Méthodologie

Analystes SOC : quelles sont les compétences nécessaires aujourd’hui ?

Le rôle d'un analyste SOC est en train de changer car la cybersécurité connaît une transformation rapide et importante. Quels changements ? Avec quel impact ?
13 min

Selon Gartner, les grandes organisations déploient aujourd’hui en moyenne 473 outils, et plus l’adoption des outils de sécurité augmente, plus les attaques sophistiquées se multiplient.  

Dans le même temps, nous commençons à peine à appréhender l’impact de la Gen-AI sur la cybersécurité, son influence sur les menaces, les stratégies de défense, et sur la manière dont les professionnels de la cybersécurité travaillent au quotidien.  

Dans un secteur qui s’efforce de combler un déficit de talents de 3 millions de professionnels qualifiés, les analystes SOC doivent naviguer habilement dans ce contexte ! Qu’est-ce que cela signifie ? Qu’il existe une opportunité de propulser les carrières SecOps en tirant parti de ces tendances !  

Comment s’adapter, développer des compétences indispensables et anticiper l’évolution des demandes autour du rôle d’analyste SOC ?   

Anouck Teiller, Chief Strategy Officer chez HarfangLab, et Jean-Baptiste Joly, Security Engineer and Lead Customer Success chez Mindflow, explorent le sujet et proposent leur vision de l’avenir du SOC.  

Les ressources dans le domaine de la cybersécurité aujourd’hui 

Les études actuelles permettent de tirer trois grands enseignements en ce qui concerne les ressources dans le domaine de la cybersécurité. 

Pénurie de professionnels de la cybersécurité 

Tout d’abord, un manque de talents : la Commission européenne a lancé une étude en 2023 et a conclu qu’en Europe, la pénurie de professionnels de la cybersécurité est proche d’un million de personnes (environ 883 000).  

Entre 2013 et 2023, le nombre d’offres d’emploi en cybersécurité en Europe a été multiplié par 5 et, inévitablement, plus de la moitié des entreprises européennes ont déclaré avoir des difficultés à trouver des experts en cybersécurité. 

Manque d’adaptation des compétences 

Deuxièmement, le manque global de ressources est également exacerbé par le manque d’adaptation en termes de compétences. L’ANSSI a ainsi estimé que plus de 70% des professionnels de la cybersécurité n’ont pas de formation dédiée en cybersécurité.   

Cela signifie que les professionnels de la cybersécurité apprennent surtout sur le terrain mais aussi qu’ils risquent de ne pas acquérir les compétences nécessaires pour s’intégrer dans le paysage actuel de la cybersécurité.  

Par exemple, si la sécurité des réseaux reste un enjeu majeur, le nombre de professionnels nécessaires dans ce domaine particulier de la cybersécurité diminue rapidement, contrairement à la sécurité des applications ou à la détection et à la réponse.   

Un paysage en constante évolution   

Enfin, la cybersécurité est en constante évolution : les outils et les technologies se diversifient et deviennent de plus en plus avancés, les attaquants mettent à jour leurs méthodes, les fondements informatiques sous-jacents évoluent rapidement avec le Cloud et l’IA par exemple.   

Rester à jour à jour est un véritable défi, et compter uniquement sur la curiosité individuelle et la volonté d’apprendre, même si elle est très répandue dans le domaine de la cybersécurité, est une stratégie hasardeuse. Aujourd’hui, cependant, il n’existe pas grand-chose pour organiser et planifier cette formation continue qui est nécessaire dans le domaine.   

Les principales évolutions de ces dernières années pour les SOC  

Le paysage de la cybersécurité a connu plusieurs évolutions notables. Ces changements reflètent des tendances plus larges en matière de technologie, de menaces de cybersécurité et d’approches organisationnelles de la sécurité, causées par l’émergence de la dématérialisation. 

Ainsi, les fondements technologiques des SOC ont évolué de manière significative.   

