Text & media

Cahier des charges — Formation SOC Manager — TEHTRIS
Cahier des charges

Formation
SOC Manager

Programme 5 jours. Conception, réalisation et évaluation d'un parcours de formation managériale pour les responsables d'équipes Security Operations Center.

Émetteur
TEHTRIS Academy
Durée
5 jours
Audience
SOC Managers / Team Leads
Offre valable jusqu'au 01/01/2027
01

Compréhension du besoin

Les équipes SOC disposent aujourd'hui de formations techniques solides pour leurs analystes. Les outils, les méthodologies de détection et les frameworks de référence sont enseignés et maîtrisés. Pourtant, de nombreuses organisations constatent que la performance opérationnelle ne suit pas : incidents mal escaladés, coordination défaillante entre niveaux d'analyse, épuisement des équipes.

Le problème n'est pas technique : il est organisationnel et managérial.

La formation des managers de SOC constitue un angle mort persistant. Si un analyste L1 sait détecter une alerte, il ne sait pas nécessairement les étapes claires et les contenus attendus par l'organisation, faute de processus clairs définis par son manager. Cette opacité entre les niveaux L1, L2 et L3 génère des frictions quotidiennes : doublons d'investigation, alertes perdues, responsabilités floues.

À ces dysfonctionnements structurels s'ajoutent des défauts de pilotage récurrents : missions mal définies, absence de vision d'équipe partagée, planification inadaptée aux contraintes d'astreinte et de rotation. Ces lacunes, tolérables en temps normal, deviennent critiques en période de crise.

Ces défauts organisationnels ne restent pas sans conséquence humaine. La charge cognitive permanente, l'absence de sens et les processus défaillants exposent les équipes SOC à des risques psychosociaux élevés, aggravés par les contraintes budgétaires fréquentes dans ce secteur.

Fonctionnement opérationnel
  • Hausse de l'absentéisme
  • Turnover élevé
  • Présentéisme
  • Accidents du travail
Climat social
  • Dégradation de l'ambiance
  • Multiplication des conflits
  • Incivilités
  • Isolement des équipes
Performance globale
  • Baisse de la qualité
  • Perte de créativité
  • Atteinte à la réputation
  • Dégradation de l'image

Cette formation s'adresse aux managers de SOC qui souhaitent passer d'une posture réactive à une posture structurante. Elle leur permet d'identifier les écueils les plus fréquents, d'adopter progressivement les standards du marché, et de mettre en place les conditions durables d'une équipe performante, résiliente et engagée, y compris en situation de crise.

02

Périmètre non couvert

Cette formation ne couvre pas les aspects techniques et opérationnels du SOC. Les éléments suivants sont explicitement hors périmètre :

  • Paramétrage des outils de détection et optimisation des règles de corrélation
  • Augmentation du volume d'alertes et gestion de la productivité individuelle
  • Application des frameworks de sécurité standards — la formation enseigne quand et pourquoi s'en écarter
  • Préparation à une certification formelle (CISSP, CISM ou équivalent)
  • Relations avec les équipes amont (threat intelligence, red team, équipes de réponse à incident)
  • Problématiques de recrutement initial ou de réduction d'un backlog d'alertes (SOC en phase de construction)
03

Prérequis

Cette formation s'adresse à des professionnels déjà en poste. Elle suppose une expérience opérationnelle préalable dans un environnement SOC ou sécurité, à un niveau d'analyste senior, de team lead ou de manager en prise de poste.

Technique requis

Maîtrise des fondamentaux de la détection et de la réponse à incident : cycle de vie d'une attaque, outils SIEM et EDR en contexte opérationnel, lecture et interprétation de logs de sécurité. Première exposition à MITRE ATT&CK attendue.

Management requis

Aucune certification formelle exigée. Une expérience d'encadrement ou de coordination d'équipe, même partielle, est nécessaire pour tirer pleinement parti des exercices de crise et des labs de management.

Profils non adaptés

Analystes juniors sans expérience de coordination. Managers issus de fonctions IT sans exposition à la cybersécurité opérationnelle. Participants cherchant une préparation à une certification technique.

Engagement commanditaire

Le commanditaire s'engage à vérifier l'adéquation des profils avant inscription. TEHTRIS se réserve le droit de refuser ou rediriger un participant dont le profil ne correspond pas, afin de préserver la qualité du groupe.

