Zeroday Cyber Academy

SOC & Blue Team

Les niveaux 1, 2, 3 dans un SOC - Rôles, missions, progression

SOC L1/L2/L3 expliqués : missions, outils, compétences, salaires en France 2026, progression, alternatives (tierless SOC, SOAR-first, modern SOC).

Naim Aouaichia
16 min de lecture
  • SOC
  • Blue Team
  • Analyste SOC
  • Incident Response
  • Detection Engineering
  • Threat Hunting
  • Organisation

Un Security Operations Center (SOC) est l'équipe qui surveille, détecte et répond aux menaces cyber en continu. Depuis 20 ans, la plupart des SOC sont organisés en trois niveaux hiérarchiques (L1, L2, L3), chacun avec ses missions, ses outils et ses profils. Ce modèle, hérité des opérations IT et de l'incident response industrielle, est aujourd'hui remis en question par des approches modernes (tierless, SOAR-first, detection-as-code). Ce guide détaille chaque niveau, la progression réaliste, les salaires en France en 2026, et les alternatives qui émergent.

1. D'où vient le modèle en tiers

Le modèle L1/L2/L3 n'est pas propre à la cybersécurité. Il est importé des opérations IT (support helpdesk) et codifié par des référentiels comme ITIL et NIST SP 800-61 (Computer Security Incident Handling Guide). Principe :

  • Tier 1 = premier contact, triage, escalade des cas complexes.
  • Tier 2 = investigation approfondie, décision, action.
  • Tier 3 = expertise technique, cas hors procédure, amélioration continue.

L'hypothèse implicite : le volume d'alertes est élevé, la majorité est du bruit, seul un pourcentage faible nécessite une expertise senior. Organiser en pyramide optimise le coût : beaucoup de L1 peu chers, quelques L3 très chers.

1.1 Les limites historiques

Ce modèle porte des biais qui se sont aggravés avec le temps :

  • Volume d'alertes explosif : un SOC moderne traite plus de 10 000 alertes par jour sur un périmètre de taille moyenne.
  • Alert fatigue : les L1 deviennent des routeurs de tickets, peu formés, peu engagés, turnover élevé.
  • Frontière floue : un bon L1 fait autant d'investigation qu'un L2 peu motivé.
  • Dépendance aux outils : les SOAR modernes automatisent une grande partie du triage L1, réduisant le besoin humain à ce niveau.

Malgré ces limites, le modèle reste dominant dans l'industrie : plus de 70 % des SOC observés l'utilisent, pur ou hybride. Le comprendre est nécessaire avant d'en sortir.

2. Niveau 1 - Monitoring et triage

2.1 Missions

  • Surveillance continue des consoles SIEM, EDR, NDR, XDR.
  • Triage des alertes entrantes : faux positif, vrai positif à bas impact, escalade à L2.
  • Premières collectes d'informations (whois, virustotal, threat intel).
  • Documentation des tickets (cause, actions, statut).
  • Application des playbooks déjà écrits, jamais d'improvisation.

2.2 Outils typiques

OutilUsage
SIEM (Splunk, Elastic SIEM, Sentinel, Chronicle)Corrélation d'alertes, recherche rapide
EDR/XDR (CrowdStrike, SentinelOne, Defender XDR)Télémétrie endpoint, isolation hôte
Ticketing (Jira, ServiceNow, TheHive)Suivi des cas
Threat Intel feed (VirusTotal, AbuseIPDB, MISP)Enrichissement IP/domain/hash
Knowledge base internePlaybooks d'analyse

2.3 Compétences

  • Systèmes Windows et Linux (fondamentaux, event logs, processus, réseau).
  • Réseau TCP/IP, DNS, HTTP, basiques pare-feu.
  • Lecture de logs : formats courants, timestamps, parseurs.
  • Méthodologie : tenir une procédure, documenter proprement, ne pas sauter d'étapes.
  • Communication écrite claire (tickets exploitables par L2).

2.4 Rythme et contexte

  • 24/7 shift dans la plupart des SOC MSSP : rotations 2x12h ou 3x8h, week-end compris.
  • Heures ouvrées dans les SOC internes de plus petite taille.
  • MSSP vs interne : le MSSP pousse la productivité (alertes/heure), l'interne laisse plus de temps d'analyse.
  • Turnover élevé : 18-24 mois médian au poste, les L1 progressent vers L2 ou quittent.

