Une journée d'analyste SOC L1 en 2026 alterne triage d'alertes (50 à 65 % du temps), investigation moyennement complexe (15 à 25 %), documentation et tickets (10 à 15 %), réunions et formation (5 à 10 %), threat intel reading et veille (5 à 10 %). Le shift type français en SOC interne 8h-20h démarre par un handoff avec l'équipe précédente, enchaîne sur la queue d'alertes de la nuit, alterne triage rapide et investigations plus poussées, gère les escalades vers L2, intègre des tâches de veille et de documentation, et se termine par un handoff structuré vers le shift suivant. Le L1 SOC est un rôle de discipline opérationnelle plus que d'expertise technique pointue : appliquer les runbooks, documenter avec précision, escalader au bon moment, conserver son focus sur 8 heures malgré la répétitivité. Cet article décrit une journée concrète heure par heure d'un L1 en SOC interne français à Paris (ETI 800 salariés, équipe SOC de 8 personnes, shifts 8h-20h), avec les variations selon contexte (MSSP multi-tenant, SOC 24/7 en shifts 3x8, MDR externalisé), les outils utilisés à chaque étape, les pièges récurrents, et l'évolution du rôle avec l'IA et l'automation.
Le contexte du shift type
Cadre de référence pour cette journée : SOC interne d'une ETI parisienne de 800 collaborateurs (banque privée), équipe de 8 analystes (4 L1, 2 L2, 1 L3, 1 SOC Manager), couverture 8h-20h en semaine + astreinte critique nuit/weekend, stack Microsoft Sentinel SIEM + CrowdStrike Falcon EDR + Microsoft Defender XDR + MISP threat intel + Cortex XSOAR SOAR. Volume typique : 60 à 90 alertes traitées par L1 et par shift, dont 5 à 10 escalades vers L2.
| Période | Activité dominante | Alertes typiques |
|---|---|---|
| 7h45 — 8h15 | Pré-shift, café, handoff | Lecture handoff précédent |
| 8h15 — 10h00 | Triage queue de la nuit | 15 à 25 alertes |
| 10h00 — 11h30 | Investigation médium | 1 à 3 incidents |
| 11h30 — 12h00 | Escalade L2 + documentation | Préparation tickets |
| 12h00 — 13h00 | Pause déjeuner + veille | Reading threat intel |
| 13h00 — 15h30 | Deep dive ou triage continu | 10 à 15 alertes |
| 15h30 — 17h00 | Triage flux + tickets backlog | 8 à 15 alertes |
| 17h00 — 18h00 | Finalisation + handoff | Préparation handoff |
| 18h00 — 20h00 | Triage flux décroissant | 5 à 10 alertes |
7h45 — Pré-shift et préparation
Arrivée au SOC, badge d'accès au plateau sécurisé (le SOC est isolé physiquement par compliance, contrôle biométrique). Le L1 sortant du shift de nuit (22h-8h) est encore présent pour les 30 minutes de chevauchement réglementaire.
Routine pré-shift :
- Vérification logs personnels SOC (qui est de garde aujourd'hui, qui est sur quel runbook).
- Lecture rapide du « daily threat brief » envoyé par l'équipe CTI à 7h00 : nouvelles CVE critiques, campagnes actives notées dans la nuit (rapports CrowdStrike Intel, Microsoft Threat Intelligence, Mandiant, Sekoia).
- Connexion aux outils principaux : Sentinel dashboard, Falcon console, MISP, XSOAR, Slack #soc.
- Vérification statut services internes critiques (SIEM healthy, EDR coverage à 99 %+, ingestion logs nominale).
8h00 — Handoff avec l'équipe de nuit
Le handoff est un moment critique non négociable. Le L1 de nuit transmet :
- Incidents en cours : tickets ouverts, statut, prochaines actions.
- Alertes suspectes non encore confirmées : nécessitent suivi rapide.
- Hosts en quarantaine : raison, statut owner, déblocage prévu.
- Communications externes : tickets clients (si MSSP), notifications équipes IT.
- Anomalies infrastructure : SIEM lent, EDR agent absent sur N hosts, ingestion partielle.
Format type : document Confluence partagé mis à jour en temps réel par l'équipe de nuit, complété par 5 à 10 minutes de discussion verbale focalisée sur les points sensibles.
