Devenir analyste SOC chez Orange Cyberdefense

J’ai suivi un DUT spécialisé dans les réseaux et les télécommunications. Ce qui était important pour moi, c’était de comprendre le fonctionnement de tous types de réseaux. J’y ai appris à mettre en place et gérer une pluralité d’équipements de communication.

Le DUT étant généraliste, j’ai voulu me spécialiser et concentrer mon attention sur les SI. J’ai alors étudié l’administration des systèmes et des bases de données à l’Institut Poly Informatique (IPI) de Paris. Bien qu’on y apprenne à sécuriser le système d’information afin de limiter les surfaces d’attaque, ce n’était pas encore à proprement parler mon premier pas dans la cybersécurité.

J’ai tout d’abord été administrateur systèmes et bases de données en ESN chez Castelis puis j’ai rejoint Lexsi à un poste similaire. J’ai notamment géré des infrastructures, assuré la continuité de service, la haute disponibilité et maintenu les serveurs de nos data centers. Cette expérience m’a fait toucher à tout : la virtualisation, le back-up, la supervision, l’automation, l’administration des serveurs et le déploiement de nouvelles technologies… C’est un domaine qui évolue très vite, on n’a vraiment pas le temps de s’ennuyer !

En 2016, Orange Cyberdefense a racheté Lexsi. Un de mes collègues m’a parlé du centre de formation de l’entreprise, qui prépare notamment au métier d’analyste SOC. J’étais très intéressé, j’ai passé un premier entretien afin d’en savoir plus. L’Orange Cyberdefense Academy me permettait de mettre les deux pieds dans la cybersécurité, de me concentrer sur des technologies de détection des menaces, ce qui m’a beaucoup plu. Au final, je n’ai pas eu besoin de réfléchir longtemps avant de passer les sélections. J’ai eu deux entretiens, l’un avec l’équipe RH, l’autre avec mon potentiel futur manager, puis j’ai passé un test en cybersécurité. Une fois reçu, j’ai suivi la formation en octobre 2018.

La formation dure quatre semaines. La première est consacrée à la présentation des métiers de l’entreprise avec les lesquels nous pourrions être amenés à collaborer. Elle présente bien sûr aussi le métier de l’analyste SOC ainsi que des bases en cybersécurité. Les deux semaines suivantes préparent aux certifications pour différentes solutions de SIEM (security information and event management), indispensables à la détection des alertes de sécurité.

La dernière semaine se passe en totale immersion : j’ai été placé en binôme avec un analyste SOC. Ça m’a permis de mettre en pratique les techniques apprises au cours de la formation, en conditions réelles de travail. La formation est très dense, mais c’est une excellente préparation à notre futur métier. Il y avait une bonne ambiance et une vraie cohésion de groupe.

Je suis analyste SOC. Je travaille avec quatre autres analystes pour un client sur une mission de « run ». Je traite les alertes identifiées par nos SIEM, identifie les menaces potentielles et évalue leurs impacts. Nous sommes en contact permanent avec le client et nous pouvons aussi être amenés à enquêter sur des comportements suspects. Je collabore également avec des collègues du « build », pour le paramétrage des SIEM. Nous les faisons évoluer avec l’ajout ou l’optimisation de règles de détection pour coller au plus près des besoins des clients. Pour mon deuxième client, j’ai une mission de veille. J’étudie des rapports de CERT (Computer Emergency Response Team) sur de nouvelles attaques détectées dans le monde. Puis je cherche des traces de compromissions sur le système d’information du client.

J’adore ce travail d’enquête. Par exemple, lorsqu’une alerte pour un système compromis est levée, on doit fournir au client un maximum d’informations : par quel moyen l’attaquant y est parvenu, remonter dans le passé, identifier les évènements suspects, découvrir s’il y a d’autres cas en cours… Le travail de collaboration entre les différentes équipes est aussi très intéressant, chacune apportant son expertise.

J’aimerais monter davantage en compétences, devenir expert sur une solution de SIEM. Certains possèdent des langages de recherches très puissants pour les analyses : il faut apprendre à construire ces requêtes qui peuvent être complexes et les optimiser. Ils permettent aussi l’élaboration de tableau bords avancés et maîtriser tous ces points offre la possibilité de fournir des rapports complets et pertinents pour le client. Je reste pour l’instant concentré sur cet objectif et ensuite on verra.