Zeroday Cyber Academy

Reconversion cybersécurité

Roadmap analyste SOC 2026 : de L1 à L3 en 3 ans

Roadmap complète pour devenir analyste SOC en 2026 : L1, L2, L3. Compétences, outils SIEM et EDR, certifications, home lab, salaires et pièges courants.

Naim Aouaichia
13 min de lecture
  • Roadmap
  • Parcours apprentissage
  • SOC
  • Analyste SOC
  • SIEM
  • EDR
  • XDR
  • MITRE ATT&CK
  • Threat hunting
  • Certifications
  • Reconversion
  • Blue Team
  • Detection Engineering
  • Incident Response

Devenir analyste SOC (Security Operations Center) en France en 2026 suit une trajectoire balisée en trois paliers opérationnels — L1, L2, L3 — qui s'enchaînent sur 3 à 5 ans selon l'intensité d'apprentissage et la taille de la structure. La progression repose sur trois axes complémentaires : maîtrise des outils de détection (SIEM, EDR/XDR, SOAR), compréhension des tactiques adverses via MITRE ATT&CK, et pratique d'investigation sur incidents réels ou simulés. Cet article détaille la roadmap complète par phase, les compétences concrètes à acquérir, les certifications à privilégier, le home lab recommandé et les pièges courants qui ralentissent ou bloquent la progression en carrière.

Le métier d'analyste SOC en trois niveaux

Le SOC est l'unité opérationnelle qui détecte, analyse et répond aux incidents de sécurité sur le périmètre technique d'une organisation. La structuration en trois niveaux (tiers) est quasi universelle, avec des variantes sectorielles.

NiveauExpérience typiqueMissions principalesAutonomie
L1 (tier 1)0-2 ansTriage alertes SIEM/EDR, enrichissement initial, application de playbooks, escaladeFaible, cadrée par procédures
L2 (tier 2)2-5 ansInvestigation incidents escaladés, corrélation multi-sources, contribution règles de détection, coordination IRModérée, autonome sur incidents standards
L3 / threat hunter5+ ansChasse proactive, detection engineering (Sigma, KQL, SPL), reverse engineering léger, architecture de détectionForte, pilotage stratégique
SOC Manager / Lead8+ ansPilotage opérationnel, relation client (MSSP) ou métier (interne), KPI, évolution plateformeTotale, responsabilité managériale

La frontière entre L2 et L3 dépend fortement du contexte. Dans un SOC interne grand compte (banque, énergie), le L3 inclut souvent le detection engineering et l'architecture de la plateforme SIEM/SOAR. Dans un SOC managé (MSSP — managed security service provider type Orange Cyberdefense, Thales, Atos, Sopra Steria), le L3 reste davantage opérationnel avec une spécialisation sectorielle client.

Prérequis techniques avant de viser un SOC L1

Postuler en SOC sans fondations techniques solides conduit à un échec rapide en période d'essai. Les prérequis minimaux avant même de candidater sur un poste L1 sont stabilisés depuis plusieurs années.

Réseau et protocoles

  • TCP/IP, modèle OSI, ports applicatifs usuels (80, 443, 22, 53, 445, 3389, 389, 636, 88).
  • Protocoles applicatifs : HTTP/HTTPS, DNS, SMB, LDAP, Kerberos, RDP.
  • Analyse de capture Wireshark de base : identifier un scan, un transfert DNS suspect, un flux SMB anormal.

Systèmes d'exploitation

  • Windows : processus, services, registre, journal d'événements (Event Viewer), comptes et SID, GPO.
  • Active Directory : structure (forêt, domaine, OU), authentification NTLM/Kerberos, comptes privilégiés.
  • Linux : bash, journaux /var/log/*, cron, services systemd, commandes réseau (ss, netstat, tcpdump).

Bases sécurité

  • CIA triad (confidentialité, intégrité, disponibilité).
  • Types d'attaques courants : phishing, malware, lateral movement, privilege escalation, exfiltration.
  • Introduction à MITRE ATT&CK : tactiques (TA0001 à TA0040) et techniques majeures.

Bases logs et indicateurs

  • Savoir lire un log Windows (EventID 4624, 4625, 4688, 4720, 4672, 4768).
  • Savoir lire un log Sysmon (EventID 1, 3, 7, 10, 11).
  • Comprendre la différence IOC (indicator of compromise) vs TTP (tactics/techniques/procedures).