=== HANDOFF NIGHT SHIFT 2026-04-24 ===
On-duty: Marc (L1), Julien (L2 on-call)
EN COURS:
- INC-2026-04-2401 (medium) : Beaconing détecté sur DESKTOP-FIN-042
→ Investigation L1 démarrée, suspect, isolé via Falcon. Attendre L2 pour
décision finale. Owner: Marie (Finance)
- INC-2026-04-2402 (low) : Multiple failed RDP from 185.220.100.x
→ IP TOR exit node, blocked at FW. Pas d'autre action requise.
QUARANTAINE:
- DESKTOP-FIN-042 (incident ci-dessus, à libérer après verdict L2)
ANOMALIES INFRA:
- Sentinel ingestion log type SecurityEvent en retard 15 min depuis 03h.
Microsoft a un known issue, ETA 09h00.
- 3 endpoints sans EDR agent depuis 48h (HR-LAPTOP-021, 022, 023).
Tickets IT ouverts. À monitorer.
VEILLE:
- Rapport CrowdStrike publié hier sur campagne Mustang Panda ciblant
secteur banque. IOCs déjà ingérés dans MISP. Watch list activée.
- Plusieurs CVE critiques patchées par Microsoft Patch Tuesday hier soir, déjà
déployé sur infrastructure critique.
PROBLÈMES UTILISATEURS NON-INCIDENTS:
- 4 demandes whitelisting URL marketing reçues, à traiter aujourd'hui.
À COMPLÉTER PAR ÉQUIPE JOUR:
- Suivi INC-2026-04-2401
- Réunion bi-hebdo SOC à 14h
- Formation nouvelle règle Sigma déployée hier (Mimikatz LSASS V2)
=================================8h15 — Triage de la queue overnight
Premier bloc actif du shift. La queue alertes contient typiquement 15 à 25 alertes accumulées pendant la nuit (volume réduit par tuning et automation, sinon le L1 nuit aurait absorbé).
Pour chaque alerte, application du runbook standard :
-
8h15 — Alerte « Suspicious PowerShell DownloadString » sur poste développeur DEV-PARIS-153. Investigation 6 min : contexte = développeur testant un script Chocolatey personnel. Verdict : faux positif. Whitelist du hash exécuté pour cet utilisateur. Documentation, fermeture.
-
8h22 — Alerte « Multiple failed authentication » sur compte service. Investigation 8 min : compte service avec password expiré la veille, pattern attendu. Verdict : faux positif. Notification IT pour rotation password planifiée. Documentation, fermeture.
-
8h31 — Alerte « Beaconing detected » sur SERVEUR-DB-PROD-04. Investigation 15 min : connexions toutes les 60 secondes vers IP unknown. Lookup VirusTotal : 0 detections. WHOIS : IP appartient à Datadog. Vérification : Datadog Agent installé légitimement. Verdict : faux positif tuning. Tag pour règle review (whitelister CIDR Datadog).
-
8h48 — Alerte « New scheduled task created » sur DC-PRIMARY-01. Investigation 12 min : tâche créée par compte SYSTEM, command line = backup script connu. Verdict : faux positif, déjà patternisé. Documentation rapide.
-
9h05 — Alerte « LSASS access detected » sur HR-LAPTOP-008. Investigation 18 min : SourceImage = MsMpEng.exe (Microsoft Defender), GrantedAccess pattern signature scan. Verdict : faux positif standard. Documentation.
-
9h25 — Alerte « Outbound to known-bad IP » sur GUEST-WIFI-SUBNET. Investigation 10 min : invité du WiFi guest network qui visite un domaine flaggé (spam tracker). Aucun impact corporate. Verdict : informational, déjà bloqué par firewall guest. Documentation.
-
9h38 — Alerte « Privilege escalation attempted » sur LAPTOP-DEV-088. Investigation 22 min : utilisateur a lancé
runas /user:adminsur un binaire dansDownloads. SHA256 = inconnu de VirusTotal, signature = invalide. Suspect. Escalade L2 avec ticket structuré et préservation forensique du binaire.
=== TICKET INC-2026-04-2403 ===
Severity: Medium → High (à L2 de confirmer)
Source: Defender for Endpoint
Host: LAPTOP-DEV-088
User: jean.developpeur (compte standard)
Time: 2026-04-24 09:31:47 CEST
ALERT:
Suspicious privilege escalation attempt detected.
