Qu'est-ce qu'un analyste SOC ?

Les dépenses mondiales en matière de sécurité et de gestion des risques devraient augmenter de 11,3 % en 2023, atteignant plus de 188,3 milliards de dollars, selon les recherches de Gartner.

Avec l'accent croissant mis par les organisations sur la cybersécurité, un centre des opérations de sécurité ou SOC devient de plus en plus important. Votre SOC sert d'unité centrale chargée de gérer les menaces informatiques pour votre organisation.

Les SOC comprennent au moins quelques analystes SOC dont l'expertise est au cœur d'une sécurité robuste. Les analystes SOC comblent les lacunes des solutions logicielles de détection des menaces les plus avancées pour arrêter les cyberattaques et les menaces.

Dans cet article, nous plongerons dans le rôle des analystes SOC ainsi que dans les trois types différents, certaines tâches typiques des analystes et les compétences dont ces professionnels ont besoin pour réussir.

Qu'est-ce qu'un analyste SOC ?

Un analyste SOC est un spécialiste en cybersécurité qui surveille l'infrastructure informatique d'une organisation pour détecter les menaces. Il est souvent le premier intervenant dans la lutte contre ces menaces. Il recherche également les vulnérabilités et apporte des améliorations ou recommande des changements pour renforcer la sécurité.

Comme mentionné, les analystes SOC font souvent partie d'une équipe de sécurité plus large. Certaines organisations embauchent des analystes SOC en interne. Cependant, les entreprises qui n'ont pas le temps, les ressources ou le désir de constituer une équipe SOC interne peuvent externaliser auprès d'une société SOC dédiée.

L'apport de l'analyste SOC est crucial pour une organisation. Leurs recommandations peuvent améliorer la cybersécurité et prévenir les pertes dues aux piratages et autres événements de sécurité.

Notez que dans ce cas, SOC signifie centre des opérations de sécurité. Ceci est différent des contrôles de systèmes et d'organisations, un ensemble de normes et de lignes directrices créées par l'American Institute of Certified Public Accountants pour évaluer divers contrôles internes.

Certification d'analyste SOC

En plus de posséder un diplôme de baccalauréat en ingénierie informatique, en sciences informatiques ou dans un domaine connexe, les analystes SOC suivent souvent une formation supplémentaire et obtiennent une licence de Certified SOC Analyst (CSA) pour renforcer leurs compétences.

Autres certifications pertinentes :

• Certified Ethical Hacker (CEH)
• Computer Hacking Forensics Investigator (CHFI)
• EC-Council Certified Security Analyst (ECSA)
• Licensed Penetration Tester (LPT)
• CompTIA Security+
• CompTIA Cybersecurity Analyst (CySA+):

Niveaux des analystes SOC

Il existe trois niveaux d'analystes SOC, chacun étant responsable de tâches plus avancées et critiques.

Analystes SOC de Niveau 1 : Tri

Les analystes SOC de niveau 1 sont les moins expérimentés des trois niveaux. La plupart de leurs tâches consistent à surveiller la sécurité à la recherche d'activités suspectes et de menaces potentielles. Ils ne sont pas souvent impliqués dans la lutte contre les menaces.

Au lieu de cela, si un analyste de niveau 1 estime qu'une situation nécessite une attention particulière, il créera un ticket et le transmettra à un analyste de niveau 2 pour examen.

Analystes SOC de Niveau 2 : Réponse aux incidents et Enquête

Les analystes SOC de niveau 2 sont plus expérimentés que ceux de niveau 1. Ils peuvent faire tout ce qu'un analyste de niveau 1 peut faire si nécessaire, mais leur travail principal consiste à approfondir les problèmes référés par les analystes de niveau 1.

Lorsqu'un professionnel de niveau 2 enquête sur un problème, il recueille plus de données de diverses sources pour une investigation plus approfondie. Il essaiera également de trouver d'où vient la menace et comment elle est entrée afin de préparer une réponse adéquate.

Analystes SOC de Niveau 3 : Chasse proactive aux menaces

Les analystes SOC de niveau 3 sont au sommet de la hiérarchie des analystes. Ces professionnels très expérimentés utilisent leurs compétences avancées pour soutenir les réponses des analystes de niveau 2 aux problèmes de sécurité complexes.

De plus, un analyste de niveau 3 est un chasseur de menaces. Il recherche régulièrement des menaces qui ont pu passer à travers les défenses d'une entreprise, ainsi que toute vulnérabilité exploitée par ces menaces pour entrer.

Beaucoup d'entreprises passent la plupart de leur temps sur les activités des niveaux 1 et 2 — trouver des activités suspectes et vaincre les menaces — donc elles n'emploient pas autant d'analystes de niveau 3. Elles auront probablement quelques-uns de ces analystes dédiés au renforcement de la sécurité.

Certaines personnes considèrent les gestionnaires SOC comme étant de niveau 4, mais il s'agit d'un poste de gestion plutôt que d'un analyste. Les gestionnaires SOC ne font pas la plupart du temps un travail "sur le terrain".

