Zeroday Cyber Academy

Métiers de la cybersécurité

Qu'est-ce qu'un analyste SOC ? Rôle et missions

Analyste SOC 2026 : rôle, missions, stack SIEM/EDR/SOAR, niveaux L1/L2/L3, certifications Security+, CySA+, BTL1, salaires juniors et évolutions à 5 ans.

Naim Aouaichia
12 min de lecture
  • SOC
  • Analyste SOC
  • SIEM
  • EDR
  • SOAR
  • MITRE ATT&CK
  • Blue Team
  • Détection
  • Réponse à incident
  • Métier cyber

Un analyste SOC (Security Operations Center) est le pilier de la défense cyber en temps réel d'une organisation : il monitore les journaux d'activité de l'ensemble du système d'information, détecte les comportements suspects, classe les alertes, investigue les incidents et coordonne la réponse. Le poste existe en trois niveaux — L1 (triage, 38-52 k€ junior), L2 (investigation, 48-65 k€), L3 (threat hunting, 62-82 k€) — et repose sur une stack structurée autour de quatre catégories d'outils : SIEM (Splunk, Elastic, Microsoft Sentinel, IBM QRadar), EDR (CrowdStrike Falcon, SentinelOne, Defender XDR), SOAR (Splunk SOAR, XSOAR, Tines) et threat intelligence (MISP, OpenCTI, VirusTotal). La discipline s'appuie sur le framework MITRE ATT&CK (v15, 2024) pour la cartographie des techniques adverses, la fonction Detect du NIST Cybersecurity Framework 2.0 et les CIS Controls v8. C'est la porte d'entrée cyber la plus large pour les profils support IT, sysadmin et réseau en France en 2026. Cet article détaille le rôle, les missions quotidiennes, la stack technique, la hiérarchie L1/L2/L3, le profil type, les certifications prioritaires et la trajectoire salariale complète.

1. Définition et rôle de l'analyste SOC

Un Security Operations Center (SOC) est l'entité opérationnelle — équipe, procédures, outillage — en charge de détecter, analyser et répondre aux incidents de cybersécurité d'une organisation. L'analyste SOC en est le profil opérationnel principal.

Le SOC peut exister sous trois formes organisationnelles :

  • SOC interne : équipe propre à l'entreprise, typique des grands groupes et OIV. Connaissance fine du contexte métier, coût structurel élevé.
  • SOC externalisé MSSP (Managed Security Service Provider) : service délégué à un prestataire (Orange Cyberdefense, Thales, Atos/Eviden, Sopra Steria, Airbus Protect, Advens, I-Tracing, ITrust). Modèle dominant pour PME et ETI.
  • SOC hybride : équipe interne pour les investigations sensibles, MSSP pour le monitoring 24/7.
DimensionSOC interneSOC externalisé (MSSP)SOC hybride
Taille typique d'équipe5-50 analystes (grand groupe)50-500 analystes (multi-clients)3-15 internes + MSSP
Connaissance métierTrès fineGénériquePartagée
Coût annuel indicatif1-10 M€200 k€ à 2 M€500 k€ à 5 M€
Horaires couverts24/7 (gros) ou 8x5 (petit)24/7 par défautInterne 8x5, MSSP 24/7
Profil d'analyste typeSpécialisé sur le SI de l'entrepriseGénéraliste multi-clientsMixte

2. Les missions quotidiennes d'un analyste SOC

La journée type diffère fortement selon le niveau (L1, L2, L3) et le type de SOC (interne ou MSSP). Trois blocs de missions structurent néanmoins toutes les journées.

Bloc 1 — Monitoring et triage des alertes

L'analyste SOC reçoit des alertes générées par le SIEM (corrélation des logs), l'EDR (détection comportementale endpoint) et les sources tierces (CTI, email security, WAF, proxy). Il applique un processus de triage standardisé :

  1. Vérifier la criticité intrinsèque de l'alerte (type de règle, source, contexte).
  2. Enrichir via threat intelligence (MISP, VirusTotal, AbuseIPDB, Mandiant, Recorded Future).
  3. Classifier : faux positif, vrai positif bénin, vrai positif malveillant.
  4. Pour un vrai positif : ouvrir un cas dans le système de ticketing (TheHive, Cortex, ServiceNow SecOps).
  5. Escalader au L2 si investigation approfondie requise.

