Qu'est-ce que le triage d'alertes concrètement ?

Le triage d'alertes désigne le processus de qualification d'une alerte de sécurité brute (SIEM, EDR, NDR, CASB, threat intel) pour déterminer si elle constitue une menace réelle, un faux positif, ou un besoin d'investigation approfondie. C'est l'activité principale d'un analyste SOC L1 (tier 1) qui traite 50-150 alertes par jour. L'objectif est triple : 1) réduire l'alert fatigue en éliminant rapidement les faux positifs évidents, 2) escalader les alertes critiques vers L2 pour investigation profonde, 3) documenter chaque décision pour audit et apprentissage. Un bon triage prend 5-15 minutes par alerte en régime stable, inclut enrichissement multi-sources et scoring structuré. Une alerte mal triée (faux négatif) peut laisser passer une compromission qui prend ensuite 10 jours ou plus à détecter.

Quelle est la méthodologie standard de triage en 2026 ?

Framework en 6 étapes utilisé par la plupart des SOC matures. 1) Classification initiale : severity brute SIEM, catégorie (auth, malware, data exfil, DoS), criticité asset ciblé. 2) Enrichissement : VirusTotal, MISP, AbuseIPDB, WHOIS, GeoIP, Active Directory lookup, SIEM historique lookback 30 jours. 3) Scoring : pondération des facteurs selon matrice interne ou ML. 4) Décision : false positive, escalade L2, auto-remédier via SOAR, investigation L1. 5) Documentation : ticket, timeline, artifacts, justification. 6) Feedback loop : retour vers détection engineering pour tuner la règle si faux positif récurrent. Les étapes 2 et 3 consomment 60-80 pourcent du temps analyste, d'où l'intérêt de l'automation SOAR pour les enrichments répétitifs.

Comment scorer une alerte de façon structurée ?

Cinq facteurs dominants avec pondération variable selon contexte organisation. 1) Threat intel correlation : IOC matché MISP ou vendor intel vaut 30-40 points. 2) Asset criticality : serveur production tier 0 vaut 25-30 points, endpoint standard 5-10 points. 3) User profile : admin Domain Admins vaut 25-30 points, user standard 5-10 points. 4) Baseline deviation : comportement inhabituel vs historique vaut 15-25 points (impossible travel, off-hours, volume inhabituel). 5) Recency : IOC récent ou CVE exploitée dans les 30 derniers jours vaut 10-20 points. Seuils typiques : supérieur ou égal à 70 = auto-isoler ou escalader immédiatement L2, entre 40 et 69 = investigation L1 approfondie, moins de 40 = probable faux positif, close avec justification. Ces seuils sont à calibrer pendant 2-3 mois selon les faux positifs remontés en feedback.

Quels outils d'enrichment gratuits un SOC peut-il utiliser ?

Sept outils gratuits de référence 2026 pour l'enrichment. 1) VirusTotal (Google) : réputation URL/IP/fichier/domaine, gratuit public API 4 requêtes par minute. 2) MISP (Malware Information Sharing Platform) : threat intel open source auto-hébergeable, feeds CIRCL, CERT-EU, ANSSI disponibles. 3) AbuseIPDB : base communautaire d'IP malveillantes. 4) URLScan.io : analyse dynamique d'URL avec screenshot et DOM. 5) Shodan : exposition externe d'IP et services. 6) Censys : similar à Shodan, complémentaire. 7) DomainTools WHOIS : historique WHOIS des domaines. Ces 7 outils couvrent 70-80 pourcent du besoin enrichment pour un SOC débutant. Les outils premium (Recorded Future, Mandiant Advantage, Anomali, Feedly for Threat Intelligence) ajoutent contexte APT, attribution, et feeds vendor au prix de 30-200 k€ par an.

Qu'est-ce que la règle 1-10-60 de CrowdStrike ?

La règle 1-10-60 est un KPI opérationnel popularisé par CrowdStrike en 2018-2019 et repris dans beaucoup de SOC matures en 2024-2026. 1 minute pour détecter (MTTD Mean Time To Detect), 10 minutes pour enquêter (MTTI Mean Time To Investigate), 60 minutes pour contenir (MTTC Mean Time To Contain). Cible haute barre réservée aux SOC top-tier face à adversaires sophistiqués (APT, ransomware organisés). La plupart des SOC ETI 2026 ont des objectifs plus modestes : 15 minutes MTTD, 30-60 minutes MTTI, 2-4 heures MTTC pour incidents critiques. Les adversaires les plus rapides (Mandiant M-Trends 2024) ont un breakout time médian de 62 minutes entre initial compromise et lateral movement. Rester sous les 60 minutes MTTC divise par 2-3 la probabilité d'un incident à impact business majeur.