Salaire d'un analyste SOC

Selon Glassdoor, le salaire moyen d'un analyste SOC aux États-Unis est de 84 439 $ par an.

La rémunération d'un analyste SOC dépend de plusieurs facteurs comme les années d'expérience, les certifications, la localisation et d'autres facteurs. La fourchette de salaire est donc large, allant de 79 000 $ à 125 000 $.

Les gains dépendent également du niveau. Le niveau 3 gagne le plus, suivi du niveau 2 et du niveau 1. Vous comprendrez pourquoi lorsque nous aborderons ensuite les devoirs et responsabilités des analystes SOC.

Que fait un analyste SOC ?

Les analystes SOC ont plusieurs responsabilités liées au renforcement et au maintien des défenses cybernétiques et à la réponse aux menaces.

Les tâches exactes varient selon les entreprises et les niveaux d'analystes, bien sûr, mais voici quelques responsabilités générales des analystes SOC.

1. Surveiller l'accès à la sécurité

Avant tout, les analystes SOC surveillent l'accès à la sécurité pour toute activité suspecte.

Il s'agit généralement d'une tâche de niveau 1. Si un analyste de niveau 1 trouve quelque chose de suspect, il peut mener une investigation légère, mais il envoie généralement la menace potentielle à un analyste de niveau 2.

Cependant, certains analystes de niveau 3 peuvent surveiller l'accès à la sécurité à un niveau beaucoup plus profond que les analystes de niveau 1 ne sont pas encore suffisamment qualifiés pour gérer.

2. Répondre aux menaces

Lorsque une cybermenace se présente, les analystes SOC sont les premiers à intervenir et à répondre.

L'analyste de niveau 1 repère généralement ces menaces en premier en surveillant les activités suspectes. Il les envoie au niveau 2, qui examinera les informations.

Le niveau 2 tentera ensuite de déterminer l'ampleur de l'attaque et les systèmes à risque. Ils recueilleront des données provenant d'autres sources et parties prenantes pour avoir une meilleure image du problème.

L'analyste développe ensuite une solution pour atténuer la menace et s'en remettre.

Le niveau 3 peut également être impliqué ici, pour aider à trouver des moyens de corriger la faille de sécurité utilisée par la menace pour s'infiltrer.

3. Réaliser des évaluations de sécurité

Les analystes de niveau 1 scannent parfois à la recherche de vulnérabilités, mais les analystes de niveau 3 sont le plus souvent responsables de mener des évaluations et des tests de sécurité approfondis.

En particulier, ils recherchent régulièrement des vulnérabilités dans les systèmes pour les corriger et renforcer la cybersécurité. Une seule violation de sécurité peut coûter des sommes énormes à une entreprise par des coûts juridiques, des amendes, la réparation de la brèche et la perte de clients — rendant ce travail vital.

Un type crucial d'évaluation de sécurité est le test d'intrusion. Cela implique de mener une cyberattaque simulée contre votre infrastructure informatique pour tester la solidité de vos défenses.

Le test d'intrusion aide également à trouver des faiblesses cachées et à identifier ce que l'entreprise doit corriger pour renforcer la sécurité.

4. Créer et mettre à jour les plans de continuité des activités et de reprise après sinistre

Un plan de reprise après sinistre décrit comment une entreprise répondra à des événements dommageables imprévus, tels que des catastrophes naturelles ou des cyberattaques.

Un plan de continuité des activités indique à une organisation comment elle continuera à fonctionner pendant l'un de ces événements.

Compte tenu du risque de violations et d'autres menaces cybernétiques, les analystes SOC jouent un rôle dans le développement et l'affinement de ces deux plans. Ils apportent leur expertise pour développer un plan visant à maintenir les opérations informatiques en cours pendant une catastrophe et à remettre les choses en ligne une fois que l'organisation a résolu le problème.

5. Se tenir au courant des tendances cybernétiques

Les cybermenaces évoluent constamment et la cybersécurité doit suivre leur rythme.

Ces circonstances rendent les analystes SOC responsables de se tenir au courant des tendances cybernétiques et des développements dans les technologies de l'information et la sécurité. Ils doivent étudier régulièrement les nouveaux types de menaces cybernétiques et se tenir au courant des technologies et des stratégies de cybersécurité que les experts développent pour les contrer.

Cette partie du travail nécessitera une formation continue ou du temps de développement professionnel en dehors du travail. L'exigence de recertification triennale du CSA montre à quel point la formation continue est cruciale pour le succès des analystes SOC.

6. Conseiller et mettre en œuvre de nouvelles politiques de sécurité

Les analystes SOC sont des experts pour trouver des faiblesses et renforcer la cybersécurité, en particulier au niveau 3.

Qu'un analyste SOC découvre de nouvelles vulnérabilités en combattant des menaces, en menant des évaluations de sécurité, ou en apprenant les nouvelles tendances en cybersécurité, il doit transmettre ces informations aux bonnes personnes dans son organisation.