Un L1 traite typiquement 30 à 150 alertes par shift selon la maturité du tuning SIEM et le volume de l'organisation.

Bloc 2 — Investigation et réponse

Mission principale du L2, en appui du L1. Les étapes classiques suivent le cycle NIST SP 800-61r2 (Computer Security Incident Handling Guide) :

  • Identification : caractériser précisément l'incident (machine, utilisateur, vecteur, timeline).
  • Containment : confiner le poste infecté via EDR (isolation réseau, kill process), désactiver le compte compromis dans Active Directory ou Entra ID.
  • Eradication : supprimer la menace (désinstaller le malware, supprimer les persistance mechanisms, révoquer les tokens).
  • Recovery : remettre en production après validation.
  • Lessons learned : documenter dans le knowledge base SOC, mettre à jour les playbooks.

Bloc 3 — Amélioration continue et tuning

L2 et L3 consacrent typiquement 20-40 % de leur temps à l'amélioration continue :

  • Tuning des règles SIEM (réduction des faux positifs, augmentation de la couverture).
  • Écriture de nouveaux détecteurs couvrant des techniques MITRE ATT&CK non couvertes.
  • Rédaction et mise à jour des playbooks de réponse.
  • Participation aux exercices tabletop et red team internes.
  • Veille sur nouvelles CVE critiques et adaptation des détections (exemple récent : CVE-2024-3094 xz-utils backdoor découverte mars 2024, CVE-2024-6387 regreSSHion OpenSSH juillet 2024).

3. La stack technique de l'analyste SOC

Quatre catégories d'outils structurent le travail de l'analyste SOC en 2026.

CatégorieOutils leaders 2026Usage principal
SIEMSplunk Enterprise Security, Microsoft Sentinel, Elastic Security, IBM QRadar, Sumo Logic, Google ChronicleCorrélation de logs multi-sources, règles de détection
EDR / XDRCrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender XDR, Palo Alto Cortex XDR, Sophos Intercept XDétection endpoint, containment, investigation
SOARSplunk SOAR, Palo Alto XSOAR, Tines, Swimlane, Google Chronicle SOARAutomatisation des playbooks réponse
Threat IntelligenceMISP (open-source), OpenCTI, VirusTotal, Mandiant Advantage, Recorded FutureEnrichissement IOC, tracking adversaires
Case managementTheHive, Cortex, ServiceNow SecOpsGestion des incidents
Forensic (L3)Volatility, Autopsy, Velociraptor, KAPE, ChainsawAnalyse mémoire, disque, événements Windows
Detection-as-codeSigma, Elastic EQL, KQL, SPLÉcriture de règles portables

Exemple de règle Sigma (format standard portable SIEM) détectant une exécution suspecte de mimikatz via ses signatures légitimes :

title: Suspicious Mimikatz Command Line Arguments
id: a642964e-bead-4bed-8910-1bb4d63e3b4d-example
status: stable
description: Detection of mimikatz command line arguments typically used
  for credential dumping during lateral movement.
references:
  - https://attack.mitre.org/techniques/T1003/001/
  - https://github.com/gentilkiwi/mimikatz
author: Zeroday Cyber Academy exemple pedagogique
date: 2026-04-23
tags:
  - attack.credential_access
  - attack.t1003.001
logsource:
  category: process_creation
  product: windows
detection:
  selection_cli:
    CommandLine|contains:
      - 'sekurlsa::logonpasswords'
      - 'sekurlsa::pth'
      - 'lsadump::sam'
      - 'lsadump::dcsync'
      - 'kerberos::golden'
      - 'privilege::debug'
  filter_legit:
    ParentImage|endswith: '\pwsh.exe'
    CommandLine|contains: 'Invoke-AtomicTest'
  condition: selection_cli and not filter_legit
level: high
falsepositives:
  - Tests Atomic Red Team executes via Invoke-AtomicTest
  - Exercices Red Team internes documentes

Cette règle Sigma se traduit automatiquement en SPL (Splunk), KQL (Sentinel), EQL (Elastic) via le projet open-source sigmac ou le langage successeur pySigma.