04

Méthodologie

Cette formation est structurée autour des difficultés réelles des équipes SOC, pas autour d'un référentiel théorique. Chaque section part d'un problème concret : turnover élevé, burnout masqué en problème de performance, couverture de détection surestimée, métriques utilisées comme outil de pression plutôt que de pilotage.

Aucune section ne s'arrête à la théorie : chacune produit un livrable de travail, utilisé directement dans le lab qui suit.

Les labs sont le cœur de la méthode : cartographie des actifs critiques, évaluation des règles de détection, construction de playbooks d'incident response, tableau de bord réduit aux indicateurs utiles. Les exercices de crise reproduisent des scénarios réels : coordination sous pression, décisions de confinement avec information incomplète, communication vers la direction en temps de crise.

La maturité SOC est traitée sans complaisance. Le SOC-CMM n'est pas un objectif marketing — c'est un outil de diagnostic.

Pour le commanditaire
  • Managers capables de diagnostiquer le burnout
  • Couverture de détection pilotable
  • Équipes qui s'améliorent sur la durée
Répartition du temps
  • 40% discussion et décisions
  • 40% simulation de crise
  • 20% management et people
Références pédagogiques
  • Référentiel VTLM
  • ENISA ECSF
  • Évaluation par examen final
05

Planning — 5 jours

01
SOC design et planification opérationnelle
Un SOC sans mission claire est une équipe qui réagit au lieu de défendre. Cette journée part du terrain : état réel de l'industrie, pièges des chartes inapplicables, cartographie des fonctions qui comptent vraiment. On construit les fondations opérationnelles du SOC, pas son organigramme théorique. À l'issue, chaque participant repart avec une charte en langage opérationnel, une cartographie des actifs critiques et des intelligence requirements utilisables immédiatement.
Sujets
Charte SOC Fonctions SOC Cyber Threat Intel Staffing
Labs
Création charte Cartographie actifs PIR
Références
NIST SP 800-61 NIST CSF ENISA SOC ANSSI MITRE ATT&CK
02
Télémétrie et analyse
Détecter sans les bonnes données, c'est opérer à l'aveugle. Cette journée traite de la collecte comme discipline stratégique : quelles sources couvrir, dans quel ordre, avec quelles ressources réelles. ATT&CK n'est pas un référentiel à cocher — c'est un outil de priorisation. On travaille sur la capacité analyste soutenable, pas sur la couverture idéale.
Sujets
Outils critiques SOC Collecte de données Capacités analyste
Labs
Éval. acteurs menace ATT&CK Navigator Capacity planning
Références
MITRE D3FEND NIST SP 800-137 ENISA Threat Land. CIS Controls v8
03
Détection, threat hunting et triage
Une règle de détection non maintenue est une dette. Un threat hunt sans méthode est du bruit. Cette journée traite du detection engineering comme discipline de management à part entière : concevoir, documenter, mesurer, améliorer. Le threat hunting y est abordé comme une démarche structurée avec des critères d'entrée et de sortie.
Sujets
Detection engineering Threat hunting Défense active
Labs
Gestion règles Use cases Qualité détection
Références
MITRE CAR Sigma TaHiTI NIST SP 800-92
04
Réponse à incident
En crise, le manager qui devient analyste perd le commandement. Cette journée entraîne à tenir une posture de décision sous pression : confirmation d'incident, coordination inter-équipes, communication exécutive, confinement avec information incomplète. Du premier signal à la reprise d'activité, chaque étape est travaillée en conditions réelles.
Sujets
Commandement IR Coordination Confinement
Labs
Revue qualité invest. Playbooks SOC Exercice confinement
Références
NIST SP 800-61 Rev.2 ENISA IR Guide FIRST CSIRT ISO/IEC 27035
05
Métriques, automatisation et amélioration continue
Mesurer pour piloter, pas pour se justifier. La plupart des SOC mesurent beaucoup et améliorent peu. On travaille sur les indicateurs qui réduisent réellement la douleur opérationnelle, sur le diagnostic de maturité sans complaisance, et sur l'intégration de l'automatisation sans désengager les analystes. La rétention et la prévention du burnout sont traitées comme des variables de performance.
Sujets
Métriques utiles SOC-CMM IA & automatisation Burnout / Rétention
Labs
Pain dashboard Purple team Plan 6 mois
Références
SOC-CMM NIST SP 800-55 FIRST SIM3 ISO/IEC 27004
06