2.5 Salaires L1 France 2026

Basé sur observatoires marché (Apec, LeHibou, Glassdoor, Wavestone, Hays) pour la cybersécurité française 2025-2026 :

  • Junior (0-2 ans) : 32 à 40 k€ brut annuel selon Paris vs régions.
  • 2-3 ans d'expérience : 38 à 46 k€.
  • Prime de nuit / shift : 10 à 15 % en MSSP 24/7.
  • Freelance L1 : rare, moins de 350 €/jour, les L1 sont typiquement salariés.

3. Niveau 2 - Investigation et réponse

3.1 Missions

  • Investigation approfondie des incidents escaladés par L1.
  • Reconstitution de la chaîne d'attaque (timeline, lateral movement, persistence).
  • Confirmation/infirmation du caractère malveillant.
  • Décision de réponse : isolation hôte, blocage IP, reset credentials, forensic disk capture.
  • Coordination avec les équipes IT, réseau, application pour remédiation.
  • Rédaction de rapports d'incident techniques.
  • Alimentation des playbooks et du SIEM avec de nouvelles règles.

3.2 Outils typiques

L'outillage L1 plus :

  • EDR en mode investigation : process tree, command line, network connections, timeline.
  • Outils forensics légers : Autopsy, Volatility (memory dump), KAPE (triage Windows), GRR.
  • Threat hunting queries : KQL, SPL, Sigma rules exécutées à la volée.
  • Malware analysis light : sandbox (Any.Run, Joe Sandbox, Cuckoo), strings, PE analysis basique.
  • SOAR (Splunk SOAR, Palo Alto XSOAR, Tines, Shuffle) pour orchestrer les réponses.

3.3 Compétences

  • Tous les fondamentaux L1, approfondis.
  • MITRE ATT&CK : mapping des TTPs (Tactics, Techniques, Procedures) sur les observations.
  • Analyse mémoire légère (ex. identifier un process injecté, dumper la mémoire d'un processus).
  • Analyse de malware niveau surface (behavior, persistence mechanisms, C2 patterns).
  • Scripting : PowerShell, Python, Bash pour automatiser investigations et extractions.
  • Threat hunting hypothesis-driven : formuler une hypothèse, la tester dans les données.
  • Communication : rédiger un rapport d'incident qui sert à la direction et à l'IT.

3.4 Rythme

  • Souvent heures ouvrées élargies (8-20) plutôt que shift 24/7.
  • On-call rotatif pour les incidents graves hors heures.
  • Équipe plus petite que L1 (ratio L1:L2 environ 3:1 à 5:1).

3.5 Salaires L2 France 2026

  • 3-5 ans d'expérience : 48 à 60 k€ brut annuel.
  • 5-7 ans : 55 à 70 k€.
  • Paris / Île-de-France : prime de 10-15 % par rapport aux régions.
  • Freelance L2 / incident responder : 450 à 700 €/jour selon positionnement.

4. Niveau 3 - Expertise, threat hunting, detection engineering

4.1 Missions

La typologie L3 se décline en plusieurs spécialités souvent confondues sous le même terme :

  • Senior investigator / incident response lead : pilote les incidents complexes et majeurs.
  • Threat hunter : recherche proactive de menaces qui ont contourné les détections existantes.
  • Detection engineer : écrit, teste, déploie et maintient les règles de détection (Sigma, KQL, SPL).
  • CTI analyst (Cyber Threat Intelligence) : produit du renseignement sur les adversaires, leurs TTPs, leurs infrastructures.
  • Malware analyst / reverse engineer : analyse statique et dynamique des binaires suspects.
  • Forensic analyst senior : investigations forensiques judiciaires ou complexes.

4.2 Outils typiques

  • Tout l'outillage L1/L2, en mode expert.
  • Outils forensics avancés : X-Ways, EnCase, FTK, Axiom.
  • Reverse engineering : IDA Pro, Ghidra, Binary Ninja, radare2.
  • Sandbox analytique avancée : Cuckoo Sandbox, FLARE VM.
  • Plateformes CTI : MISP, OpenCTI, ThreatConnect, Recorded Future, Mandiant Advantage.
  • Detection-as-code pipelines : Sigma + Git + CI/CD, Elastic Detection as Code, Chronicle Detect.
  • Chasse proactive : Jupyter notebooks, requêtes custom, dataframes Python.
  • Red team tooling en lecture : connaître Cobalt Strike, Mythic, Sliver pour détecter leurs artefacts.

