Leçon 1 — Rôles SOC et architecture Blue Team
Tiers L1/L2/L3, CSIRT, cycle de vie d'un incident, outils SOC (SIEM, SOAR, EDR, IDS/IPS).
Objectifs pédagogiques
- Distinguer les tiers L1, L2 et L3 d'un SOC et leurs responsabilités respectives
- Comprendre la différence entre Red Team, Blue Team et Purple Team
- Maîtriser les outils fondamentaux du SOC : SIEM, SOAR, EDR, IDS/IPS, UEBA
- Décrire le cycle de vie complet d'un incident de sécurité
- Identifier les métriques clés d'un SOC (MTTD, MTTR)
1. Prérequis
Bases réseau TCP/IP, administration Windows et Linux. Connaissance générale des menaces informatiques (virus, ransomware, phishing). Cette leçon est la fondation de tout le parcours SOC.
2. Introduction — Le SOC, bouclier de l'organisation
Un SOC (Security Operations Center) est une équipe dédiée à la surveillance et la protection des systèmes d'information d'une organisation. Il fonctionne généralement 24h/24, 7j/7, en utilisant des outils technologiques avancés et des procédures formalisées (playbooks) pour détecter, analyser et répondre aux incidents de sécurité.
Selon CompTIA dans le référentiel CySA+ CS0-003 : « Security Operations comprend 33% de l'examen et couvre la surveillance des systèmes, la gestion des alertes, et les activités de triage au sein d'un SOC. »
Source : https://www.comptia.org/certifications/cybersecurity-analyst (consultée le 2026-05-27).
3. Structure hiérarchique d'un SOC
3.1 SOC Tier 1 — Analyste de surveillance (L1)
Le Tier 1 est la première ligne de défense. Les analystes L1 :
- Surveillent les dashboards SIEM en temps réel
- Trient les alertes (vrai positif vs faux positif)
- Documentent les incidents dans le système de ticketing (ServiceNow, JIRA)
- Escaladent les incidents complexes vers le Tier 2
- Appliquent les playbooks standardisés
Métriques L1 : MTTD (Mean Time To Detect), volume d'alertes traitées par jour, taux de faux positifs.
3.2 SOC Tier 2 — Analyste incident (L2)
Le Tier 2 effectue l'investigation approfondie des incidents escaladés :
- Analyse forensique (logs, mémoire, réseau)
- Corrélation d'événements cross-systèmes
- Hunting proactif de menaces
- Création et affinement des règles de détection SIEM
- Rédaction de rapports d'incidents
Métriques L2 : MTTR (Mean Time To Respond), qualité des rapports d'incidents, faux négatifs détectés.
3.3 SOC Tier 3 — Expert / Threat Hunter (L3)
Le Tier 3 représente les experts de haut niveau :
- Threat Intelligence (analyse des APT, IOCs)
- Reverse engineering de malwares
- Architecture et amélioration continue des défenses
- Red Team exercises (purple teaming)
- Veille réglementaire et conformité
3.4 CSIRT et CIRT
Le CSIRT (Computer Security Incident Response Team) et le CIRT (Cyber Incident Response Team) sont des équipes spécialisées déclenchées lors d'incidents majeurs. Ils coordonnent la réponse entre le SOC, la direction, les équipes juridiques, et parfois les autorités (ANSSI en France, CCCS au Canada, ANTIC au Cameroun).
4. Red Team, Blue Team, Purple Team
| Équipe | Rôle | Outils typiques | Objectif |
|---|
| Red Team | Attaquants simulés | Metasploit, Cobalt Strike, BloodHound | Tester les défenses en simulant des APT |
| Blue Team | Défenseurs (SOC) | Splunk, CrowdStrike, Snort, Zeek | Détecter, contenir, éliminer les menaces |
| Purple Team | Collaboration Red+Blue | ATT&CK Navigator, Atomic Red Team | Améliorer les défenses via des tests joints |
5. Outils fondamentaux du SOC
5.1 SIEM (Security Information and Event Management)
Le SIEM est le cerveau du SOC. Il collecte, normalise et corrèle les logs de toutes les sources pour détecter des comportements suspects. Principaux SIEM du marché :
- Splunk Enterprise Security — leader marché, SPL (Search Processing Language)
- IBM QRadar — très utilisé en grandes entreprises et secteur public
- Microsoft Sentinel — SIEM cloud Azure, KQL (Kusto Query Language)
- Elastic SIEM — open source, basé sur ELK Stack
- ArcSight (Micro Focus) — traditionnel, utilisé dans administrations
5.2 SOAR (Security Orchestration, Automation and Response)
Un SOAR automatise les réponses aux incidents via des playbooks :
- Enrichissement automatique des IOCs (VirusTotal, Shodan, AbuseIPDB)
- Isolation automatique des endpoints compromis
- Notification des parties prenantes
- Blocage automatique d'IP dans le firewall
Principaux SOAR : Palo Alto XSOAR, Splunk SOAR (Phantom), IBM Resilient.