Process: powershell.exe -ExecutionPolicy Bypass -File C:\Users\jean.developpeur\Downloads\setup-tool.ps1
Parent: explorer.exe (PID 4521)
SourceUser: jean.developpeur
INVESTIGATION L1:
1. Hash binary: SHA256 e8a5b4c3d2... (Downloads\setup-tool.ps1)
2. VirusTotal: 0/72 detections (UNKNOWN, suspicious)
3. Signature: NOT SIGNED
4. Origin: Email attachment received 2026-04-24 09:25 CEST
from external-vendor@partner.example.test
5. User confirms: opened email but DID NOT KNOWINGLY execute file
SUSPECT INDICATORS:
- Unknown unsigned PowerShell script in Downloads
- Executed within minutes of email receipt
- runas command attempted suggests escalation intent
- Origin email domain similar but not identical to legitimate partner
CONTAINMENT TAKEN BY L1:
- Host LAPTOP-DEV-088 isolated via Falcon
- Email message preserved in mailbox
- User instructed not to log out / restart
ESCALATION TO L2:
Recommend full forensics of laptop, email investigation, validation
domain spoofing/phishing, decision on broader containment.
ATT&CK Mapping: T1059.001 (PowerShell), T1566.001 (Spearphishing
Attachment) suspected
Attachments: handoff_screenshots.zip, hash_VT.json
================================11h30 — Coffee break + escalade follow-up
Pause de 15 minutes. Le ticket vers L2 est noted dans le Slack #soc-l2 pour visibilité immédiate. La L2 (Sophie) acknowledge en 5 minutes et démarre l'investigation.
11h45 — Triage secondaire et tickets
Deuxième vague d'alertes plus calme (12 alertes en 1h45) :
- 8 faux positifs standards (RDP from VPN business, SSH agent connections, DLP alert sur volume modéré pour utilisateur RH typique).
- 2 tickets demandes utilisateur (whitelist URL marketing pour campagne en cours).
- 2 vraies alertes nécessitant investigation modérée (15-20 min chacune) mais sans escalade.
12h00 — Pause déjeuner
Cantine d'entreprise ou restaurant à proximité. Routine fréquente : 30 minutes de déjeuner avec collègues SOC, 25 minutes de lecture personnelle (threat intel, blogs sécurité). Lectures usuelles :
- Bleeping Computer pour news cyber généralistes.
- Krebs on Security pour analyses approfondies.
- DFIR Report pour incident reports détaillés mensuels.
- Risky Business podcast (lecture transcripts ou écoute).
- Sekoia.io blog ou rapports CTI français.
13h00 — Investigation longue (deep dive)
Retour au poste. La L2 a demandé au L1 de prendre en charge en parallèle un autre incident moyennement complexe : un compte de service Salesforce s'est déconnecté de manière inattendue, puis reconnecté 5 minutes plus tard depuis une IP différente. Investigation longue, 1h30.
=== INVESTIGATION INC-2026-04-2404 ===
CONTEXTE:
Service account svc-salesforce-sync a perdu sa session à 12h47, puis
s'est reconnecté à 12h52 depuis IP différente (172.21.x.y au lieu de
172.21.a.b habituel).
ÉTAPES:
1. Vérifier IP nouvelle : interne corporate, range serveur de prod
2. Identifier hostname : SRV-INTEGRATION-12 (serveur d'intégration)
3. Vérifier qui/quoi tourne sur ce serveur :
→ Salesforce sync service (légitime) déployé hier soir par DevOps
→ Migration prévue, mais documentation interne pas encore mise à jour
4. Vérifier ticket de change management : RFC-2026-04-22 = migration
sync Salesforce de SRV-INT-08 vers SRV-INT-12
5. Confirmation auprès de l'owner SI Salesforce : OK, migration légitime
VERDICT: Faux positif de type "missed change management coordination"
ACTIONS:
- Mise à jour de la baseline source IPs pour svc-salesforce-sync
- Ticket envoyé à change management pour rappel notification SOC avant
migrations critical accounts
- Documentation finale, fermeture14h00 — Réunion bi-hebdo SOC
Réunion équipe SOC complète (8 personnes), 60 minutes :
- 10 min : revue des incidents critiques de la semaine (par L2/L3).
- 15 min : présentation nouvelle règle Sigma déployée par l'équipe Detection Engineering, démonstration de la couverture, faux positifs attendus, runbook associé.
- 10 min : retour sur exercice tabletop ransomware de la semaine précédente, lessons learned.
- 10 min : discussion roadmap SOC trimestre prochain (déploiement nouveau threat intel feed, mise à jour XSOAR).
- 15 min : présentation rapide CTI sur campagne Mustang Panda actuelle (technique nouvelle observée chez un client du secteur).