4.3 Compétences

  • Maîtrise profonde de MITRE ATT&CK et sous-techniques, mapping détaillé.
  • Detection engineering : écrire des règles robustes, faibles en FP, couvrant variantes d'attaque.
  • Threat modeling orienté défense (qui nous attaque, comment).
  • Cryptographie appliquée : identifier les patterns de C2 chiffré, détecter les tunnels, comprendre le TLS fingerprinting.
  • Programmation : Python obligatoire, parfois Go, C/C++ pour le reverse.
  • Cloud security : AWS/Azure/GCP logs (CloudTrail, Activity Log, Audit Log), détections cloud spécifiques.
  • Communication niveau CODIR : vulgariser un incident pour un RSSI et un DG.

4.4 Rythme

  • Heures ouvrées, on-call ponctuel pour incidents critiques.
  • Projets de fond (amélioration de la détection, automatisation) autant que réactif.
  • Interaction avec CTI externe (MISP communities, ISAC sectoriels, vendors).

4.5 Salaires L3 France 2026

Variance importante selon la spécialité :

Profil L3Fourchette France 2026
Incident Response lead (7-10 ans)65 à 85 k€
Threat hunter senior65 à 90 k€
Detection engineer65 à 90 k€
CTI analyst senior60 à 80 k€
Malware analyst / reverse senior70 à 100 k€ (rare sur marché FR)
Forensic analyst senior60 à 85 k€
SOC Manager / Head of SOC90 à 130 k€ + variable

Freelance L3 / IR : 700 à 1200 €/jour, plus sur crise réelle avec astreinte.

5. Comparaison synthétique L1 / L2 / L3

CritèreL1L2L3
Mission principaleTriage alertesInvestigation + responseExpertise + detection engineering
Ratio équipe typique60-70 %20-30 %5-15 %
Expérience cyber0-2 ans3-7 ans7 ans et plus
Autonomie procéduraleFaible (suit playbooks)Modérée (adapte playbooks)Élevée (crée playbooks)
Shift24/7 courantHO élargies + on-callHO + on-call ponctuel
Salaire France 202632-46 k€48-70 k€60-100 k€
Turnover médian18-24 mois3-5 ans5-10 ans
Outils principauxSIEM, EDR consoleEDR investigation, SOAR, Threat IntelForensics, Reverse, Detection-as-code
Horizon carrièreProgression vers L2Spécialisation L3 ou managementExpert référent, CISO office, freelance

6. MSSP vs SOC interne - contexte différent

6.1 SOC MSSP (externalisé)

  • Plusieurs clients mutualisés sur la même équipe.
  • Contrat SLA strict : temps de triage, temps d'escalade, reporting.
  • Playbooks très industrialisés.
  • L1 intensif, L2 plus rapidement accessible, L3 souvent peu nombreux.
  • Horaires 24/7 standard.
  • Formation accélérée sur le terrain : exposition à une grande variété d'incidents.

6.2 SOC interne

  • Un seul client (l'entreprise), connaissance profonde du SI.
  • Moins d'alertes mais plus de contexte métier à intégrer.
  • Équipes plus petites, rôles moins segmentés.
  • Frontières L1/L2/L3 souvent floues : les mêmes personnes font un peu de tout.
  • Horaires plus confortables (HO + astreintes).
  • Progression plus prévisible mais plus lente.

6.3 Hybride (SOC interne + MSSP complémentaire)

Pattern courant : le SOC interne fait le L2/L3, le MSSP fait le L1 24/7. Coût optimisé, expertise interne préservée.

7. Parcours de progression - de L1 à L3

7.1 L1 → L2 - typiquement 18-30 mois

Actions qui accélèrent la progression :

  • Certifications pratiques : Blue Team Level 1 (BTL1), Splunk Core Certified User, Microsoft SC-200, LetsDefend, CyberDefenders.
  • Maîtriser les outils avancés de l'environnement : KQL avancé, EDR query language, Sigma rules.
  • Proposer des améliorations de playbooks ou de règles de détection au L3.
  • Documenter systématiquement ses analyses avec qualité : les bons L1 se distinguent par la rigueur.
  • Apprendre un langage de script : Python (le plus utile), PowerShell.