Par exemple, en 2016, de nombreux outils étaient encore sur site, avec une forte dépendance aux solutions traditionnelles telles que des SIEM.   

D’ici 2021, on observe une évolution marquée vers des plateformes basées sur le Cloud, intégrant des capacités plus avancées d’apprentissage automatique et d’intelligence artificielle pour la détection et la réponse aux menaces. 

Cloud et IA : un changement radical pour les analystes SOC ?  

Si les mécanismes d’attaque n’ont pas changé, les vecteurs, eux, ont évolué. Par exemple, sur un PC, on peut installer un malware pour capturer le trafic réseau du PC. Dans le Cloud aussi. Que ce soit dans un cluster Kubernetes ou une infrastructure AWS, on peut toujours déployer un agent pour observer le trafic réseau des machines virtuelles. À cet égard, le Cloud et l’intelligence artificielle ne changent pas la donne.  

Cependant, ils changent définitivement la donne en termes de compétences : nous devons passer d’une expertise réseau et système à des compétences liées aux technologies Cloud.  

Cela implique une augmentation du nombre d’outils à maîtriser, d’API à connaître… et la prochaine étape, qui a déjà commencé, est celle des compétences liées à l’automatisation. 

Le rôle des fournisseurs de logiciels dans l’évolution des SOC 

Dans tout nouveau marché, le rôle des fournisseurs de logiciels est crucial. Dans le cas de l’IA, par exemple, dans le domaine de la cybersécurité, les fournisseurs de logiciels de cybersécurité créent le marché, tout comme ChatGPT a créé le marché de la Gen-AI.    

Cela signifie que les fournisseurs ont la responsabilité de soutenir les utilisateurs dans le développement de leurs compétences, de les aider à aller au-delà des outils, à déployer de nouvelles méthodologies, à recueillir de nouvelles informations… Comment cela fonctionne-t-il ? Voici quelques exemples de points méthodologiques sur lesquels Mindflow (plateforme d’automatisation et d’orchestration no-code et pilotée par l’IA) et HarfangLab accompagnent leurs utilisateurs. 

Comprendre et déployer une méthodologie d’automatisation 

L’automatisation est essentielle pour alléger la charge de travail des analystes SOC, mais il est indispensable de comprendre ce qui doit être automatisé et comment pour une utilisation et une adoption optimales.   

Dans l’optique du principe de Pareto, l’identification des activités qui “prennent 80% du temps mais ne contribuent qu’à 20% de la valeur” est souvent un excellent point de départ pour l’automatisation.  

Il faut pour cela quantifier les tâches et le temps qu’elles requièrent par rapport à leur utilité en termes de cybersécurité afin de hiérarchiser efficacement les efforts d’automatisation, en veillant à ce que l’automatisation ne soit pas effectuée pour le plaisir d’automatiser, mais selon des choix stratégiques qui amélioreront la productivité. Dans ce sens, HarfangLab EDR propose des connecteurs avec des outils qui facilitent justement l’automatisation, tels que Mindflow (évidemment) ou encore Palo Alto. 

Cette analyse est particulièrement facilitée lorsque les solutions de cybersécurité offrent une visibilité sur leur fonctionnement (comme le fait HarfangLab EDR pour sa détection et ses alertes, par exemple), ce qui permet de bien les comprendre, préalable indispensable à l’automatisation.    

Développer la pensée algorithmique 

L’automatisation ne nécessite pas de compétences en développement. Cependant, une compréhension de base de la logique algorithmique peut profondément améliorer la capacité à automatiser des tâches, même dans un environnement no-code tel que celui de Mindflow.  

Un workflow consiste essentiellement à visualiser un algorithme. Il s’agit de définir une séquence d’événements : “Si ceci se produit, alors cela se produit ; si je fais ceci, alors cela se produit”.  

Ce type de réflexion permet de concevoir des processus automatisés plus efficaces et plus fiables. 