4. Les trois niveaux SOC : L1, L2, L3

NiveauAncienneté typiqueMissions dominantesOutils principauxRatio reactivity/analysis
L1 (tier 1)0-2 ansTriage alertes, enrichissement IOC, escaladeSIEM, threat intel, ticketing80 / 20
L2 (tier 2)2-4 ansInvestigation, réponse, tuning règlesSIEM, EDR, SOAR, forensic light50 / 50
L3 (tier 3)4-7 ansThreat hunting, detection engineering, reverseEDR, detection-as-code, forensic, reverse20 / 80

Progression typique

  • L1 → L2 en 12-18 mois avec certifications (Security+ plus CySA+ ou BTL1) et investigation concrète de 10+ incidents réels.
  • L2 → L3 en 2-4 ans avec certifications (GCIH plus GCIA) et démonstration de capacité à développer des détecteurs originaux.
  • L3 → Threat Hunter senior, SOC manager, ou bifurcation DFIR / CTI / Cloud Security en 4-7 ans.

5. Profil type et certifications prioritaires

Profils d'entrée les plus compatibles

Profil initialCompatibilité SOC L1Durée de basculePrérequis clés
Support IT niveau 2-3Très forte9-15 moisWindows + réseau TCP/IP + scripting PowerShell ou Bash
Admin système Linux ou Windows juniorForte6-10 moisLogs système, services de base, durcissement
Admin réseau juniorForte6-12 moisTCP/IP profond, firewalls, proxy, VPN
Reconversion avec formation courte 9 moisMoyenne12-18 moisFondamentaux IT plus portfolio BTL1
Profil développeur sans exposition infraMoyenne12-18 moisBascule plus naturelle vers AppSec ou DevSecOps

Voir Métiers cyber pour support IT et Métiers cyber pour système et réseau pour le détail par profil d'entrée.

Certifications par palier

PalierAnciennetéCertifications recommandéesCoût examen indicatif
Entrée (avant ou 0-1 an)CompTIA Security+≈ 400 €
Entrée hands-onBlue Team Level 1 (BTL1)≈ 399 $
Confirmé L1 → L21-3 ansCompTIA CySA+≈ 380 $
Confirmé alternatif1-3 ansCertified SOC Analyst (CSA EC-Council)≈ 350 $
Senior L2 → L33+ ansGIAC Certified Incident Handler (GCIH)≈ 1 000 $
Senior L2 → L33+ ansGIAC Certified Intrusion Analyst (GCIA)≈ 1 000 $
L3 détection avancée4+ ansGIAC Certified Detection Analyst (GCDA)≈ 1 000 $
L3 forensic4+ ansGIAC Certified Forensic Analyst (GCFA)≈ 1 000 $

Combinaison marché-efficace en France 2026 : Security+ plus BTL1 en 6-12 mois couvre 80 % des offres SOC L1 juniors. CySA+ en année 2 pour sécuriser la bascule L2. GCIH plus GCIA à partir de l'année 3 pour viser L3.

6. Salaires et trajectoire à 5 ans en France

NiveauAnciennetéProvince (brut annuel)Île-de-France (brut annuel)
SOC L1 junior0-2 ans34-46 k€38-52 k€
SOC L1 confirmé2-3 ans40-52 k€44-58 k€
SOC L22-4 ans44-60 k€48-65 k€
SOC L3 / threat hunter4-7 ans58-76 k€62-82 k€
SOC manager / Head of SOC7-10 ans75-95 k€80-110 k€
Director of SOC grand groupe10+ ans95-130 k€110-150 k€

Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Fourchettes hors primes de shift (+5-25 % selon horaires) et hors bonus. Les SOC MSSP ESN tirent légèrement la fourchette basse, les SOC internes grand groupe CAC 40 et les MSSP scale-up tirent la fourchette haute.

