Un SOC (Security Operations Center) et un CERT (Computer Emergency Response Team) sont deux structures complémentaires de la défense cybersécurité opérationnelle, mais avec des missions distinctes. Le SOC est une équipe d'entreprise qui surveille, détecte et répond en continu aux événements de sécurité sur un périmètre précis, généralement 24/7 avec des niveaux N1 à N3. Le CERT est une équipe spécialisée dans la gestion d'incidents graves, souvent au niveau sectoriel ou national, avec des missions additionnelles de threat intelligence, diffusion d'alertes, coordination inter-organisations et formation. En 2026, la majorité des grandes organisations disposent d'un SOC (interne ou via un MSSP) et font appel à un CERT sectoriel ou à un cabinet DFIR spécialisé lors d'incidents majeurs. Cet article détaille les deux structures, leurs rôles précis, les équivalents CSIRT, l'organisation en France (ANSSI CERT-FR + CERT sectoriels), les relations opérationnelles entre SOC et CERT, et les parcours carrière associés.
Définitions précises
SOC (Security Operations Center)
Un SOC est une équipe opérationnelle dédiée à la surveillance continue du SI d'une organisation. Il est l'équivalent cybersécurité d'une salle de contrôle aérien : monitoring 24/7, détection des événements anormaux, escalade et réponse aux incidents.
Fonctions principales d'un SOC :
Monitoring continu (24/7 pour les matures, 8/5 pour les petites structures)
Détection via SIEM, EDR, NDR, cloud logs, threat intelligence
Tri des alertes (Tier 1 : filtrage bruit vs vrai positif)
Investigation technique (Tier 2-3)
Réponse initiale (containment, kill process, isolation)
Reporting et tableaux de bord sécurité
Ajustement continu des règles de détectionCERT / CSIRT (Computer Emergency Response Team / Computer Security Incident Response Team)
Un CERT est une équipe spécialisée dans la réponse aux incidents de sécurité informatique, avec un périmètre élargi au-delà de la simple réponse opérationnelle. Le terme est né en 1988 à l'université Carnegie Mellon après l'attaque du Morris Worm - le premier ver majeur d'Internet. CMU a depuis déposé la marque CERT.
Fonctions principales d'un CERT :
Gestion d'incidents majeurs (DFIR approfondi, investigation, remédiation)
Threat intelligence (collecte, analyse, diffusion IOCs, TTPs)
Publication d'alertes, bulletins de vulnérabilité et avis
Coordination inter-organisations (autres CERT, pairs nationaux)
Veille technologique et recherche en sécurité
Formation et sensibilisation
Participation à réseaux internationaux (FIRST, ENISA, TF-CSIRT)Tableau comparatif SOC vs CERT
| Critère | SOC | CERT / CSIRT |
|---|---|---|
| Périmètre typique | Une organisation ou un client | Sectoriel, national ou inter-organisations |
| Disponibilité | 24/7 continue | Souvent heures ouvrées + astreinte urgence |
| Focus principal | Détection et triage continus | Gestion d'incidents graves + intelligence |
| Outils centraux | SIEM, EDR, SOAR, ticketing | DFIR tools, MISP, sandbox, forensics |
| Cadence | Minute par minute | Événement par événement (souvent critiques) |
| Livrables | Tickets, rapports, alertes | Bulletins, IOCs, advisories, threat reports |
| Compétences dominantes | Triage rapide, corrélation SIEM | DFIR profond, reverse, threat intel |
| Rôles types | SOC Analyst N1-N2-N3, Detection Engineer | CSIRT Engineer, DFIR Analyst, Threat Intel Analyst |
| Coordination externe | Limitée (client ou filiale) | Importante (FIRST, pairs, régulateurs) |
| Exemple France | SOC interne bancaire, MSSP | CERT-FR, CERT-Santé, Orange Cyberdefense CERT |
Niveaux SOC (N1-N2-N3) : structure type
Les SOC matures s'organisent en trois niveaux de compétence.