Quelles sont les erreurs de triage les plus fréquentes chez un débutant ?

Cinq erreurs récurrentes observées en évaluations SOC France 2024-2026. 1) Closer une alerte comme faux positif sans enrichment minimum : environ 10 à 20 pourcent des faux positifs déclarés par des L1 débutants sont en réalité des vrais positifs sous-investigués. 2) Passer plus de 30 minutes sur une alerte simple sans escalader : signe de sur-analyse, mieux vaut escalader L2 que bloquer la queue. 3) Ignorer le contexte asset et user : traiter toutes les alertes avec le même niveau de rigueur alors que serveur tier 0 et user admin méritent toujours un scoring élevé. 4) Ne pas documenter les décisions : une alerte closed sans justification écrite empêche le feedback loop et l'apprentissage équipe. 5) Ne pas utiliser le framework MITRE ATT&CK : mapping des TTPs systématique aide à comprendre le contexte d'attaque global, pas juste l'alerte individuelle. Un L1 formé au framework MITRE ATT&CK est environ 40 pourcent plus productif qu'un L1 sans formation selon SANS SOC Survey 2024.

DevSecOps

Triage d'alertes SOC : comment faire en 2026

Triage d'alertes SOC 2026 : méthodologie, scoring, enrichissement VirusTotal MISP, MITRE ATT&CK, automation SOAR et erreurs fréquentes analyste débutant.

Naim Aouaichia

24 avril 202617 min de lecture

SOC
Triage
Blue Team
SIEM
MITRE ATT&CK
VirusTotal
MISP
Incident Response
Detection engineering
Analyste SOC

Le triage d'alertes est l'activité principale d'un analyste SOC L1 : qualifier chaque alerte de sécurité (SIEM, EDR, NDR, CASB, threat intel) en faux positif, incident à escalader ou auto-remédier, en 5 à 15 minutes par alerte selon complexité. Un analyste traite en moyenne 50 à 150 alertes par jour (SANS SOC Survey 2024), sur un flux de 5 000 à 20 000 alertes quotidiennes cumulées dans un SOC grand compte. La méthodologie standard 2026 repose sur un framework en 6 étapes : classification initiale (severity, catégorie, asset criticality), enrichissement multi-sources (VirusTotal, MISP, AbuseIPDB, WHOIS, GeoIP, Active Directory, SIEM lookback), scoring structuré (threat intel correlation, asset criticality, user profile, baseline deviation, recency), décision (FP close, escalade L2, auto-remédier SOAR, investigation L1), documentation complète (ticket, timeline, artifacts, justification), feedback loop vers détection engineering. Le framework MITRE ATT&CK Enterprise v15 structure le mapping des TTPs observées. La règle 1-10-60 CrowdStrike (1 min MTTD, 10 min MTTI, 60 min MTTC) fixe la haute barre pour SOC top-tier ; les SOC ETI 2026 visent typiquement 15 min MTTD, 30-60 min MTTI, 2-4 h MTTC sur incidents critiques. L'automation SOAR (voir Qu'est-ce qu'un SOAR) libère les analystes de 30-50 % du temps de triage répétitif pour qu'ils se concentrent sur le threat hunting et l'investigation profonde. Cet article détaille le framework 6 étapes, les facteurs de scoring, les outils d'enrichment gratuits et premium, 5 playbooks de triage concrets (malware EDR, phishing, login anomalie, vulnerability scan, DNS tunneling), les KPIs à suivre et les 5 erreurs classiques du débutant. Sources : SANS SOC Survey 2024, Mandiant M-Trends 2024, CrowdStrike Global Threat Report 2024, MITRE ATT&CK v15.

1. Contexte : le flux d'alertes dans un SOC 2026

Avant la méthodologie, dimensionner le problème.