Gouvernance et comitologie

TEHTRIS
Responsable fonctionnel des services éducatifs
Garant de la qualité pédagogique et technique. Aligne les programmes aux exigences locales et légales. Dispose d'un droit de véto sur les arbitrages pédagogiques structurants.
TEHTRIS
Instructeur
Responsable du contenu respectant les exigences pédagogiques et techniques. Garant de la transmission des savoirs. Produit un compte-rendu après chaque formation et soumet toute modification à validation.
Client
Commanditaire / Sponsor
Identifié au niveau de la direction sécurité (Responsable de domaine, d'équipe ou du pôle de Formation Technique). Garant de la cohérence entre les objectifs de la formation et la stratégie opérationnelle.

Un comité de pilotage est constitué pour la durée du programme. Il réunit le sponsor, le responsable fonctionnel des services éducatifs et le formateur. Il se réunit au minimum trois fois : en amont du démarrage, à mi-parcours, et à l'issue de la formation.

Décisions en comité de pilotage

  • Ajustement de contenu pédagogique
  • Remplacement d'un intervenant
  • Modification du calendrier

Décisions de l'instructeur

  • Logistique et convocations
  • Supports de formation
  • Organisation des laboratoires

À l'issue de chaque parcours, les participants rempliront sous la responsabilité du commanditaire un document permettant d'évaluer la qualité et, si nécessaire, les axes de progrès.

07

Livrables

01
Démarche contractuelle par objectifs
02
Cahier des charges de la formation
03
Grille d'analyse de l'activité
04
Supports de formation
05
Infrastructure et ateliers de formation
06
Questionnaire de satisfaction
07
Évaluation des acquis
08
Évaluation de transfert en situation
08

Tableau des charges et tarifs

Charges prestataire incluses dans le forfait

Poste Profil Jours TJM Montant HT Détail
Préparation pédagogique Formateur expert SOC 20 j 890 € 17 800 € Conception, scénarios, supports
Réalisation (5 jours) Formateur expert SOC 5 j 890 € 4 450 € Animation des 5 jours en salle
Débrief / Admin / Copil Chef de projet formation 3 j 890 € 2 670 € Compte-rendus, comités de pilotage
Logistique Coordination prestataire Inclus Inclus Réservations, impressions, déplacements, supports
Sous-total charges HT 24 920 €

Tarification — forfait tout compris TTC

Nombre de participants :   4 −40%
Ligne Profil Jours Tarif/j/pers. TTC Montant TTC Note

Grille tarifaire dégressive — 1 à 12 participants

Forfait journalier TTC par personne : 1 000 €. Plein tarif de 1 à 3 participants. Dégressivité de −40% à 4 participants, linéaire jusqu'à −70% à 12 participants.

09

Garanties

Garanties pédagogiques
  • Chaque participant est en mesure à l'issue de diagnostiquer les modes de défaillance silencieux d'un SOC
  • Capacité à conduire une session de crise avec une posture de commandement claire
  • Production des livrables opérationnels associés à chaque journée
  • En cas d'échec à l'examen final : session de rattrapage individuelle remote sans surcoût dans les 60 jours
  • Garantie conditionnée à la participation effective aux 5 jours et à l'adéquation au profil prérequis
Conformité aux référentiels
  • Contenu aligné sur les référentiels en vigueur au moment de la réalisation
  • Pédagogie : référentiel VTLM et recommandations ENISA ECSF
  • Technique : NIST SP 800-61, NIST CSF, ANSSI, MITRE ATT&CK
  • Engagement de signalement de toute évolution significative d'un référentiel entre signature et réalisation
  • Ajustements proposés sans surcoût si l'évolution affecte le contenu prévu
Garanties contractuelles
  • Réclamation formulée par écrit dans les 15 jours ouvrés suivant la dernière journée
  • En cas de défaillance instructeur : report de date proposé dans les 30 jours
  • Si aucune date trouvée : remboursement au prorata du forfait TTC versé
  • Droit de résiliation sans frais jusqu'à 30 jours avant démarrage
  • En deçà : indemnité forfaitaire de 30% du montant total TTC

Validité de l'offre : cette offre est valable jusqu'au 01/01/2027.

Formation SOC Manager
Cahier des charges — Version 1.0
Offre valable jusqu'au 01/01/2027