Tier 1 - SOC Analyst N1 (tri)
Rôle : filtrer alertes, classer true positive / false positive
Compétences : SIEM query basique, MITRE ATT&CK entry, ticketing
Salaire France 2026 : 32-42 k€
Progression : 12-18 mois puis N2
Tier 2 - SOC Analyst N2 (investigation)
Rôle : investigation d'alertes escaladées, corrélation multi-sources
Compétences : SIEM avancé, EDR investigation, scripting
Salaire France 2026 : 40-55 k€
Tier 3 - SOC Analyst N3 / Threat Hunter
Rôle : threat hunting proactif, tuning règles, incidents complexes
Compétences : MITRE ATT&CK avancé, DFIR basique, ML sécurité
Salaire France 2026 : 55-75 k€
Fonctions transverses SOC :
Detection Engineer : écrit règles Sigma, KQL, SPL, EQL
SOC Lead / Manager : pilotage équipe, métriques, roadmap
Incident Responder (souvent en CSIRT interne)Cadence opérationnelle type
Journée SOC typique :
07h-09h : revue night shift, priorisation alertes restantes
09h-12h : investigation tickets Tier 2, briefing Threat Intel
12h-14h : handover, lunch, monitoring passif
14h-18h : new alerts investigation, tuning règles
18h-22h : astreinte ou rotation night shift
22h-07h : night shift (selon maturité 24/7 ou astreinte)
Événements critiques :
War room si incident majeur
Escalade CSIRT interne ou CERT externe
Procédures d'incident documentées (runbooks)Organisation CERT en France 2026
La France dispose d'un écosystème riche de CERT/CSIRT, coordonnés par l'ANSSI.
CERT-FR (ANSSI)
Autorité nationale de référence, rattachée à l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Quatre missions principales :
- Gestion des incidents cybersécurité sur le périmètre OIV (Opérateurs d'Importance Vitale), OSE (Opérateurs de Services Essentiels) et organismes publics.
- Opération d'un SOC pour les services de l'État.
- Diffusion d'alertes, bulletins de vulnérabilité et avis publics sur cert.ssi.gouv.fr (les célèbres CERTFR-YYYY-AVI-NNNN et CERTFR-YYYY-ALE-NNNN).
- Participation aux réseaux internationaux FIRST, ENISA CSIRT Network, TF-CSIRT Trusted Introducer.
Publications CERT-FR typiques :
CERTFR-AVI-NNNN : Avis de sécurité (vulnérabilités logicielles)
CERTFR-ALE-NNNN : Alertes (attaques en cours, IOCs)
CERTFR-IOC-NNNN : Partage d'IOCs machine-readable
CERTFR-CTI-NNNN : Cyber Threat Intelligence
CERTFR-NOTE-NNNN : Notes d'information et guidesCERT sectoriels accrédités France
CERT-Santé
Secteur : santé, hôpitaux, établissements publics
Organisme : Agence du Numérique en Santé (ANS)
Critique depuis vagues ransomware 2020-2023 hôpitaux
CERT-Banque (InterCERT France)
Secteur : banques, financier
Organisme : GIE Cartes Bancaires, FBF
CERT-IST (InterCERT France)
Secteur : industriel français
Organisme : club historique créé 1999
CERT-Industrie (depuis 2024)
Secteur : OT / SCADA, usines
Organisme : ANSSI + industriels
CSIRT régionaux ANSSI (déploiement 2021-2026)
15+ CSIRT régionaux (Auvergne-Rhône-Alpes, Grand Est,
Bourgogne-Franche-Comté, Normandie, Nouvelle-Aquitaine, etc.)
Cible : collectivités et ETI régionales
CERT-Gouv
Secteur : services de l'État
Opéré par ANSSICERT d'entreprise privée (+30 en France)
De nombreux grands groupes opèrent leur propre CSIRT interne, parfois accrédité FIRST :
- Orange Cyberdefense CERT, Airbus CyberSecurity CERT, Thales CERT-IST, Atos BDS CERT, Capgemini CERT.
- CERT Société Générale, CERT BNP Paribas, CERT-Groupe Crédit Agricole.
- CERT-TOTAL, CERT-EDF, CERT-SNCF.
- Ministère des Armées : CALID (Centre d'Analyse en Lutte Informatique Défensive).