Si une entreprise souhaite aller de l'avant avec des changements dans sa politique de cybersécurité, c'est généralement aux analystes de niveau 3 qu'il revient de mettre en œuvre ces changements.

Compétences des analystes SOC

Les tendances cybernétiques évoluent peut-être, mais les compétences nécessaires à un analyste SOC restent en grande partie les mêmes. Si vous souhaitez maximiser la valeur que les analystes SOC apportent à votre organisation, assurez-vous qu'ils possèdent ces compétences.

Compétences en programmation

Les analystes de niveau 1 passent beaucoup de temps à fouiller dans les journaux système pour trouver des indices d'activités suspectes. Cela prend beaucoup de temps et est assez fastidieux.

Un tel travail manuel peut amener les analystes humains à négliger par accident des menaces potentielles alors qu'ils essaient de tout traiter.

Naturellement, vous pouvez automatiser une partie de ce travail.

Les analystes de niveau 1 doivent avoir des compétences de base en programmation — suffisamment pour écrire des scripts qui automatisent une grande partie de la recherche et alertent l'analyste des problèmes potentiels.

Cela dit, les analystes de niveau 2 et 3 peuvent également bénéficier de l'affinement de leurs compétences en programmation. Les compétences en programmation peuvent être utiles lors de l'utilisation d'outils de visualisation de données.

Informatique légale

L'informatique légale implique d'enquêter, de collecter et d'analyser des données et des informations pertinentes pour la cybercriminalité.

Tous les analystes SOC doivent comprendre l'informatique légale, mais cela est particulièrement vital pour le niveau 2 puisque leur travail consiste à collecter des informations sur les menaces cybernétiques.

Les analystes de niveau 3 peuvent également bénéficier des connaissances en informatique légale. Cela peut être utile lorsqu'il s'agit de rechercher des domaines où des cybercriminels potentiels peuvent pénétrer dans les systèmes d'une organisation.

Hacking éthique

Une partie du travail de l'analyste de niveau 3 consiste à évaluer la cybersécurité d'une organisation pour détecter les vulnérabilités et les domaines d'amélioration. Comme mentionné, ils le font souvent par le biais de tests de pénétration, ce qui nécessite un haut degré de compétences en hacking éthique.

Les analystes de niveau 3 doivent avoir une connaissance approfondie des vulnérabilités des réseaux, des systèmes et des applications afin de pouvoir tester les défenses et trouver des vulnérabilités potentielles.

Les analystes de niveau 1 et 2 n'ont généralement pas besoin de ces compétences en hacking éthique. Cependant, comprendre les bases peut aider les analystes de niveau 1 à mieux comprendre les menaces et vulnérabilités potentielles. Cela leur permet de surveiller les menaces et de travailler avec les autres niveaux si nécessaire.

Compréhension des outils de sécurité

Les analystes SOC — étant des experts en sécurité — doivent être compétents dans plusieurs outils de sécurité courants.

Par exemple, il est indispensable de comprendre la gestion des informations et des événements de sécurité (SIEM) et les logiciels de détection d'intrusions.

Les analystes doivent également être compétents dans les tâches d'administration système au sein des systèmes d'exploitation Macbook, Windows et Linux/Unix.

Les analystes de niveau 3, en particulier, doivent également être familiers avec les outils de test de pénétration populaires dans le cadre de leurs fonctions de hacking éthique.

Rétro-ingénierie

La rétro-ingénierie implique d'analyser les fonctions et le flux d'informations des programmes logiciels afin de comprendre leur fonctionnalité et leurs performances. Cette technique peut également être appliquée aux logiciels malveillants.

Les analystes SOC de niveau 3 doivent non seulement connaître les logiciels malveillants avancés et être capables de les neutraliser, mais ils doivent également être capables de les rétro-ingénierie afin de renforcer les systèmes de l'organisation contre les menaces futures.

Gestion des risques

La gestion des risques est la capacité à identifier, analyser et atténuer les risques. Les analystes SOC de niveau 1 doivent être capables d'analyser et de détailler les vulnérabilités existantes et de considérer les risques possibles qui pourraient survenir à l'avenir. Les analystes SOC de niveau 2 et 3 doivent être capables de développer des stratégies pour traiter et atténuer ces risques et de créer un processus de récupération pour les incidents de sécurité.

Comment Secureframe peut aider à optimiser votre centre d'opérations de sécurité

Les analystes SOC sont souvent en première ligne de la cyberdéfense d'une organisation. Cela est vrai qu'ils soient analystes de niveau 1 à la recherche de problèmes ou de niveau 3 à la recherche de moyens de renforcer la sécurité.

Pour aider à garantir que vos analystes SOC et l'ensemble de votre centre des opérations de sécurité fonctionnent de manière optimale, envisagez de réaliser un audit SOC complet — quelque chose dans lequel nous nous spécialisons ici chez Secureframe. Planifiez votre démo aujourd'hui pour découvrir comment Secureframe peut vous aider à vous préparer pour un audit et à améliorer votre position de sécurité.