Scripting minimal

  • Lecture et modification de scripts Python et PowerShell simples (parsing de logs, automation de requêtes).

Ces prérequis représentent environ 2-4 mois de travail ciblé pour un profil admin sys/réseau ou support IT, 4-6 mois pour un profil développeur sans exposition infra, 6-9 mois pour un profil non-tech en reconversion.

Phase 1 — Mois 0 à 6 : fondations et premières pratiques SIEM

Objectif de la phase : consolider les prérequis techniques et acquérir les premiers réflexes d'analyste via home lab et plateformes d'entraînement.

Semaines 1 à 8 : fondations système et réseau

  • Compléter les prérequis réseau et OS listés ci-dessus si partiels.
  • Monter un home lab basique : Windows 10/11, Windows Server 2022 avec AD, Ubuntu, pfSense ou OPNsense.
  • Activer Sysmon sur le Windows avec la configuration de référence SwiftOnSecurity.

Semaines 8 à 16 : premières investigations

  • Lancer TryHackMe path « SOC Level 1 » : ~30 salles, couverture SIEM/EDR/playbooks.
  • Enchaîner sur Blue Team Labs Online (BTLO) — challenges gratuits puis abonnement mensuel (~15 €).
  • Introduction aux règles Sigma : lire, comprendre, adapter une règle existante.

Semaines 16 à 24 : SIEM en pratique + préparation certification

  • Installer Elastic Security (stack ELK) ou Security Onion en home lab.
  • Ingérer les logs du home lab (Windows, Sysmon, pfSense, Zeek).
  • Créer 5-10 règles de détection couvrant T1078 (valid accounts), T1021 (remote services), T1059 (command and scripting interpreter).
  • Préparer et passer Security+ ou Blue Team Level 1 (BTL1).

Phase 2 — Mois 6 à 12 : premier poste L1 et montée en rythme

Objectif : décrocher un premier poste L1 en ESN, MSSP ou SOC interne, et absorber le rythme opérationnel.

Mois 6 à 9 : recherche active

  • Cibler trois canaux : ESN de placement SOC (Orange Cyberdefense, Thales, Sopra Steria, Advens, Almond, I-Tracing), SOC internes grands comptes (banques, CAC40 technologies), jobs boards spécialisés (LeHack Jobs, Welcome to the Jungle cyber).
  • CV axé sur : certifications passées, home lab décrit concrètement (schéma + logs ingérés + règles créées), 3-5 investigations BTLO ou LetsDefend rédigées en report professionnel.
  • Viser 50-100 candidatures actives sur 2-3 mois. Taux de conversion typique : 10-20 % entretiens, 2-5 % offres.

Mois 9 à 12 : prise de poste L1 et consolidation

  • Maîtriser le SIEM de l'entreprise (Splunk / Sentinel / QRadar / Elastic) sur les use cases internes.
  • Comprendre les playbooks maison, commencer à les challenger de manière constructive.
  • Tenir un journal personnel des TTP observées, des fausses positives identifiées, des règles à améliorer.

Outils à maîtriser en fin de phase 2

FamilleOutils leaders France 2026
SIEMSplunk Enterprise, Microsoft Sentinel, IBM QRadar, Elastic Security
EDR/XDRCrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, Palo Alto Cortex XDR
SOARSplunk SOAR, Cortex XSOAR, Tines, Microsoft Sentinel playbooks
Threat IntelMISP, OpenCTI, VirusTotal Enterprise, Mandiant Advantage
Forensics légerVelociraptor, GRR, Autopsy, FTK Imager
SandboxJoe Sandbox, Any.Run, CAPE, Cuckoo

Phase 3 — Mois 12 à 24 : transition L1 vers L2

Objectif : passer de l'exécution de playbooks à l'investigation autonome et à la contribution aux règles de détection.

Compétences clés à acquérir

  • Investigation approfondie multi-sources : corréler un alerte EDR avec les logs SIEM, les flux réseau (Zeek/Suricata), l'audit AD. Reconstruire un timeline d'attaque.
  • Analyse de malware au niveau behavioural : exécuter un binaire suspect en sandbox, lire le rapport, extraire les IOC.
  • Introduction au reverse engineering : premières manipulations Ghidra sur des binaires simples (démarrage, pas encore obfusqués).
  • Detection engineering basique : écrire des règles Sigma couvrant des techniques ATT&CK précises et les traduire dans le langage du SIEM interne (SPL pour Splunk, KQL pour Sentinel, AQL pour QRadar).
  • Scripting Python opérationnel : automatiser un enrichissement (appel VirusTotal, MISP, OpenCTI), parser un log custom, extraire des indicateurs.