1.1 Volumes d'alertes typiques

Taille SOC	Alertes quotidiennes brutes	Analystes L1 typiques	Alertes/analyste/jour
PME (moins de 500 salariés)	200-1 000	1-2 (souvent externalisé MSSP)	100-500
ETI (500-5 000 salariés)	1 000-5 000	2-5	150-300
Grand compte (5 000+)	5 000-20 000	5-15 en shift 24/7	100-250
Banque systémique / OIV	15 000-50 000+	10-30 en shift 24/7	150-300

Ratio faux positifs médian 2024-2026 : 40-60 % des alertes brutes selon Ponemon Institute et SANS. Après tuning mature, descendu à 20-35 %.

1.2 Positionnement L1 / L2 / L3

L1 (Tier 1) : triage initial, enrichment, FP close, escalade. Traitement court (5-15 min). Rotation shift 24/7.
L2 (Tier 2) : investigation approfondie, forensic léger, tuning règles, chasse ciblée. Traitement long (30 min - 4 h).
L3 (Tier 3) : threat hunting proactif, développement détections, reverse malware, adversary emulation. Stratégique.

Un triage mal fait en L1 pollue toute la chaîne : surcharge L2, miss de vrais positifs, fausse assurance sur la posture.

2. Framework de triage en 6 étapes

Structure standard utilisée dans les SOC matures 2026.

2.1 Étape 1 — Classification initiale (30 secondes)

Dès l'ouverture de l'alerte, 4 questions :

Severity SIEM : Critical, High, Medium, Low (brut avant enrichment).
Catégorie : authentication, malware, data exfiltration, DoS, lateral movement, policy violation.
Asset concerné : serveur tier 0 production, endpoint dev, laptop standard.
User concerné : admin Domain Admins, user privileged, user standard, service account.

Cette classification détermine l'effort d'investigation initial à allouer. Une alerte sur serveur tier 0 avec user admin justifie 15-30 min même si severity brute est Medium ; une alerte sur laptop standard avec user standard peut être closed en 5 min si enrichment confirme FP.

2.2 Étape 2 — Enrichissement multi-sources (3-8 minutes)

Phase la plus chronophage en manuel, la plus automatisable en SOAR.

Enrichments standards

Source	Donnée	Gratuit	Usage typique
VirusTotal	Réputation URL/IP/hash/domain	Oui (4 req/min)	Check rapide artefacts
MISP	IOC communauté, TTPs	Oui (self-host)	Correlation threat intel
AbuseIPDB	Score abus IP	Oui (API limitée)	Classification IP externes
URLScan.io	Analyse dynamique URL	Oui	Phishing, suspicious URLs
Shodan / Censys	Services exposés IP	Limité gratuit	Attribution infra attaquant
DomainTools WHOIS	Historique WHOIS	Limité	Âge domaine, owner
Active Directory	Contexte user, devices	Interne	Profil, privilèges, groupes
SIEM lookback 30j	Historique events même entité	Interne	Baseline, récurrence
Recorded Future / Mandiant	Threat intel vendor premium	Non	APT attribution, TTPs

Pratique : parallèliser les enrichments via SOAR (voir Qu'est-ce qu'un SOAR section 4). Gain de temps 15-45 min manuel → 30-120 sec automatisé.

2.3 Étape 3 — Scoring structuré (1-2 minutes)

Calcul d'un score pondéré sur 5 facteurs clés.

def compute_alert_score(alert, enrichments):
    """
    Calcul de score d'alerte SOC pondéré.
    Seuils indicatifs : supérieur à 70 auto-escalate, 40-69 investigate, moins de 40 likely FP.
    À calibrer selon contexte organisation.
    """
    score = 0
 
    # 1. Threat intel correlation (30-40 points)
    if enrichments.get("virustotal_malicious_count", 0) >= 5:
        score += 35
    if enrichments.get("misp_matches"):
        score += 30
    if enrichments.get("vendor_intel_attribution"):  # Recorded Future, Mandiant
        score += 30
 
    # 2. Asset criticality (25-30 points)
    asset_tier = enrichments.get("asset_tier")
    if asset_tier == "tier0":
        score += 30
    elif asset_tier == "tier1":
        score += 20
    elif asset_tier == "tier2":
        score += 10
 
    # 3. User profile (25-30 points)
    if enrichments.get("user_is_domain_admin"):
        score += 30
    elif enrichments.get("user_is_privileged"):
        score += 20
    elif enrichments.get("user_is_service_account"):
        score += 15
 