Comprendre et utiliser les API 

Enfin, une compétence fondamentale dans l’automatisation de la cybersécurité aujourd’hui est la compréhension et l’utilisation des API. Il est essentiel de savoir ce qu’est une API, comment l’appeler et quelles sont les méthodes d’authentification associées. L’utilisation de l’interface utilisateur d’une solution est très différente de l’appel à son API. Les champs, les noms et les méthodologies ne sont pas les mêmes, ce qui nécessite une approche différente. Cela signifie également que les fournisseurs de solutions de cybersécurité doivent rendre leur outil compatible avec les API afin d’optimiser les processus SOC – un point également pris en compte par HarfangLab EDR.  

Apprendre à interagir avec les API n’élargit pas seulement la palette d’outils du SOC, mais ouvre également un nouveau champ de possibilités d’automatisation. Cela permet d’intégrer et d’automatiser des tâches sur plusieurs plateformes, améliorant ainsi l’efficacité et la réactivité du SOC.  

En résumé, l’adoption de l’automatisation n’est pas seulement une question de changement de compétences, c’est une philosophie opérationnelle entièrement nouvelle ; et les analystes SOC ont besoin d’être soutenus dans cette transition. Les éditeurs de solutions de cybersécurité doivent fournir aux analystes SOC les outils et les connaissances nécessaires pour y répondre à ces défis.  
Aujourd’hui, avec le développement de l’automatisation dans les outils de sécurité informatique de pointe, alors que l’automatisation continue de croître, le SOC pourrait-il disparaître ? 

Les analystes SOC face à un avenir fait d’automatisation et d’IA

Nous aurons toujours besoin de l’expertise des analystes SOC pour évaluer les menaces et les alertes, et pour réagir de manière appropriée, même avec l’automatisation et l’intelligence artificielle.   

Cependant, leur travail va changer, ils devront s’adapter et acquérir de nouvelles compétences. 

Configuration et supervision plus avancées des technologies 

Les analystes SOC interviendront certainement moins dans le triage et la surveillance d’alertes individuelles que dans la configuration avancée des technologies de supervision.   

Aujourd’hui, le tri des alertes et la définition de leur criticité constituent l’essentiel du travail d’un analyste SOC. C’est au cœur de leur routine quotidienne.   

L’IA et l’automatisation ainsi que l’amélioration des outils de cybersécurité vont considérablement réduire cette charge. Le rôle d’un analyste SOC va donc probablement se recentrer sur la capacité à mettre en œuvre correctement une stratégie de détection et de réponse automatisée.  
Les analystes SOC auront un rôle clé dans la configuration de tous les outils pertinents : établir les listes blanches et noires appropriées, créer les niveaux d’alerte pertinents face à des menaces spécifiques, s’assurer que leurs outils de cybersécurité communiquent bien entre eux…   

Ils ne devraient pas être livrés à eux-mêmes dans cette redéfinition de leur rôle, et les fournisseurs de solutions de cybersécurité ont la responsabilité de proposer des outils qui permettent ces configurations.  

C’est exactement la raison pour laquelle HarfangLab a choisi de développer un EDR 100% transparent et entièrement APIsable, afin de répondre aux besoins des analystes SOC et de faciliter leur travail, sachant pertinemment qu’ils ne peuvent pas être remplacés. 

Plus de polyvalence, de la surveillance à la réponse en passant par l’investigation 

Les analystes SOC devront également être plus polyvalents. Cela signifie qu’ils devront être capables de :   

  • passer de la surveillance à l’investigation, et même pouvoir proposer une réponse appropriée à l’incident,   
  • fournir des informations opérationnelles sur la sécurité de l’organisation, 
  • interconnecter et déployer des outils de cybersécurité supplémentaires et construire une stack cybersécurité à l’état de l’art. 

Il s’agit là de tâches supplémentaires que les analystes SOC pourraient être amenés à assumer de plus en plus souvent, et qu’ils devraient maîtriser pour rester performants sur le marché du travail.   