15h00 — Retour triage flux
La queue s'est remplie pendant la réunion (8 alertes accumulées). Triage rapide :
- 6 faux positifs standards.
- 1 alerte « New admin user created in Entra ID » : investigation 12 min, IT a documenté la création légitime dans le ticket de change. Verdict : faux positif.
- 1 alerte « DLP : sensitive document downloaded by unusual user » : investigation 18 min, utilisateur du legal team préparant un dossier juridique légitime. Verdict : informational, documentation.
16h30 — Documentation et backlog
L'après-midi se calme légèrement (15h30-17h). Profitons-en pour :
- Compléter la documentation des incidents traités le matin.
- Mise à jour de runbooks utilisés (note d'amélioration suite à l'investigation 8h31 sur faux positif Datadog).
- Lecture du runbook nouvelle règle Sigma déployée (présentée en réunion).
- Petit projet d'amélioration : whitelisting batch des 12 faux positifs récurrents identifiés cette semaine, soumission à L2 pour validation.
17h30 — Préparation du handoff
Avant de partir, préparer le handoff vers le shift soir (qui prend 18h-20h puis nuit 22h-6h après bridge MSSP externalisé pendant les 2h gap) :
=== HANDOFF DAY SHIFT 2026-04-24 (18h00) ===
By: Naim (L1), Sophie (L2 on-call)
INCIDENTS EN COURS:
- INC-2026-04-2403 : Privilege escalation LAPTOP-DEV-088
→ L2 investigation en cours par Sophie. Host toujours isolé.
→ Forensics en cours, résultats attendus demain matin.
→ Email source en investigation par CTI (campagne phishing potentielle).
→ Action attendue shift soir : monitorer alertes liées au compte
jean.developpeur ou IP source.
QUARANTAINE:
- LAPTOP-DEV-088 (toujours isolé, ne pas libérer sans go L2)
NOUVELLES RÈGLES DÉPLOYÉES AUJOURD'HUI:
- Sigma rule "LSASS Access Pattern V2" en mode audit pour 7 jours
→ Faux positifs attendus sur MsMpEng.exe et SenseCncProxy.exe
→ Si volume excessif, contacter Maxime (Detection Engineering)
IMPORTANT:
- Patch Tuesday Microsoft hier soir : déploiement IT planifié ce
weekend. Watch sur servers post-patching.
- Campagne Mustang Panda active dans secteur banque (CTI brief).
IOCs ingérés dans MISP. Vigilance particulière sur emails extérieurs.
ALERTES TYPIQUES À VENIR:
- Volume habituel calme entre 18h-20h
- Pic possible 19h-20h (fin de journée utilisateurs avec actions
inhabituelles)
TICKETS UTILISATEURS À TRAITER:
- 2 demandes whitelist URL en attente (ticket SOAR T-2403, T-2404)
À NOTER:
- Réunion sécurité bi-hebdo demain 10h, présence soft requise pour L1
=================================17h45 — Fin de shift et debrief informel
Avant de partir, 15 minutes de debrief informel avec l'autre L1 du shift jour. Retour sur les difficultés du jour, les patterns intéressants observés, anticipation des sujets pour la semaine. Utile pour la cohésion d'équipe et la transmission de tribal knowledge.
Le shift soir (Marc, autre L1) prend la relève à 18h. Naim quitte le SOC à 18h00.
Variations selon le contexte
Le récit ci-dessus correspond à un SOC interne ETI parisienne. Les variations significatives selon le modèle.
MSSP (Managed Security Service Provider)
Volume d'alertes plus élevé (multi-tenant, 100+ alertes par shift), durée de triage par alerte plus courte (5 à 10 min en moyenne contre 8 à 15 min en interne), focus sur les SLA contractuels (15 à 30 min de réponse selon contrat), investigation moins profonde au L1 (escalade plus rapide à L2 pour rester dans les SLA). Communication client systématique (chaque incident moyen+ génère un mail ou ticket).
SOC interne 24/7
Shifts 3x8 (matin 6h-14h, après-midi 14h-22h, nuit 22h-6h). Volume variable selon shift : matin et après-midi plus actifs (utilisateurs en activité), nuit plus calme avec focus sur les automated attacks (RDP brute force, scanners). Prime de nuit 50 à 100 % du salaire de base. Difficulté de tenue : la rotation 3x8 a un coût personnel important, beaucoup d'analystes basculent vers SOC 8h-20h après 2 à 3 ans.