    # 4. Baseline deviation (15-25 points)
    if enrichments.get("impossible_travel"):
        score += 25
    if enrichments.get("off_hours_activity"):
        score += 15
    if enrichments.get("volume_anomaly"):
        score += 15
 
    # 5. Recency (10-20 points)
    if enrichments.get("ioc_first_seen_within_30d"):
        score += 15
    if enrichments.get("cve_exploited_in_wild_recent"):
        score += 20
 
    return min(score, 100)

Seuils recommandés (à calibrer 2-3 mois)

supérieur à 70 : auto-isoler ou escalader L2 immédiatement.
40 à 69 : investigation L1 approfondie, escalade L2 si indice supplémentaire.
moins de 40 : probable faux positif, close avec justification écrite.

2.4 Étape 4 — Décision (1 minute)

Quatre voies possibles selon score et criticité.

False positive close : alerte évidente (scanner connu whitelisté, maintenance planifiée, IOC expiré).
Escalade L2 : vraie menace probable nécessitant investigation profonde.
Auto-remédier SOAR : action de containment prédéfinie (isolation host via EDR, block IP firewall, quarantaine email).
Investigation L1 prolongée : creuser un peu plus avant décision finale.

2.5 Étape 5 — Documentation (2-3 minutes)

Tout triage doit laisser une trace auditable.

Ticket ouvert (Jira, ServiceNow, TheHive) avec ID unique.
Timeline des enrichments effectués et résultats.
Decision prise avec justification écrite en 2-5 phrases.
Artifacts attachés (captures SIEM, hash, logs).
MITRE ATT&CK mapping : tactique et technique identifiées.
Severity finale vs severity brute.

Sans documentation, le feedback loop vers détection engineering est impossible, et l'apprentissage équipe zéro.

2.6 Étape 6 — Feedback loop

Le triage alimente la boucle d'amélioration continue.

Faux positifs récurrents → ticket détection engineering pour tuner la règle.
Faux négatifs découverts → analyse cause racine, nouvelle règle si applicable.
Temps de triage > cible → identifier goulot (enrichment lent, manque contexte, manque automation).
Rétrospectives hebdomadaires en équipe : 3-5 alertes marquantes, leçons partagées.

Sans feedback loop, le SOC stagne : les mêmes faux positifs reviennent, les détections ne s'améliorent pas, l'équipe s'épuise.

3. MITRE ATT&CK en triage : framework obligatoire 2026

MITRE ATT&CK Enterprise v15 (publiée octobre 2024) est le référentiel standard pour mapper les TTPs observées en triage.

3.1 Structure du framework

14 tactiques (Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, C2, Exfiltration, Impact).
200+ techniques, 450+ sous-techniques.
Matrices spécifiques : Enterprise, Mobile, ICS, Cloud, Containers.

3.2 Usage en triage

Pour chaque alerte, identifier :

Tactique (pourquoi l'attaquant fait ça).
Technique (comment techniquement).
Sous-technique (variante précise si applicable).

Exemple : alerte "PowerShell obfusqué avec encoded command".

Tactique : TA0002 Execution.
Technique : T1059 Command and Scripting Interpreter.
Sous-technique : T1059.001 PowerShell.
Techniques adjacentes à vérifier : T1027 Obfuscated Files or Information, T1140 Deobfuscate/Decode Files or Information.

3.3 Outils intégrant ATT&CK Navigator

MITRE ATT&CK Navigator (gratuit, web) : visualisation et annotation.
Sigma rules : détections portables avec mapping ATT&CK natif.
Chronicle / Microsoft Sentinel / Splunk ES : colonnes ATT&CK dans les alertes modernes.
Atomic Red Team : tests d'attaque mappés ATT&CK pour valider les détections.

4. KPIs opérationnels : la règle 1-10-60 et alternatives

4.1 Règle 1-10-60 CrowdStrike (haute barre)

Popularisée par CrowdStrike 2018-2019, toujours d'actualité 2026 pour SOC top-tier.

1 minute MTTD (Mean Time To Detect) : détection de l'anomalie.
10 minutes MTTI (Mean Time To Investigate) : qualification comme vraie menace.
60 minutes MTTC (Mean Time To Contain) : isolation effective.

