bruit. Cette journée traite du detection engineering comme discipline de management à part entière : concevoir, documenter, mesurer, améliorer. Le threat hunting y est abordé comme une démarche structurée avec des critères d'entrée et de sortie.
Sujets
Detection engineeringThreat huntingDéfense active
Labs
Gestion règlesUse casesQualité détection
Références
MITRE CARSigmaTaHiTINIST SP 800-92
04
Réponse à incident
En crise, le manager qui devient analyste perd le commandement. Cette journée entraîne à tenir une posture de décision sous pression : confirmation d'incident, coordination inter-équipes, communication exécutive, confinement avec information incomplète. Du premier signal à la reprise d'activité, chaque étape est travaillée en conditions réelles.
Sujets
Commandement IRCoordinationConfinement
Labs
Revue qualité invest.Playbooks SOCExercice confinement
Références
NIST SP 800-61 Rev.2ENISA IR GuideFIRST CSIRTISO/IEC 27035
05
Métriques, automatisation et amélioration continue
Mesurer pour piloter, pas pour se justifier. La plupart des SOC mesurent beaucoup et améliorent peu. On travaille sur les indicateurs qui réduisent réellement la douleur opérationnelle, sur le diagnostic de maturité sans complaisance, et sur l'intégration de l'automatisation sans désengager les analystes. La rétention et la prévention du burnout sont traitées comme des variables de performance.
Sujets
Métriques utilesSOC-CMMIA & automatisationBurnout / Rétention
Labs
Pain dashboardPurple teamPlan 6 mois
Références
SOC-CMMNIST SP 800-55FIRST SIM3ISO/IEC 27004
06

Gouvernance et comitologie

TEHTRIS
Responsable fonctionnel des services éducatifs
Garant de la qualité pédagogique et technique. Aligne les programmes aux exigences locales et légales. Dispose d'un droit de véto sur les arbitrages pédagogiques structurants.
TEHTRIS
Instructeur
Responsable du contenu respectant les exigences pédagogiques et techniques. Garant de la transmission des savoirs. Produit un compte-rendu après chaque formation et soumet toute modification à validation.
Client
Commanditaire / Sponsor
Identifié au niveau de la direction sécurité (Responsable de domaine, d'équipe ou du pôle de Formation Technique). Garant de la cohérence entre les objectifs de la formation et la stratégie opérationnelle.

Un comité de pilotage est constitué pour la durée du programme. Il réunit le sponsor, le responsable fonctionnel des services éducatifs et le formateur. Il se réunit au minimum trois fois : en amont du démarrage, à mi-parcours, et à l'issue de la formation.

Décisions en comité de pilotage

  • Ajustement de contenu pédagogique
  • Remplacement d'un intervenant
  • Modification du calendrier

Décisions de l'instructeur

  • Logistique et convocations
  • Supports de formation
  • Organisation des laboratoires

À l'issue de chaque parcours, les participants rempliront sous la responsabilité du commanditaire un document permettant d'évaluer la qualité et, si nécessaire, les axes de progrès.

07

Livrables

01
Démarche contractuelle par objectifs
02
Cahier des charges de la formation
03
Grille d'analyse de l'activité
04
Supports de formation
05
Infrastructure et ateliers de formation
06
Questionnaire de satisfaction
07
Évaluation des acquis
08
Évaluation de transfert en situation
09

Garanties

Garanties pédagogiques
  • Chaque participant est en mesure à l'issue de diagnostiquer les modes de défaillance silencieux d'un SOC
  • Capacité à conduire une session de crise avec une posture de commandement claire
  • Production des livrables opérationnels associés à chaque journée
  • En cas d'échec à l'examen final : session de rattrapage individuelle remote sans surcoût dans les 60 jours
  • Garantie conditionnée à la participation effective aux 5 jours et à l'adéquation au profil prérequis
Conformité aux référentiels
  • Contenu aligné sur les référentiels en vigueur au moment de la réalisation
  • Pédagogie : référentiel VTLM et recommandations ENISA ECSF
  • Technique : NIST SP 800-61, NIST CSF, ANSSI, MITRE ATT&CK
  • Engagement de signalement de toute évolution significative d'un référentiel entre signature et réalisation
  • Ajustements proposés sans surcoût si l'évolution affecte le contenu prévu
Garanties contractuelles
  • Réclamation formulée par écrit dans les 15 jours ouvrés suivant la dernière journée
  • En cas de défaillance instructeur : report de date proposé dans les 30 jours
  • Si aucune date trouvée : remboursement au prorata du forfait TTC versé
  • Droit de résiliation sans frais jusqu'à 30 jours avant démarrage
  • En deçà : indemnité forfaitaire de 30% du montant total TTC

Validité de l'offre : cette offre est valable jusqu'au 01/01/2027.


TEHTRIS
Academy
Formation SOC Manager
Cahier des charges — Version 1.0
Offre valable jusqu'au 01/01/2027