Relations opérationnelles entre SOC et CERT
SOC et CERT ne travaillent pas en silos. Schéma type d'une collaboration en 2026.
Incident détecté par le SOC (ex. ransomware qui chiffre des machines)
│
├── Tier 1 SOC : alerte reçue, tri initial (true positive)
│
├── Tier 2 SOC : investigation, containment via EDR
│ (isoler les machines compromises)
│
├── Tier 3 SOC : escalade si incident majeur
│ → Déclaration à CSIRT interne de l'organisation
│
├── CSIRT interne : pilote la war room, coordonne
│ - Forensics approfondi (Velociraptor, KAPE, Magnet AXIOM)
│ - Reverse du ransomware si inédit
│ - Communication interne (COMEX, DPO, juridique)
│ - Déclaration CNIL si données personnelles
│
└── CERT externe (selon gravité et périmètre) :
- CERT-FR pour OIV/OSE → signalement via MonEspaceNIS2
- CERT sectoriel (Santé, Banque) pour partage IOCs
- Cabinet DFIR externe (Mandiant, Lexfo, Synacktiv)
si expertise interne insuffisante
- Assureur cyber pour déclaration sinistreMissions typiques comparées
Missions SOC au quotidien
Monitoring et détection :
Revue des alertes SIEM (Splunk, Sentinel, Elastic)
Analyse des détections EDR (CrowdStrike, SentinelOne, Defender)
Corrélation cross-source (EDR + NDR + cloud logs)
Threat hunting proactif sur hypothèses
Triage et réponse :
Classification true positive / false positive
Containment initial (isoler endpoint, disable user)
Collecte d'artefacts pour investigation N2
Tuning règles de détection
Reporting :
Tableaux de bord KPIs (MTTD, MTTR, volumes alertes)
Rapports hebdomadaires top menaces
Revue mensuelle efficacité SOCMissions CERT / CSIRT
Réponse à incident grave :
Investigation forensique approfondie (mémoire, disque, réseau)
Reverse engineering de malware inédit
Coordination war room multi-équipes
Gestion de crise avec COMEX et parties prenantes
Threat intelligence :
Collecte IOCs (MISP, feeds commerciaux)
Analyse TTP groupes adversaires (APT29, FIN7, Lapsus$, Lazarus)
Publication bulletins internes et externes
Partage avec pairs (FIRST, ENISA, peer CERT)
Prévention et formation :
Publications techniques publiques (CERTFR-AVI, notes d'info)
Exercices red team vs blue team
Formation des SOC internes
Participation groupes de travail sectoriels
Coordination :
Liaison régulateurs (ANSSI, CNIL, AMF)
Échange avec autres CERT (sectoriels, nationaux, étrangers)
Interventions presse lors d'incidents majeursExemples concrets de cas traités
Cas SOC typique - phishing avec clic utilisateur
09:14 SOC reçoit alerte Defender : exécution PowerShell suspecte
depuis document Word sur poste RH
09:15 Tier 1 confirme true positive (ligne de commande obfusquée)
09:17 Tier 2 investigue : download d'un stager depuis domaine C2
09:22 Containment : endpoint isolé via EDR, user disabled Entra ID
09:30 Recherche IOCs sur le parc (aucun autre endpoint affecté)
09:45 Reset password user, ticket helpdesk pour poste à réimager
10:30 Rapport Tier 2 clôturé, règle de détection ajustéeDurée totale : 1h15. Pas d'escalade CSIRT nécessaire.
Cas CERT typique - campagne ransomware ciblée
Jour J Détection par SOC : chiffrement en cours sur 40 serveurs
Containment urgent, escalade immédiate CSIRT interne
Jour J CSIRT ouvre war room, appel Mandiant (MSSP DFIR)
Déclaration CERT-FR (OIV) sous 24h via MonEspaceNIS2
Déclaration CNIL si PII (sous 72h)
Jour J+1 Forensics : identification de la souche (LockBit variant)
Recherche patient zéro : phishing ciblé 3 jours avant
Cartographie du lateral movement via BloodHound offensif
Jour J+3 Reverse du ransomware, récupération partielle clés
Éradication : rotation credentials, réinstallation AD
Communication interne + externe coordonnée COMEX
Jour J+7 Rapport CERT-FR complet, partage IOCs avec sectoriels
Lessons learned, PAP (plan d'action post-mortem)
Publication externe anonymisée si impact large
Semaines+ Reconstruction SI, amélioration détection
Possible recours assurance cyberDurée totale : plusieurs semaines, implication CSIRT interne + cabinet DFIR externe + CERT-FR + régulateurs.