Certifications recommandées en phase 3

  • CompTIA CySA+ si non passée.
  • GIAC GCIA (intrusion analyst) ou GCIH (incident handler) si financement employeur disponible.
  • BTL2 (Blue Team Level 2) en alternative pratique à 800-900 €.

Exemple de règle Sigma typique à savoir produire

title: Suspicious PowerShell Download via Net.WebClient
id: d52e6042-28c2-4a6c-b4a3-61c8f1c8e6b5
status: experimental
description: Detects PowerShell processes using Net.WebClient DownloadString pattern, commonly used in droppers and initial access via phishing.
author: SOC Team
date: 2026/04/23
tags:
  - attack.execution
  - attack.t1059.001
  - attack.command_and_control
  - attack.t1105
logsource:
  product: windows
  category: process_creation
detection:
  selection_img:
    Image|endswith:
      - '\powershell.exe'
      - '\pwsh.exe'
  selection_cmd:
    CommandLine|contains|all:
      - 'Net.WebClient'
      - 'DownloadString'
  condition: selection_img and selection_cmd
falsepositives:
  - Legitimate admin scripts signed by enterprise tooling
  - Software distribution platforms using PowerShell bootstrap
level: high

Savoir lire, adapter et écrire une règle Sigma de cette forme est l'un des critères de bascule L1 → L2 les plus concrets en entretien interne.

Phase 4 — Mois 24 à 36 : L2 consolidé ou bascule vers L3 / spécialisation

Objectif : stabiliser la position L2 et préparer la spécialisation parmi quatre trajectoires possibles.

Trajectoire 1 : L3 threat hunter — orientation chasse proactive sans alerte, design d'hypothèses de menace, validation via SIEM/EDR. Forte demande en banque, énergie, défense. Salaire France 2026 : 60-85 k€.

Trajectoire 2 : Detection Engineering — création et maintenance des règles de détection en central, ownership de la qualité (réduction des faux positifs, couverture ATT&CK). Salaire France 2026 : 65-95 k€.

Trajectoire 3 : DFIR (digital forensics and incident response) — investigation approfondie des incidents majeurs, chaîne de possession, reporting légal. Nécessite certifications GCFA ou GREM. Salaire France 2026 : 65-100 k€.

Trajectoire 4 : Cyber Threat Intelligence (CTI) — collecte, corrélation et diffusion d'intelligence sur les acteurs malveillants. Plus analytique et stratégique, nécessite des compétences en OSINT et langues (anglais obligatoire, russe ou mandarin utiles). Salaire France 2026 : 55-90 k€.

Le choix dépend des appétences révélées en phase 2-3. Un analyste qui aime creuser un incident jusqu'au dernier paquet ira naturellement en DFIR. Un profil qui s'éclate sur la créativité des règles Sigma et la réduction de faux positifs ira en detection engineering.

SpécialisationCertification cibleHorizon acquisition
Threat hunter L3GIAC GCTI, SANS FOR5723-5 ans de SOC
Detection EngineerAucune certif dominante, portfolio GitHub de règles Sigma3-4 ans de SOC
DFIRGIAC GCFA, GREM4-6 ans de SOC + bascule IR
CTIGIAC GCTI, EC-Council CTIA3-5 ans de SOC + exposition renseignement

Home lab SOC recommandé

Un home lab est non négociable pour progresser. La configuration minimale en 2026 tourne sur une machine 16-32 Go RAM avec virtualisation (Hyper-V, VMware Workstation, Proxmox).

Composants :

  • 1 contrôleur de domaine Windows Server 2022 avec Active Directory et 2-3 comptes utilisateurs simulés.
  • 1 poste Windows 10/11 joint au domaine avec Sysmon (config SwiftOnSecurity) et Winlogbeat.
  • 1 serveur Linux Ubuntu avec auditd, Zeek et Suricata.
  • 1 pfSense ou OPNsense en coupure pour visibilité réseau.
  • 1 stack SIEM : Security Onion 2.x ou Elastic Stack autonome, avec Kibana pour la visualisation.
  • Optionnel : Wazuh pour SIEM + HIDS consolidé, Velociraptor pour forensics live.