MDR (Managed Detection and Response) externalisé
Hybride : équipe SOC interne réduite + service MDR externe pour la couverture 24/7 et l'expertise spécialisée. Le L1 interne traite uniquement les alertes du business hours et orchestre la communication avec le MDR pour la nuit. Volume modéré, focus sur la coordination plutôt que le triage volume.
SOC SaaS / sécurité produit
L1 sécurité produit (équipe sécurité d'un éditeur SaaS) : alertes principalement applicatives (WAF, anomalies user behavior, abus business logic) plutôt qu'infrastructure. Outils différents : Datadog Security, Snyk Runtime, custom tooling SIEM. Profil plus dev-friendly que IT-friendly.
Outils utilisés au quotidien
Stack opérationnelle quotidienne d'un L1 en SOC interne mature 2026.
| Catégorie | Outils typiques | Fréquence d'usage |
|---|---|---|
| SIEM | Microsoft Sentinel, Splunk ES, Elastic Security | Permanent |
| EDR / XDR | CrowdStrike Falcon, SentinelOne, Defender for Endpoint | Permanent |
| SOAR | Cortex XSOAR, Splunk Phantom, Tines | Très fréquent |
| Threat Intel Platform | MISP, OpenCTI, ThreatConnect | Quotidien |
| Threat Intel feeds | VirusTotal, AbuseIPDB, urlscan.io, Greynoise | Quotidien |
| Identity Provider logs | Entra ID, Okta logs | Très fréquent |
| Cloud audit | CloudTrail AWS, Activity Logs Azure, Cloud Audit Logs GCP | Fréquent |
| Email security | Mimecast, Proofpoint, Microsoft Defender for Office 365 | Fréquent |
| Communication | Slack/Teams, ticketing Jira/ServiceNow | Permanent |
| Documentation | Confluence, Notion, Git markdown | Fréquent |
| Veille | Feedly, Slack channels CTI, podcasts | Quotidien (pause) |
Ce qui pèse vraiment dans le quotidien
Trois dimensions sous-estimées par les candidats au rôle L1.
La discipline plus que la technique pure. Un L1 brillant techniquement mais peu rigoureux échoue régulièrement : il oublie de documenter, escalade tardivement, change l'approche du runbook au feeling. Un L1 méthodique avec compétences techniques moyennes performe systématiquement mieux. La rigueur de l'analyse, la qualité de la documentation, la précision de l'escalade sont les compétences qui font la différence en review trimestrielle.
L'endurance cognitive. Trier 60 à 80 alertes en 8 heures, dont 80 à 90 % sont des faux positifs, demande une attention soutenue. La tendance naturelle est de basculer en mode automatique et de manquer le vrai positif noyé dans le bruit. Les analystes qui durent dans le rôle ont des routines (pauses régulières, hydratation, alternance triage / non-triage) pour préserver leur attention.
La capacité à dire « je ne sais pas ». Un L1 qui prétend comprendre et qui ferme un faux positif comme tel alors qu'il s'agit d'un vrai positif coûte cher. Un L1 qui escalade avec « je ne sais pas conclure, voici le contexte que j'ai rassemblé » est valuable. La culture SOC mature encourage l'humilité et l'escalade « par excès de prudence » plutôt que la fierté du verdict tranché.
Points clés à retenir
- Une journée de L1 SOC alterne triage (50 à 65 % du temps), investigation moyenne, documentation, réunions, veille. Volume typique 30 à 80 alertes par shift.
- Le handoff matin et soir est non négociable et structuré : incidents en cours, hosts en quarantaine, anomalies infra, communications à suivre.
- Les variations SOC interne / MSSP / SOC 24/7 / MDR / SOC produit changent significativement le tempo, le volume et le focus.
- La discipline opérationnelle prime sur l'expertise technique pure pour réussir comme L1. Rigueur de documentation, précision d'escalade, endurance cognitive.
- L'évolution de carrière démarre vers L2 après 12 à 24 mois, ou vers spécialités défensives (DFIR, CTI, Detection Engineering) à 18 à 36 mois. Plafonner sur L1 plus de 3 ans est sub-optimal.
Pour aller plus loin
- Alertes SOC : 7 cas d'analyse pas-à-pas - les 7 alertes types décortiquées que le L1 traite quotidiennement.
- Runbooks SOC : 5 exemples pratiques - les procédures opérationnelles que le L1 applique.
- Container escape : techniques et défenses - contexte technique pour investigation L2.
- Sécurité d'un VPS : checklist - hardening qui réduit le périmètre d'alertes vues par le SOC.