Bifurcations possibles après 3-5 ans SOC

  • DFIR (Digital Forensics and Incident Response) : spécialisation forensic plus réponse à incident majeur. Salaires seniors 70-100 k€.
  • Threat Intelligence Analyst : OSINT, CTI, tracking d'acteurs. Salaires 65-95 k€ senior.
  • Cloud Security Analyst : bascule vers la sécurité cloud, voir Les étapes pour devenir Cloud Security Analyst.
  • Detection Engineer : écriture avancée de détecteurs en Sigma, KQL, EQL. Segment émergent très valorisé.
  • Purple Team : bridge entre SOC et red team, simulations et amélioration continue.
  • Management : Team Lead SOC, SOC Manager, puis Head of SOC ou CISO à 10+ ans.

7. Pour aller plus loin

Points clés à retenir

  • L'analyste SOC est le pilier défense cyber temps réel : détection, triage, investigation, réponse à incident. Trois niveaux L1/L2/L3.
  • Stack en quatre couches : SIEM (Splunk, Sentinel, Elastic), EDR (CrowdStrike, SentinelOne, Defender XDR), SOAR (XSOAR, Tines), threat intelligence (MISP, VirusTotal).
  • Framework de référence : MITRE ATT&CK v15 pour la cartographie des techniques adverses, NIST CSF 2.0 fonction Detect, CIS Controls v8.
  • Progression typique : L1 en 12-18 mois après embauche, L2 en 2-4 ans, L3 en 4-6 ans.
  • Salaires FR 2026 : L1 junior 38-52 k€, L2 48-65 k€, L3 62-82 k€, SOC manager 80-110 k€, Director 110-150 k€.
  • Certifications prioritaires : Security+ plus BTL1 en entrée, CySA+ en confirmé, GCIH plus GCIA en senior.
  • Porte d'entrée cyber la plus large pour profils support IT et sysadmin, avec shifts 24/7 majoritaires en L1 compensés par primes 5-25 %.

L'accompagnement cyber 6 mois propose un cursus spécifique SOC avec préparation Security+ puis BTL1 intégrée, labs Wazuh et Security Onion, ateliers d'écriture de règles Sigma et KQL, et coaching d'entretien ESN et grands comptes.