7.2 L2 → L3 - typiquement 3-5 ans supplémentaires

Actions qui accélèrent :

  • Certifications avancées : GCIH (GIAC Certified Incident Handler), GCFA (Forensic Analyst), GNFA (Network Forensic), OSDA (Offensive Security Defense Analyst), CEH-Practical, eCIR.
  • Participation à des CTFs défensifs : LetsDefend, CyberDefenders, Blue Team Village DEF CON.
  • Contributions open source : règles Sigma publiques, projet SOC-Prime, signatures YARA partagées.
  • Threat hunting proactif sur son propre périmètre, même sans mandat explicite.
  • Spécialisation : cloud security, malware, forensic, CTI. La spécialisation construit la valeur senior.

7.3 L3 et après

Plusieurs horizons, aucun n'est "le seul bon" :

  • Restez technique : threat hunting senior, detection engineering lead, referent technique.
  • Management : SOC Lead → SOC Manager → Head of SOC / CISO office.
  • Sortie vers offensive : red teamer, pentester (la culture blue enrichit fortement le pentest).
  • Freelance / conseil : IR en crise, audit SOC, accompagnement.
  • Purple teamer : pont entre offensive et defensive, en forte demande.

8. Les alternatives modernes au modèle en tiers

Le modèle L1/L2/L3 est critiqué et plusieurs alternatives émergent depuis 2020.

8.1 Tierless SOC (ou "flat SOC")

Proposé notamment par Palantir et certains SOC de la Silicon Valley. Principe :

  • Pas de hiérarchie de tiers.
  • Chaque analyste traite une alerte de bout en bout, jusqu'à résolution complète.
  • Spécialisations par domaine (cloud, endpoint, network, identité) plutôt que par niveau.
  • Collaboration horizontale, peer review.

Avantages :

  • Moins de perte d'information lors des handoffs.
  • Meilleure implication, formation continue naturelle.
  • Moins de turnover.

Limites :

  • Nécessite des analystes plus expérimentés et mieux payés au départ.
  • Coûteux à grande échelle sur gros volume d'alertes.
  • Ne convient pas au modèle MSSP mass-market.

8.2 SOAR-first

Principe : la majorité du triage L1 est automatisée via SOAR, ne laissant aux humains que les cas qui exigent du jugement. Les analystes se concentrent sur investigation, response et detection engineering.

  • Diminue le besoin en L1 (un SOC bien outillé peut passer de 20 L1 à 4 L1 + SOAR).
  • Augmente l'exigence côté L2/L3.
  • Nécessite une équipe detection engineering mature pour maintenir les automatisations.

8.3 Detection-as-code

Approche où les règles de détection sont traitées comme du code : versionnées en Git, testées en CI, revues en PR, déployées via pipeline. Rend obsolète la séparation "ceux qui analysent vs ceux qui créent des règles" : chaque analyste contribue aux détections, avec revue du detection engineering team.

8.4 Modern SOC selon les analystes de marché

Les recommandations de Gartner, Forrester et IDC 2024-2025 convergent :

  • Réduire la taille de la pyramide L1, augmenter l'investissement en detection engineering.
  • Automatiser via SOAR et SIEM intelligents (alerts avec contexte ML/AI pré-enrichi).
  • Fédérer SOC + CTI + incident response dans une Security Operations function unifiée.
  • Mesurer ce qui compte : MTTD (temps de détection), MTTR (temps de réponse), coverage MITRE ATT&CK, pas "nombre de tickets fermés".

9. Métriques qui comptent à chaque niveau

Les bonnes métriques changent de nature entre les tiers.

NiveauMétriques pertinentes
L1Temps médian de triage, qualité de la documentation (relue par L2), taux de faux escalades
L2MTTR (Mean Time To Resolution), qualité des rapports d'incident, contribution aux playbooks
L3Nouvelles règles déployées/mois, coverage MITRE ATT&CK, hypotheses testées en threat hunting, incidents graves évités

Métriques à éviter : "nombre d'alertes traitées" (pousse au speed au détriment de la qualité), "nombre de tickets fermés" (incite à closer sans investigation).

10. Pièges du modèle en tiers

10.1 Effet "routage stupide"

Les L1 se contentent de cocher des cases et escaladent mécaniquement. Perte d'information, perte d'engagement, turnover. Mitigation : responsabiliser le L1 sur la qualité de son triage, pas sur le volume.