4.2 Cibles pragmatiques ETI 2026

Pour un SOC ETI avec ressources limitées et pas SOC 24/7 dédié :

KPI	Cible réaliste ETI
MTTD incidents critiques	15 minutes
MTTI qualification	30-60 minutes
MTTC containment	2-4 heures
Triage time par alerte	5-15 minutes
Auto-close rate FP	30-50 % avec SOAR
Alert-to-incident ratio	15-25 %

4.3 Pourquoi le 1-10-60 compte

Breakout time adversaires 2024 (Mandiant M-Trends 2024) :

APT sophistiqués : median 62 minutes entre initial compromise et lateral movement.
Ransomware groupes organisés : médian 84 minutes.
Opportunistes : plusieurs heures à plusieurs jours.

Rester sous les 60 minutes MTTC divise par 2-3 la probabilité d'un incident à impact business majeur selon CrowdStrike Global Threat Report 2024.

5. Cinq playbooks de triage concrets

Scénarios récurrents avec checklist pratique.

5.1 Playbook — Alerte EDR malware détecté

Alerte type : CrowdStrike Falcon détecte un process cmd.exe lançant PowerShell encoded sur endpoint.

Triage étape par étape

Classification : severity EDR High, catégorie malware, endpoint standard.
Enrichment :
- VT hash du process : malicious ? (Tier1 malware connu ou nouveau ?).
- AD : user = qui, role, recent logins.
- SIEM lookback 7 jours : events similaires sur cet endpoint ?
- MITRE : T1059.001 PowerShell, T1027 Obfuscation.
Scoring :
- Si VT malicious 15+ et user non-privileged → score 85, auto-isoler.
- Si VT clean ou low et activity pattern normal (dev qui script) → score 30, close FP après validation.
Décision : auto-isoler via EDR API et ticket L2 pour forensic, ou close FP avec justification.

5.2 Playbook — Phishing email reporté user

Alerte type : user reporte email suspect via bouton Outlook / Gmail.

Triage étape par étape

Classification : catégorie phishing, severity Medium jusqu'à enrichment.
Enrichment :
- VT sender domain : malicious ?
- URLScan.io des URLs : redirects, credential harvester, malware dropper ?
- VT hash attachments.
- SIEM : d'autres users ont-ils reçu l'email ?
Scoring :
- Si URL malicious et >10 users reçus → score 90, auto-quarantaine bulk.
- Si sender propre et user sur-réactif → score 20, éducation + close.
Décision : quarantaine email security bulk + notification équipe ou close FP avec feedback user.

Voir playbook SOAR détaillé dans Qu'est-ce qu'un SOAR section 5.

Alerte type : Entra ID ou Okta détecte connexion depuis Paris à 9h et connexion depuis Singapour à 9h15.

Triage étape par étape

Classification : catégorie authentication anomaly, user profile = premier facteur.
Enrichment :
- IP Singapour : VPN legit ? Tor ? Hoster suspect ?
- User profile : utilise-t-il habituellement un VPN ?
- Device fingerprint : connu ?
- AD : user privileged ? MFA utilisé ?
Scoring :
- Si admin + IP hoster suspect + no MFA → score 95, auto-logout + reset MFA.
- Si user standard + VPN corporate légitime → score 15, close FP.
Décision : force logout + reset MFA + notification user + ticket L2, ou close FP avec whitelist VPN.

5.4 Playbook — Vulnerability scanner detection

Alerte type : IDS détecte pattern scan Nessus depuis IP externe.

Triage étape par étape

Classification : catégorie reconnaissance, severity brute High.
Enrichment :
- IP source : AbuseIPDB score, Shodan, WHOIS.
- Scan patterns : aggressive (many ports rapidly), slow (stealth), focused (targeted assets).
- Target : perimeter exposé légitime ou interne ?
Scoring :
- Scan agressif depuis IP hoster non-friendly vers perimeter sensible → score 80, block firewall + escalate.
- Scan régulier connu (scanner audit partenaire) → score 10, whitelist + close.
Décision : block IP via firewall + alert perimeter team, ou close après validation whitelist.

5.5 Playbook — DNS tunneling suspect

Alerte type : volume DNS anormal depuis endpoint, queries vers domaines d'apparence aléatoire.