Métiers et parcours carrière
Trajectoire SOC
SOC Analyst N1 (32-42 k€)
→ 12-18 mois
SOC Analyst N2 (40-55 k€)
→ 18-24 mois
SOC Analyst N3 / Threat Hunter (55-75 k€)
→ 2-3 ans
SOC Lead ou Detection Engineer (65-90 k€)
→ 3-5 ans
SOC Manager (80-120 k€) ou bascule CSIRTTrajectoire CSIRT / CERT
Entrée typique : 3-5 ans d'expérience SOC ou DFIR
↓
CSIRT Analyst / Incident Responder (50-75 k€)
↓
CSIRT Senior / DFIR Consultant (75-110 k€)
↓
CSIRT Lead (100-140 k€)
↓
Head of CSIRT ou CISO (140-200 k€+)
Voies alternatives :
Threat Intelligence Analyst (70-110 k€)
DFIR Consultant en cabinet (Mandiant, Wavestone, Lexfo)
Freelance DFIR (TJM 900-1500 €/jour avec expertise)
CERT gouvernemental (ANSSI, DGSI, Ministère Armées)Certifications clés 2026
Pour le SOC
- CompTIA Security+ : entrée de gamme, valide les fondamentaux.
- CompTIA CySA+ : orienté analyste SOC.
- Blue Team Level 1 / 2 (BTL1 / BTL2) : hands-on, très valorisé.
- GCIH (SANS) : incident handling, référence.
- Splunk Core Certified : pour environnements Splunk.
- Microsoft SC-200 : Sentinel et Defender.
Pour le CERT / DFIR
- GCFA (SANS) : forensics avancé.
- GCFE (SANS) : Windows forensics examiner.
- GREM (SANS) : malware reversing.
- GNFA (SANS) : network forensics.
- CREA (Mile2) : reverse engineering.
- EnCase CFSR / CCE : forensics commerciales.
Points clés à retenir
- SOC = équipe opérationnelle continue qui surveille, détecte, répond aux événements quotidiens. CERT = équipe spécialisée dans les incidents graves + threat intelligence + coordination inter-organisations.
- CERT est le terme historique (CMU 1988, marque déposée) ; CSIRT est le terme générique FIRST / ENISA. Utilisés indifféremment en 2026.
- France : CERT-FR (ANSSI) est l'autorité nationale. Écosystème riche avec CERT-Santé, CERT-Banque, CERT-IST, 15+ CSIRT régionaux, 30+ CERT d'entreprise.
- SOC structuré en 3 niveaux (N1 tri, N2 investigation, N3 threat hunting) + fonctions transverses (Detection Engineer, SOC Manager).
- Relations SOC ↔ CSIRT : le SOC détecte et escalade, le CSIRT pilote l'incident majeur. La déclaration au CERT-FR est obligatoire NIS2 pour OIV/OSE sous 24h.
- Trajectoire carrière : SOC N1 → N2 → N3 → Detection Engineer ou SOC Manager. Bascule CSIRT / DFIR à 3-5 ans d'expérience avec expertise forensique.
- Certifications : Security+, CySA+, BTL1/BTL2, GCIH pour SOC ; GCFA, GREM, GNFA pour CSIRT/DFIR.
Pour approfondir les outils de détection utilisés au quotidien dans un SOC, voir qu'est-ce qu'un EDR : définition, fonctionnement, outils 2026. Pour comprendre comment gérer les permissions cloud côté prévention, lire CIEM : définition, fonctions et outils 2026. Pour un parcours structuré vers blue team et SOC, la roadmap DevSecOps 2026 détaille les étapes.