10.2 Sur-spécialisation

Un L3 expert forensics qui ne sait plus investiguer un incident cloud moderne. Mitigation : rotations entre spécialités tous les 2-3 ans, participation aux analyses inter-domaines.

10.3 Déconnexion entre détection et investigation

Detection engineering cloisonné produit des règles que les analystes n'utilisent pas bien. Mitigation : chaque règle a un playbook associé, les analystes sont impliqués dans la revue des règles.

10.4 Alert fatigue chronique

Trop de FP, pas de priorisation, démotivation. Mitigation : métrique "signal-to-noise" suivie mensuellement, retrait agressif des règles peu utiles, tuning continu.

10.5 L1 comme ghetto

SOC qui embauche en masse des L1 sans perspective réelle de progression. Mitigation : engagement contractuel sur un parcours de formation, certifications financées, progression cartographiée.

11. Comment choisir un poste en SOC quand on débute

11.1 Privilégier un SOC qui forme

Un SOC mature a :

  • Un programme de formation structuré (certifications financées, temps dédié).
  • Un ratio L1:L2:L3 raisonnable (pas 30:2:1).
  • De la detection engineering active, pas juste de l'achat de règles.
  • Un turnover transparent (demandez-le).

11.2 MSSP vs interne - selon son profil

  • Débutant complet, veut exposition rapide : MSSP. Volumétrie, diversité des clients, apprentissage accéléré.
  • Plus senior, veut profondeur : interne. Contexte métier riche, autonomie.
  • Objectif freelance IR : MSSP 2 ans puis interne pour construire l'expertise de crise, puis freelance.

11.3 Questions à poser en entretien

  • Quelle est la couverture MITRE ATT&CK sur notre périmètre ?
  • Combien de règles de détection avons-nous ? Combien sont tuning-in-progress ?
  • Quel est le MTTR médian ?
  • Comment l'équipe detection engineering s'articule avec les analystes ?
  • Quel est le budget formation par analyste et par an ?

Les réponses floues ou évasives sont un signal.

12. Formations et certifications par niveau

12.1 L1 - prérequis et recommandées

Prérequis utiles : CompTIA Security+ (mesure un socle), notions Linux/Windows/réseau.

Recommandées pendant L1 :

  • Splunk Core Certified User (si l'org utilise Splunk).
  • Microsoft SC-200 (Security Operations Analyst).
  • BTL1 (Blue Team Level 1) - très pratique, très orienté emploi.
  • Elastic Certified Analyst.

12.2 L2 - structurer l'expérience

  • GCIH (GIAC Certified Incident Handler).
  • CEH Practical, eCIR (eLearnSecurity Certified Incident Responder).
  • OSDA (Offensive Security Defense Analyst), très pratique.
  • SANS FOR508 / GCFA pour ceux qui veulent s'orienter forensic.

12.3 L3 - spécialisation

  • Forensic : GCFA, GREM, SANS FOR610.
  • Threat Hunting : SANS SEC550, CREST CCSP-Hunt.
  • Detection engineering : pas de certification dédiée de référence, mais contributions open source (Sigma, Elastic detection rules) valent mieux qu'un papier.
  • Management SOC : CISM, CCSO, formations internes vendor-spécifiques.

13. Verdict et posture Zeroday

Le modèle L1/L2/L3 n'est pas mort, mais il est mal utilisé dans la majorité des SOC. Un SOC qui traite ses L1 comme du routage stupide produit des analystes frustrés, une détection moyenne et un turnover élevé. Un SOC qui investit dans ses L1 (formation, progression, responsabilisation) capitalise durablement et construit ses L3 internes.

Pour un candidat qui démarre : viser un SOC mature (pas forcément le plus gros), avec une feuille de route claire de progression et un investissement réel en detection engineering. L1 est une étape, pas une destination. Ceux qui y restent par défaut stagnent ; ceux qui l'utilisent comme tremplin en sortent plus solides qu'un junior AppSec qui n'a jamais vu le terrain.

Pour approfondir les rôles, voir qu'est-ce qu'un analyste SOC, métier blue teamer, et la comparaison pentester vs analyste SOC. Pour la vision plus large offensive/defensive : offensive security vs defensive security.

Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également