Triage étape par étape

Classification : catégorie C2 ou exfiltration, severity High.
Enrichment :
- Domaine patterns : regex pour DGA (Domain Generation Algorithm).
- TXT record queries : exfil over DNS probable.
- Endpoint : process origine via EDR.
- Threat intel : domaine connu comme C2 ?
Scoring :
- Pattern DGA + volumes anormaux + process suspect → score 90, isoler endpoint.
- Logiciel légitime (Antivirus update, cloud backup) → score 20, close FP.
Décision : isolation EDR + block domain firewall + ticket L2 forensic, ou close FP.

6. Les 5 erreurs classiques du débutant

Observations récurrentes en évaluations SOC France 2024-2026.

6.1 Close trop rapide comme faux positif

Anti-pattern : voir une alerte avec severity Low ou qui "ressemble" à un FP récurrent et closer en 30 secondes sans enrichment.

Conséquence : 10-20 % des FP déclarés par des L1 débutants sont en réalité des vrais positifs sous-investigués selon évaluations internes.

Remède : minimum enrichment obligatoire (au moins VT + MISP + SIEM lookback) avant tout FP close, même si severity brute est Low.

6.2 Sur-analyse d'une alerte simple

Anti-pattern : passer 30-60 minutes sur une alerte simple, cherchant à tout résoudre seul au lieu d'escalader L2.

Conséquence : la queue d'alertes s'accumule, MTTD global dégrade, frustration équipe.

Remède : règle 15-15 : maximum 15 minutes en triage L1, si besoin de plus, escalade L2 avec notes.

6.3 Ignorer le contexte asset et user

Anti-pattern : traiter toutes les alertes avec rigueur uniforme, sans ajuster selon la criticité de ce qui est touché.

Conséquence : alertes sur serveur tier 0 sous-investiguées en régime de surcharge, alertes sur laptops standards sur-traitées.

Remède : matrice severity × asset criticality × user profile affichée en permanence sur le dashboard analyst.

6.4 Documentation insuffisante

Anti-pattern : ticket créé avec juste "FP, closed" sans justification écrite, sans artifacts.

Conséquence : feedback loop impossible, apprentissage équipe zéro, audit incomplet.

Remède : template obligatoire de ticket avec 5 champs minimum : enrichments effectués, résultats, scoring, décision, justification en 2-5 phrases.

6.5 Ignorer MITRE ATT&CK

Anti-pattern : voir l'alerte isolée sans penser à la kill chain globale.

Conséquence : ratés de corrélation (plusieurs alertes mineures = un APT actif).

Remède : mapping ATT&CK systématique à chaque triage, même approximatif au début. La discipline s'affine en 2-4 semaines.

7. Roadmap apprentissage triage pour L1 débutant

Progression 3-6 mois pour un analyste L1 partant de zéro.

Semaine	Objectifs	Ressources
S1-S2	Fondamentaux SIEM (lecture d'alertes, navigation), outils SIEM et EDR de l'entreprise	Formation interne + docs éditeur
S3-S4	OWASP Top 10, MITRE ATT&CK v15 lecture, labs PortSwigger si web, TryHackMe SOC Level 1 path	Gratuit
S5-S8	Méthodologie triage 6 étapes en pratique accompagnée (shadow senior)	Interne
S9-S12	Premiers triages autonomes sur alertes Low / Medium, review par L2	Interne
M4-M6	Triage autonome sur tous niveaux, début contribution à tuning règles	Autonomie croissante
M6+	Bascule vers L1 senior ou passage L2 selon appétence	Certifications Security+ puis CySA+ ou BTL1

8. Outils et stack recommandés pour un L1 2026

Stack minimum fonctionnelle pour un L1 productif.

Catégorie	Outils incontournables	Gratuit	Premium
SIEM	Splunk ES, Microsoft Sentinel, Elastic, Chronicle, QRadar	Wazuh, Elastic OSS	Enterprise SIEM
EDR	CrowdStrike Falcon, SentinelOne, Defender, Elastic Security	Velociraptor	Commerciaux
Threat intel	MISP, VirusTotal, AbuseIPDB, URLScan, Shodan	Tous	Recorded Future, Mandiant
SOAR	Splunk SOAR, Cortex XSOAR, Sentinel Automation	TheHive plus Cortex, Shuffle	Commerciaux
Case management	TheHive, Jira, ServiceNow	TheHive	Jira Service Management
Documentation	Confluence, Notion, internal wiki	Obsidian self-host	Confluence
MITRE ATT&CK	Navigator web, Atomic Red Team	Les deux	—