Un autre changement intéressant qui pourrait se produire est que l’ancienneté des analystes augmentera au fil du temps et à mesure que certains analystes acquerront plus de compétences et d’expérience.  
Aujourd’hui, les analystes SOC ont pour la plupart moins de 40 ans et ne restent pas analystes SOC plus de quelques années en raison des contraintes de ce rôle. Intégrant plus d’automatisation, mais aussi des tâches plus diversifiées, les analystes SOC pourraient être amenés à rester plus longtemps en poste et gagner en ancienneté. 

Même si les changements à venir sont importants, une chose reste sûre : la cybersécurité restera basée sur l’expertise humaine, dont celle des analystes SOC, et cela n’est pas près de changer.  

Nous avons parlé précédemment du rôle des fournisseurs de solutions de cybersécurité, et il est également de leur responsabilité de s’assurer que les outils et les technologies profitent à tout le monde et pas seulement à quelques-uns. Ainsi, c’est à eux qu’il incombe de veiller à la transparence, à l’éthique, à la responsabilité et à l’équité ! 

En conclusion, quelles sont les compétences sur lesquelles se concentrer et à évaluer pour les analystes SOC ?   

La connaissance reste fondamentale pour réussir dans la cybersécurité : comprendre les menaces, les technologies à protéger, les outils pour sécuriser les technologies de l’information, et les approches théoriques sur lesquelles repose la cybersécurité, est primordial et devrait être une compétence prioritaire pour tout professionnel de la cybersécurité.  

En ce qui concerne les analystes SOC, certaines compétences doivent être recherchées en priorité. 

Automatisation (ou au moins automatisation no-code) 

Le travail manuel, du triage au reporting, est une source majeure de frustration pour les analystes SOC. Néanmoins, ils sont les seuls à pouvoir prendre en main ce sujet, et à intégrer l’automatisation nécessaire pour alléger leur charge de manière efficace.   

Cela implique qu’ils doivent savoir comment utiliser l’automatisation et la configuration des API pour développer des playbooks pertinents.   

Bien que les technologies puissent contribuer à ce changement, les analystes SOC doivent avoir les compétences nécessaires pour diriger de tels projets. 

Configuration des outils 

La capacité à exploiter le potentiel des outils de cybersécurité par une configuration et une interconnexion adéquates est une compétence essentielle pour un analyste SOC.  

Le simple déploiement d’un outil de cybersécurité standard ne permettra pas d’atteindre le niveau de cybersécurité souhaité, car il ne sera pas adapté à l’environnement de l’organisation et aux menaces auxquelles elle est confrontée.   

Cela signifie que les analystes SOC doivent être capables d’entreprendre cette configuration… et de choisir des outils de cybersécurité dans cet objectif. 

Reporting 

La rédaction de rapports reste l’une des principales tâches des analystes SOC. La capacité à élaborer des rapports pertinents pour différents types de parties prenantes, depuis le niveau opérationnel d’une autre équipe de cybersécurité, qu’il s’agisse du CERT ou de l’équipe infra, jusqu’au niveau de la direction en cas de violation ou d’attaque, est une valeur ajoutée apportée par les analystes SOC. 

Soft skills : curiosité et adaptabilité 

Les changements rapides dans le domaine de la cybersécurité et dans le monde numérique ont bouleversé le périmètre de l’analyste SOC, et ce n’est pas près de s’arrêter !   

L’analyste SOC doit faire preuve d’une grande capacité d’adaptation : être capable de maîtriser rapidement de nouveaux outils, de proposer de nouvelles méthodes, d’intégrer de nouvelles missions.  

Et là encore, c’est le rôle des fournisseurs de solutions de cybersécurité de proposer des outils qui facilitent leur travail et leur permettent de relever ces nouveaux défis. 

Conseils de pro 

Comment développer des compétences non techniques, un réseau et des connaissances en tant qu’analyste SOC ?

  • Rejoindre une communauté  
  • Rejoindre un CERT 
  • Partager les connaissances avec ses pairs

Regardez le webinaire ici :