Scénarios à rejouer

  • Phishing avec macro malicieuse → initial access → persistence → lateral movement → exfiltration.
  • Rejouer Atomic Red Team par technique ATT&CK et valider la détection dans le SIEM.
  • Utiliser Caldera ou SCYTHE pour simuler un adversaire pas-à-pas.
  • Publier les règles Sigma produites sur un GitHub public — c'est un différenciateur majeur en entretien L2.

Pièges courants sur la roadmap

Collectionner les certifications sans pratique. Security+, CySA+, BTL1, BTL2 alignés sur un CV sans home lab opérationnel ni incidents investigés rédigés = candidat rejeté dès l'entretien technique. Une certification valide la théorie, la pratique valide le profil.

Rester trop longtemps en L1 ESN sans exposition au-delà du SOC. Un L1 qui enchaîne 3+ ans dans un MSSP sur le même SIEM et les mêmes clients stagne techniquement. Forcer une bascule L2 à 18-24 mois, par changement interne ou changement d'employeur.

Négliger l'anglais. 80 % de la documentation technique SIEM/EDR/CTI est en anglais. La CTI et les interactions avec les éditeurs imposent l'anglais opérationnel (comprendre un rapport Mandiant, une advisory CISA, une discussion Slack avec le support CrowdStrike).

Ignorer les soft skills. Le SOC est un métier de communication : synthétiser un incident en 3 phrases pour un manager, rédiger un ticket clair, transmettre la charge au shift suivant. Les candidats techniquement brillants mais incapables de synthétiser sont bloqués au palier L1.

Penser le SOC comme un passage obligé vers le pentest. Le SOC n'est pas une antichambre du pentest. Les compétences sont complémentaires mais distinctes. Si la motivation réelle est offensive, viser un junior pentest direct donne un ROI supérieur à 2-3 ans en SOC subi.

Points clés à retenir

  • Roadmap type : 3-6 mois fondations, 6-12 mois premier poste L1, 12-24 mois bascule L2, 24-36 mois spécialisation L3 / DFIR / detection engineering / CTI.
  • Prérequis : réseau TCP/IP, Windows + AD, Linux, logs Sysmon, bases MITRE ATT&CK, scripting Python/PowerShell minimal.
  • Certifications par phase : BTL1 ou Security+ en phase 1, CySA+ ou BTL2 en phase 2-3, GIAC GCIA/GCIH/GCFA en phase 3-4 si financement employeur.
  • Outils à maîtriser : un SIEM principal (Splunk, Sentinel, QRadar, Elastic) + un EDR (CrowdStrike, SentinelOne, Defender, Cortex XDR) + bases SOAR, Sigma, YARA.
  • Home lab avec AD + Sysmon + Security Onion + pfSense est le meilleur investissement temps de toute la trajectoire.
  • Spécialisation à horizon 3-5 ans : threat hunter, detection engineer, DFIR ou CTI selon appétences révélées.
  • Salaires France 2026 : L1 36-45 k€, L2 45-60 k€, L3 60-85 k€, primes d'astreinte 3-7 k€ annuels en plus.