Points clés à retenir

Triage = qualification d'alertes en FP, incident à escalader, auto-remédier. Activité principale de l'analyste SOC L1 (50-150 alertes par jour).
Framework 6 étapes : classification initiale (30 sec), enrichment multi-sources (3-8 min), scoring structuré (1-2 min), décision (1 min), documentation (2-3 min), feedback loop.
5 facteurs de scoring clés : threat intel correlation (30-40 pts), asset criticality (25-30), user profile (25-30), baseline deviation (15-25), recency (10-20). Seuils : supérieur à 70 escalate, 40-69 investigate, moins de 40 FP probable.
7 outils gratuits d'enrichment : VirusTotal, MISP, AbuseIPDB, URLScan.io, Shodan, Censys, DomainTools WHOIS. Couvrent 70-80 % du besoin.
MITRE ATT&CK Enterprise v15 obligatoire : mapping tactique + technique + sous-technique à chaque triage, augmente productivité L1 de ~40 %.
KPIs 1-10-60 (CrowdStrike top-tier) vs cibles ETI 2026 (15 min MTTD, 30-60 min MTTI, 2-4 h MTTC). Breakout time adversaires 62-84 min médian Mandiant 2024.
5 playbooks récurrents : malware EDR, phishing email, impossible travel, vulnerability scanner, DNS tunneling.
5 erreurs débutant : close trop rapide FP, sur-analyse, ignorer contexte asset/user, doc insuffisante, ignorer ATT&CK.
Automation SOAR libère 30-50 % du temps triage répétitif pour threat hunting et investigation profonde.
Roadmap L1 débutant : 3-6 mois fondamentaux + méthodologie + triage autonome. Certifications ROI : Security+ puis CySA+ ou BTL1.

Pour aller plus loin

Qu'est-ce qu'un SOAR — automation des étapes répétitives du triage.
Qu'est-ce qu'un analyste SOC — contexte métier L1/L2/L3.
Salaire analyste SOC — impact certifications et séniorité sur rémunération.
CI/CD sécurisée : définition — alertes pipeline qui remontent en triage SOC.
Roadmap DevSecOps — skill tree avec detection engineering niveau 5.
Devenir DevSecOps sans expérience — pillar DevSecOps.