5.3 EDR (Endpoint Detection and Response)
L'EDR surveille les endpoints (postes, serveurs) en temps réel et peut isoler automatiquement une machine compromise :
- CrowdStrike Falcon — leader cloud EDR
- Microsoft Defender for Endpoint — intégré Windows
- SentinelOne — IA-driven, autonome
- Carbon Black (VMware) — behavioral EDR
5.4 IDS/IPS
IDS (Intrusion Detection System) : détecte les attaques réseau et génère des alertes.
IPS (Intrusion Prevention System) : détecte ET bloque automatiquement.
- Snort : IDS/IPS open source le plus utilisé
- Suricata : alternative moderne à Snort, multi-threading
- Zeek (Bro) : analyse comportementale réseau (génère des logs contextuels)
6. Cycle de vie d'un incident de sécurité
- Détection : SIEM génère une alerte (règle de corrélation, anomalie comportementale)
- Triage (L1) : vrai positif ? Faux positif ? Sévérité ? Priorité ?
- Escalade : si sévérité élevée, transfert à L2 avec contexte documenté
- Investigation (L2) : analyse forensique, timeline, scope de la compromission
- Containment : isoler les systèmes affectés pour stopper la propagation
- Eradication : supprimer le malware, corriger la vulnérabilité exploitée
- Recovery : restaurer les systèmes, vérifier l'intégrité
- Post-mortem : rapport d'incident, leçons apprises, amélioration des contrôles
7. Cas pratique — Triage d'une alerte SIEM
L'alerte suivante arrive dans le SIEM à 03h47 : « Multiple failed logins (47 attempts) on host DC01 from 192.168.5.100 - User: Administrator »
- Vrai positif ou faux positif ? → 47 tentatives en 5 min = brute force probable (vrai positif)
- Sévérité : HIGH (cible = Contrôleur de domaine, compte Administrator)
- Actions L1 : ouvrir un ticket, enrichir l'IP 192.168.5.100 (WHOIS, AbuseIPDB), escalader à L2
- Actions L2 : vérifier si 192.168.5.100 est une machine interne compromise ou externe, corréler avec d'autres logs, vérifier si une connexion réussie a suivi
Vigilance — Faux positifs : Un analyste SOC L1 novice peut rejeter trop rapidement des alertes comme faux positifs. Selon SANS Institute, 52% des incidents significatifs ont d'abord été classés comme faux positifs. La règle d'or : documenter SYSTÉMATIQUEMENT le raisonnement derrière chaque décision de triage, même pour les rejets.
8. Métriques SOC essentielles
| Métrique | Signification | Objectif cible |
|---|
| MTTD | Mean Time To Detect — délai moyen de détection | < 1 heure (idéal < 15 min) |
| MTTR | Mean Time To Respond — délai moyen de réponse | < 4 heures |
| MTTC | Mean Time To Contain — délai de containment | < 24 heures |
| False Positive Rate | % d'alertes faux positifs | < 5% (50% = SIEM mal tuné) |
| Alert Volume | Nombre d'alertes par jour par analyste | Gérable < 100/jour/L1 |
9. Synthèse et points-clés
- SOC = L1 (triage) → L2 (investigation) → L3 (expertise/hunting)
- Blue Team défend, Red Team attaque, Purple Team collabore
- SIEM : collecte/corrélation logs (Splunk, QRadar, Sentinel)
- SOAR : automatisation de la réponse aux incidents
- EDR : surveillance et isolation des endpoints (CrowdStrike, Defender)
- Cycle incident : Détection → Triage → Investigation → Containment → Recovery
- MTTD et MTTR : métriques clés de performance SOC
10. Pour aller plus loin