Pour aller plus loin

Questions fréquentes

  • Combien de temps pour devenir analyste SOC en partant de zéro ?
    Compter 9 à 15 mois pour décrocher un premier poste SOC L1 en partant d'un profil admin sys/réseau ou support IT, et 15 à 24 mois en partant d'un profil non-tech en reconversion totale. La durée se décompose typiquement en 3-6 mois de fondations (réseau TCP/IP, Windows/Linux, bases Active Directory, logs), 3-6 mois de montée en compétence SIEM + MITRE ATT&CK + investigation via home lab et plateformes type LetsDefend ou CyberDefenders, puis 3-6 mois de prospection active avec CV aligné. Un bootcamp intensif bien ciblé peut compresser la première phase à 2-3 mois. Le facteur limitant n'est pas le temps théorique mais la régularité des heures investies et la capacité à démontrer des cas pratiques concrets en entretien.
  • Quelle différence entre SOC L1, L2 et L3 ?
    SOC L1 (tier 1) : traitement initial des alertes remontées par SIEM/EDR, triage, enrichissement basique, escalade vers L2 selon playbook. Volume d'alertes élevé, profondeur technique limitée, 0-2 ans d'expérience typique. SOC L2 (tier 2) : investigation approfondie des incidents escaladés, corrélation multi-sources, premières analyses de malware, contribution aux règles de détection, 2-5 ans d'expérience. SOC L3 / threat hunter : chasse proactive sans alerte préalable, detection engineering (création de règles Sigma, KQL, SPL), reverse engineering léger, contribution aux playbooks de réponse, 5+ ans d'expérience. La frontière L2/L3 varie fortement selon l'organisation : dans un SOC interne grand compte, L3 inclut l'architecture de détection ; dans un SOC managé (MSSP), L3 reste souvent très opérationnel.
  • Quelle est la meilleure certification pour un SOC junior ?
    Pour un candidat SOC L1, trois certifications sortent en 2026 par rapport prix-utilité. 1) Blue Team Level 1 (BTL1) de Security Blue Team : 100 % pratique, simule 24h d'investigation sur un SOC, très bien perçue en entretien, ~500 €. 2) CompTIA Security+ : la plus demandée en offres L1 France, théorique mais reconnue, ~350 €. 3) CompTIA CySA+ : plus technique que Security+, orientée détection et analyse, excellent complément une fois Security+ passée. À éviter en démarrage : CEH (mal perçue côté Blue Team), CISSP (expérience 5 ans requise pour la certification complète). Les GIAC GCIA et GCIH sont excellentes mais coûteuses (~8 000 € avec formation SANS), à réserver à une prise en charge employeur après 12-18 mois en poste.
  • Peut-on devenir analyste SOC sans expérience IT préalable ?
    Oui, c'est possible mais plus long et plus dur que depuis un profil admin sys, support IT ou développeur. Le SOC L1 accepte structurellement des profils débutants en IT car le métier est standardisé par playbooks et forme beaucoup en interne (notamment en ESN et MSSP). Le parcours recommandé : 2-4 mois de fondations réseau et système (CompTIA Network+ ou équivalent, labos TryHackMe), 4-6 mois de pratique SIEM et MITRE ATT&CK via plateformes SOC-specific (LetsDefend, CyberDefenders, Blue Team Labs Online), passage de BTL1 ou Security+, puis candidatures massives sur SOC L1 en ESN. Les SOC internes grands comptes (banque, assurance) sont moins accessibles en entrée directe sans expérience IT. Éviter les reconversions précipitées sans fondations : un SOC L1 sans bases TCP/IP et Windows échoue en période d'essai.
  • Quels outils faut-il maîtriser pour un poste SOC en 2026 ?
    Trois familles d'outils sont incontournables. 1) SIEM : Splunk (leader France banque/énergie), Microsoft Sentinel (en forte progression avec l'écosystème Azure), IBM QRadar, Elastic Security, Chronicle Security Operations. Maîtriser au moins un en pratique. 2) EDR/XDR : CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Palo Alto Cortex XDR. La plupart des SOC ont migré vers un EDR/XDR depuis 2020. 3) SOAR : Splunk SOAR (ex Phantom), Cortex XSOAR, Tines, Microsoft Sentinel playbooks. En complément : MITRE ATT&CK Navigator, Sigma et YARA pour la détection, Velociraptor ou GRR pour l'investigation live, MISP ou OpenCTI pour le threat intel. Pour la progression L2/L3 : ajouter Wireshark, Zeek, Suricata côté réseau, et les bases scripting Python et PowerShell.
  • Quel salaire viser en SOC France en 2026 ?
    Fourchettes brut annuel 2026 selon Hays Technology Salary Guide 2025 et Apec Cadres Cybersécurité 2024. SOC Analyst L1 (0-2 ans) : 36-45 k€, IDF plutôt 40-45 k€, province 36-40 k€. SOC Analyst L2 (3-5 ans) : 45-60 k€. SOC Analyst L3 / threat hunter (6-10 ans) : 60-85 k€. Manager SOC / SOC lead : 75-110 k€. Les primes d'astreinte (nuit/week-end) ajoutent typiquement 3 000 à 7 200 € annuels à un poste SOC 24/7. Les SOC internes banque et énergie paient +10 à +20 % vs SOC managés ESN. Le passage L1 → L2 dans une même entreprise donne couramment +15 à +25 % de fixe à 24-30 mois, mais un changement d'employeur produit souvent un saut supérieur (+25 à +35 %).
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également