Questions fréquentes

Qu'est-ce que le triage d'alertes concrètement ?
Le triage d'alertes désigne le processus de qualification d'une alerte de sécurité brute (SIEM, EDR, NDR, CASB, threat intel) pour déterminer si elle constitue une menace réelle, un faux positif, ou un besoin d'investigation approfondie. C'est l'activité principale d'un analyste SOC L1 (tier 1) qui traite 50-150 alertes par jour. L'objectif est triple : 1) réduire l'alert fatigue en éliminant rapidement les faux positifs évidents, 2) escalader les alertes critiques vers L2 pour investigation profonde, 3) documenter chaque décision pour audit et apprentissage. Un bon triage prend 5-15 minutes par alerte en régime stable, inclut enrichissement multi-sources et scoring structuré. Une alerte mal triée (faux négatif) peut laisser passer une compromission qui prend ensuite 10 jours ou plus à détecter.
Quelle est la méthodologie standard de triage en 2026 ?
Framework en 6 étapes utilisé par la plupart des SOC matures. 1) Classification initiale : severity brute SIEM, catégorie (auth, malware, data exfil, DoS), criticité asset ciblé. 2) Enrichissement : VirusTotal, MISP, AbuseIPDB, WHOIS, GeoIP, Active Directory lookup, SIEM historique lookback 30 jours. 3) Scoring : pondération des facteurs selon matrice interne ou ML. 4) Décision : false positive, escalade L2, auto-remédier via SOAR, investigation L1. 5) Documentation : ticket, timeline, artifacts, justification. 6) Feedback loop : retour vers détection engineering pour tuner la règle si faux positif récurrent. Les étapes 2 et 3 consomment 60-80 pourcent du temps analyste, d'où l'intérêt de l'automation SOAR pour les enrichments répétitifs.
Comment scorer une alerte de façon structurée ?
Cinq facteurs dominants avec pondération variable selon contexte organisation. 1) Threat intel correlation : IOC matché MISP ou vendor intel vaut 30-40 points. 2) Asset criticality : serveur production tier 0 vaut 25-30 points, endpoint standard 5-10 points. 3) User profile : admin Domain Admins vaut 25-30 points, user standard 5-10 points. 4) Baseline deviation : comportement inhabituel vs historique vaut 15-25 points (impossible travel, off-hours, volume inhabituel). 5) Recency : IOC récent ou CVE exploitée dans les 30 derniers jours vaut 10-20 points. Seuils typiques : supérieur ou égal à 70 = auto-isoler ou escalader immédiatement L2, entre 40 et 69 = investigation L1 approfondie, moins de 40 = probable faux positif, close avec justification. Ces seuils sont à calibrer pendant 2-3 mois selon les faux positifs remontés en feedback.
Quels outils d'enrichment gratuits un SOC peut-il utiliser ?
Sept outils gratuits de référence 2026 pour l'enrichment. 1) VirusTotal (Google) : réputation URL/IP/fichier/domaine, gratuit public API 4 requêtes par minute. 2) MISP (Malware Information Sharing Platform) : threat intel open source auto-hébergeable, feeds CIRCL, CERT-EU, ANSSI disponibles. 3) AbuseIPDB : base communautaire d'IP malveillantes. 4) URLScan.io : analyse dynamique d'URL avec screenshot et DOM. 5) Shodan : exposition externe d'IP et services. 6) Censys : similar à Shodan, complémentaire. 7) DomainTools WHOIS : historique WHOIS des domaines. Ces 7 outils couvrent 70-80 pourcent du besoin enrichment pour un SOC débutant. Les outils premium (Recorded Future, Mandiant Advantage, Anomali, Feedly for Threat Intelligence) ajoutent contexte APT, attribution, et feeds vendor au prix de 30-200 k€ par an.
Qu'est-ce que la règle 1-10-60 de CrowdStrike ?
La règle 1-10-60 est un KPI opérationnel popularisé par CrowdStrike en 2018-2019 et repris dans beaucoup de SOC matures en 2024-2026. 1 minute pour détecter (MTTD Mean Time To Detect), 10 minutes pour enquêter (MTTI Mean Time To Investigate), 60 minutes pour contenir (MTTC Mean Time To Contain). Cible haute barre réservée aux SOC top-tier face à adversaires sophistiqués (APT, ransomware organisés). La plupart des SOC ETI 2026 ont des objectifs plus modestes : 15 minutes MTTD, 30-60 minutes MTTI, 2-4 heures MTTC pour incidents critiques. Les adversaires les plus rapides (Mandiant M-Trends 2024) ont un breakout time médian de 62 minutes entre initial compromise et lateral movement. Rester sous les 60 minutes MTTC divise par 2-3 la probabilité d'un incident à impact business majeur.
Quelles sont les erreurs de triage les plus fréquentes chez un débutant ?
Cinq erreurs récurrentes observées en évaluations SOC France 2024-2026. 1) Closer une alerte comme faux positif sans enrichment minimum : environ 10 à 20 pourcent des faux positifs déclarés par des L1 débutants sont en réalité des vrais positifs sous-investigués. 2) Passer plus de 30 minutes sur une alerte simple sans escalader : signe de sur-analyse, mieux vaut escalader L2 que bloquer la queue. 3) Ignorer le contexte asset et user : traiter toutes les alertes avec le même niveau de rigueur alors que serveur tier 0 et user admin méritent toujours un scoring élevé. 4) Ne pas documenter les décisions : une alerte closed sans justification écrite empêche le feedback loop et l'apprentissage équipe. 5) Ne pas utiliser le framework MITRE ATT&CK : mapping des TTPs systématique aide à comprendre le contexte d'attaque global, pas juste l'alerte individuelle. Un L1 formé au framework MITRE ATT&CK est environ 40 pourcent plus productif qu'un L1 sans formation selon SANS SOC Survey 2024.

Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

Questions fréquentes

Naim Aouaichia

À lire également

Peut-on devenir DevSecOps sans expérience cyber ?

Qu'est-ce qu'un SOAR ? Guide complet 2026

CI/CD sécurisée : définition et principes 2026

Roadmap DevSecOps 2026 : skill tree complet par niveau

Qu'est-ce qu'un analyste SOC ? Rôle et missions

Salaire analyste SOC 2026 : L1, L2, L3 et facteurs clés