• Formation
  • Réf. 12923
Télécharger le programme

Formation : Analyse SOC (Security Operation Center)

  • 8 jours (56 heures)
  • Présentiel ou à distance

Il s'agit d'un cours très pratique qui met en avant les techniques d'attaque les plus avancées. L'enjeu consistant à détecter (voire les anticiper), et les corriger en apportant la riposte la plus efficace et efficiente.

Le cours s'appuie sur des attaques réelles dans un environnement sandboxé (virtuel et protégé pour des questions de sécurité), à partir d'un outil dédié (un SIEM : Security Information & Event Management). Tous les composants du système d'information sont ciblés : serveurs Web, clients, réseaux, firewall, bases de données...

Cette formation est divisée en deux parties :

  • La première concerne une présentation de l'organisation, les concepts, les méthodes, les techniques, les outils.
  • La seconde consiste en une application au sein d'un outil de détection et de gestion de type SIEM (IBM Qradar et/ou Splunk au choix), avec introduction de malwares (entre autres) et gestion de la détection et de la correction.
...

Formation : Analyse SOC (Security Operation Center)

Objectifs

  • Connaître l'organisation d'un SOC
  • Comprendre le métier d'analyste SOC
  • Appréhender les outils utilisés par les analystes SOC
  • Identifier les principales problématiques à travers des cas d'usage
  • Apprendre à détecter des intrusions
  • Savoir gérer différents incidents
  • Optimiser la sécurité d'un système d'information

Pré-requis

  • Connaître le guide sécurité de l'ANSSI,
  • Avoir des connaissances en réseau,
  • Avoir suivi le parcours introductif à la cybersécurité ou posséder des connaissances équivalentes.

Cibles

  • Techniciens et administrateurs Systèmes et Réseaux
  • Responsables informatiques
  • Responsables techniques
  • RSSI (responsables de la sécurité des systèmes d'information)
  • Consultants en sécurité de l'information
  • Architectes réseaux

Les plus

  • Déclinable en format individuel, intra-entreprise et sur-mesure

Modalités pédagogiques

  • Alternance d’exposés, de travaux pratiques et de séquences interactives

Suivi et évaluation des acquis

  • Évaluation des acquis en amont via un questionnaire d’auto-positionnement et en aval via un questionnaire d’évaluation rempli par le formateur sur la base des mises en situation réalisées en formation
  • L’évaluation des acquis se fait également tout au long de la session au travers des multiples exercices à réaliser
  • Distanciel : contenu et durée identiques + pédagogie adaptée + assistance technique 5j/7 (disponible par mail : [email protected])
  • Un support de cours est remis à chaque stagiaire

Indicateurs de résultats

  • Indicateurs de résultat et taux de réussite prochainement disponibles

1. Comprendre l'organisation et le métier d'analyste SOC : les enjeux, les méthodes, l'organisation, les rôles et responsabilités, les outils

  • Qu'est-ce qu'un SOC : Security Operation Center.
  • Son usage, sa fonction, ses avantages et bénéfices
  • Les fonctions du SOC : Logging, Monitoring, Reporting audit et sécurité, analyses post incidents.
  • L'organisation et les outils d'un SOC
  • Les différents types de SOC
  • Le SIM (Security Information Management).
  • Le SIEM (Security Information and Event Management).
  • Le SEM (Security Event Management).

1

Workshops

  • Exercice pratique : définir la fiche de poste d'un analyste SOC. Sa mission, ses compétences
  • Exercice pratique : conception d'une stratégie de monitoring sur la base de la détection d'événements et la qualification en incidents pour traitement

2. Maîtriser les protocoles et techniques d'attaques

  • Les protocoles réseaux
  • Notions avancées sur IP, TCP et UDP, ARP et ICMP
  • Les paquets IP, le routage, le source. routing
  • La fragmentation IP et les règles de réassemblage.
  • Les Access Control Lists, le filtrage
  • La sécurisation physique (sizing) et logique (système d'exploitation, application) du serveur
  • Les mesures de sécurité sur l'ensemble des composants : la porte ISO 27 001,
  • ISO 27011 ainsi que le cadre de cyber sécurité du NIST
  • Les outils de renforcement de la sécurité du réseau
  • Exercice : analyse du trafic d'un réseau. Analyse d'une anomalie. Utilisation d'un sniffer de type Wireshark.

3. Les différents types d'attaques : réseau

  • Utilisation d'ICMP et de SNMP comme un vecteur d'attaque, les covert chanels
  • Le spoofing IP, ARP et DNS
  • Les attaques par déni de service, Distributed DoS (Denial of Service), les Syn Flood
  • Le Man in the Middle et le Meet in the Middle
  • Le fraggle, le teardrop
  • Le TCP
  • Le TCP Hijacking
2

Workshops

  • Exercice pratique : Application d'ICMP et de SNMP. Repérage ou création d'attaque sur le réseau de type déni de service, Fraggle ou Man in the Middle
  • Exercice pratique : comment exfiltrés des informations privées et personnelles à partir d'un navigateur, à partir d'ICMP  

4. Détecter et corriger des incidents et des fuites de données

  • La gestion des incidents selon ISO 27 035
  • La notion d'événement et de incidents. Classification selon leur impact et leur urgence de traitement.
  • Le paramétrage des paliers d'alerte
  • Les backdoors (& maintenance hook)
  • Virus, vers, chevaux de troie
  • Les attaques de type XSS et CSRF
3

Workshops

  •   Exercice pratique : analyse d'un flux de type baseline d'un SIEM. Détection et traitement des événements et des anomalies.
  • Exercice pratique : détection et traitement d'un malware de type de virus, vers ou cheval de Troie. Investigation confinement et full recovery.
  • Exercice pratique : détecter et traiter une fuite de données

5. Déploiement d'un outil de prévention et de détection d'intrusion de type SIEM

  • Cette section est uniquement pratique. Elle consiste à installer, et surtout paramétrer et optimiser un outil de SIEM. Le paramétrage et l'optimisation sont deux notions clés pour gérer de manière optimale un SOC. Chaque outil doit être adapté au contexte est un processus métier qui le supporte.
  • À partir de cas d'usage, les stagiaires seront encadrés pour définir des règles de paramétrage pour repérer au mieux les événements et les incidents, et surtout les corriger

Formateurs

Hedi BOUDEN

Hedi B.

Consultant et formateur expert en cybersécurité

Consultant et formateur en cybersécurité avec plus de 10 ans d’expérience, il accompagne entreprises et institutions dans le renforcement de leur résilience digitale. Ingénieur en informatique, double diplômé en management de l’innovation...

En savoir plus

Ce produit a été mis à jour le 13/10/2025

Formation du catalogue Comundi pour votre entreprise dans vos locaux, chez nous ou à distance.

Demander un devis

À réception de votre demande, la validation et la mise en œuvre de votre projet sur une formation sera possible sous 48h.

Formation sur mesure adaptée aux spécificités de votre entreprise et de vos équipes.

Nos experts vous accompagnent dans votre projet.

Demander un devis

À réception de votre demande, la validation et la mise en œuvre de votre projet sur une formation sera possible sous 48h.

x
Chargement

Merci de patienter ...