Questions fréquentes

  • Quelle est la différence entre un analyste SOC L1, L2 et L3 ?
    Trois niveaux de responsabilité croissants. L1 (tier 1) : triage de premier niveau des alertes SIEM, enrichissement via threat intelligence, classification des faux positifs, escalade des incidents valides. Volume important, rythme soutenu, souvent en shift 24/7. L2 (tier 2) : investigation approfondie des incidents escaladés, analyse forensique légère, rédaction de playbooks de détection, tuning des règles SIEM. Interaction avec les équipes réseau et systèmes. L3 (tier 3) : threat hunting proactif, développement de nouveaux détecteurs, reverse engineering de samples malware, exploitation du framework MITRE ATT&CK pour construire des détections avancées. Moins réactif, plus stratégique. Un analyste SOC progresse typiquement L1 en 12-18 mois, L2 en 2-4 ans, L3 en 4-6 ans.
  • Quels outils un analyste SOC utilise-t-il au quotidien ?
    Quatre catégories d'outils structurent la journée type. 1) SIEM (Security Information and Event Management) : Splunk Enterprise Security, Elastic Security, Microsoft Sentinel, IBM QRadar, Sumo Logic Cloud SIEM — corrélation des logs et détection. 2) EDR (Endpoint Detection and Response) : CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender XDR, Palo Alto Cortex XDR — détection et confinement sur les postes et serveurs. 3) SOAR (Security Orchestration, Automation and Response) : Splunk SOAR, Palo Alto XSOAR, Tines, Swimlane — automatisation des playbooks. 4) Threat intelligence : MISP, OpenCTI, VirusTotal, Recorded Future, Mandiant Advantage — enrichissement des indicateurs de compromission (IOC). Les analystes L2 et L3 ajoutent TheHive et Cortex pour la gestion de cas et des outils forensic comme Volatility, Autopsy ou Velociraptor.
  • Combien gagne un analyste SOC en France en 2026 ?
    Fourchettes brut annuel 2026 selon niveau. L1 junior (0-2 ans) : 38-52 k€ en Île-de-France, 34-46 k€ en province. L2 confirmé (2-4 ans) : 48-65 k€ IDF, 44-60 k€ province. L3 senior (4-7 ans) : 62-82 k€ IDF, 58-76 k€ province. Threat hunter ou SOC manager 7+ ans : 80-110 k€. Les primes de shift (nuit, weekend, jour férié) ajoutent typiquement 5-12 % sur la base. Les SOC 24/7 en ESN (Orange Cyberdefense, Thales, Atos/Eviden, Sopra Steria, Airbus Protect) tirent légèrement la fourchette basse, les SOC internes en grand groupe CAC 40 et les MSSP scale-up tirent la fourchette haute. Télétravail partiel possible en L2/L3, plus rare en L1.
  • Quelles certifications passer pour devenir analyste SOC ?
    Trois paliers. Palier d'entrée (junior, avant embauche ou 0-1 an) : CompTIA Security+ (≈ 400 €) ou équivalent. Blue Team Level 1 (BTL1, Security Blue Team, ≈ 399 $) est fortement valorisé en France 2026 pour sa dimension hands-on en laboratoire. Palier confirmé (1-3 ans) : CompTIA CySA+ (≈ 380 $) oriente défense, Certified SOC Analyst (CSA EC-Council, ≈ 350 $) pour ceux préférant un framework plus cadré. Palier senior (3+ ans) : GIAC Certified Incident Handler (GCIH, ≈ 1 000 $), GIAC Certified Intrusion Analyst (GCIA, ≈ 1 000 $), GIAC Certified Detection Analyst (GCDA) pour détection avancée. La combinaison BTL1 plus CySA+ en 12-18 mois couvre 80 % des offres SOC L1 et L2 en France.
  • Peut-on devenir analyste SOC sans expérience IT préalable ?
    Oui, mais la trajectoire demande 9 à 15 mois de formation structurée plus un portfolio hands-on minimum. Profils naturellement compatibles : support IT niveau 2 ou 3, administrateur système Windows ou Linux junior, administrateur réseau junior. Profils avec 0 expérience IT du tout peuvent basculer via une formation intensive 6-9 mois (École 2600, Guardia Cybersecurity School, formations longues OpenClassrooms RNCP niveau 5-6) plus 3-6 mois de portfolio (lab Wazuh ou Security Onion, write-ups CyberDefenders et LetsDefend, BTL1 obtenu). Les embauches directes en SOC L1 junior sans expérience IT existent mais sont minoritaires : les ESN privilégient les profils support IT qui connaissent déjà les tickets et la relation client interne.
  • Un analyste SOC travaille-t-il en horaires de nuit ?
    Oui, la majorité des SOC en production sont en shift 24/7/365 pour couvrir les menaces qui ne respectent pas les horaires ouvrables. Organisation typique : équipe L1 en rotation 3 shifts (matin 6h-14h, après-midi 14h-22h, nuit 22h-6h) plus weekend, équipe L2 en hybride (8h-18h semaine plus astreinte nuit et weekend), équipe L3 en horaires de bureau majoritaires avec astreinte programmée. Les SOC en mode 8x5 (horaires ouvrables étendus) existent surtout dans les PME et chez les MSSP spécialisés qui sous-traitent la nuit. Les primes de shift compensent : +10 à +25 % selon horaires, +25 à +50 % dimanches et jours fériés. L'exposition aux shifts de nuit conditionne la désirabilité du poste pour les candidats avec contraintes familiales fortes.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également