Supervision continue et opérations de sécurité avancées (SOC)

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Supervision continue et opérations de sécurité avancées (SOC)


Objectif de formation : Maîtriser les outils, méthodes et référentiels avancés pour assurer une supervision continue, une détection des menaces ciblées, et une réponse efficace dans des environnements hybrides (cloud, réseau, endpoints). Cette formation permet d’optimiser les opérations SOC grâce à l’automatisation, aux frameworks orientés menaces (MITRE ATT&CK), et à l’intégration des outils NDR, EDR, SOAR et CNAPP.

Objectifs de la formation

  • Évaluer la maturité défensive d’un environnement hybride
  • Déployer une supervision réseau (NDR) et endpoint (EDR) efficace
  • Appliquer les frameworks MITRE ATT&CK et Zero Trust pour guider les défenses
  • Réaliser des investigations réseau et endpoint avancées
  • Automatiser la réponse aux incidents grâce aux outils SOAR
  • Sécuriser les environnements cloud avec les briques CNAPP, CSPM, CIEM, CWPP
  • Anticiper les menaces sur les chaînes logicielles et les applications IA

Profil des bénéficiaires

Pour qui
  • Analystes SOC (niveau 2 à 3), ingénieurs cybersécurité
  • Blue Team avancée, responsables sécurité opérationnelle
  • Architectes sécurité cloud ou hybrides
Prérequis
  • Solide compréhension des principes de cybersécurité
  • Connaissances en réseau, systèmes (Windows/Linux), et cloud (AWS, Azure, GCP)
  • Maîtrise des outils de base (Wireshark, SIEM, CLI)

Contenu de la formation

Évaluation de l’état de sécurité et construction d’une défense moderne (4 heures)
  • Réaliser un état des lieux de la sécurité d’un SI hybride
  • Identification des lacunes de visibilité et de détection
  • Modélisation d’une architecture de défense moderne (Zero Trust, segmentation, centralisation des logs)
  • Priorisation des défenses selon les risques et la maturité
  • Travaux pratiques : Atelier de diagnostic d’un SI fictif à partir de schémas, flux, outils et inventaire
  • Travaux pratiques : Évaluation de l’exposition actuelle à l’aide d’un modèle de scoring
  • Travaux pratiques : Création d’un plan de renforcement basé sur les priorités MITRE D3FEND
Référentiels de défense orientés menaces : MITRE ATT&CK & Zero Trust (4 heures)
  • Présentation de MITRE ATT&CK et MITRE D3FEND
  • Techniques de modélisation de l’exposition (heatmap, gap analysis)
  • Implémentation des principes Zero Trust dans un SOC (NAC, IAM, microsegmentation, MFA, monitoring)
  • Corrélation des événements avec les TTPs (tactiques, techniques, procédures)
  • Travaux pratiques : Cartographie des défenses existantes face à ATT&CK (outil Navigator)
  • Travaux pratiques : Construction d’une politique Zero Trust sur un scénario d’entreprise hybride
  • Travaux pratiques : Application de TTPs à un incident simulé pour reconstituer la kill chain
Visibilité réseau et détection par NDR (Network Detection & Response) (6 heures)
  • Concepts NDR et rôle dans le SOC moderne
  • Surveillance réseau : protocoles clés (DNS, TLS, HTTP/S)
  • Détection du trafic post-compromission (C2, tunneling, beaconing)
  • Outils d’analyse réseau : Zeek, Suricata, Wireshark, Tshark
  • Travaux pratiques : Déploiement et usage de Zeek ou Suricata sur trafic capturé
  • Travaux pratiques : Identification de C2 via beaconing et exfiltration simulée
  • Travaux pratiques : Analyse de paquets TLS avec Wireshark et interprétation manuelle des métadonnées
Endpoint security et EDR : visibilité, contrôle et remédiation (5 heures)
  • Fonctionnement d’un EDR (Microsoft Defender, Crowdstrike, etc.)
  • Endpoint Protection Platform (EPP) vs EDR vs XDR
  • Application Control, UEBA, et détection comportementale
  • Cas d’usage réels de détection et réponse (ransomware, persistance, lateral movement)
  • Travaux pratiques : Analyse d’alertes dans un environnement EDR simulé
  • Travaux pratiques : Simulation d’une compromission sur endpoint et réponse depuis la console EDR
  • Travaux pratiques : Détection d’une élévation de privilège et isolation d’un poste
Supervision cloud et outils CNAPP / CSPM / CIEM / CWPP (5 heures)
  • Stack de sécurité cloud : vues CSPM, CNAPP, CIEM, CWPP
  • Analyse de posture, erreurs de configuration, IAM critique
  • Threat hunting dans le cloud : journaux natifs (AWS, Azure, GCP)
  • Surveillance des workloads cloud et des conteneurs
  • Travaux pratiques : Analyse d’un environnement cloud fictif avec erreurs CSPM courantes
  • Travaux pratiques : Audit IAM sur un environnement cloud simulé
  • Travaux pratiques : Analyse des journaux CloudTrail ou Azure Activity Logs
Threat Hunting opérationnel et proactive defense (4 heures)
  • Processus de threat hunting : hypothèse, collecte, investigation
  • Corrélation d’IoCs et de comportements anormaux
  • Automatisation de la chasse : scripts, requêtes SIEM, Sigma/YARA
  • Intégration avec MITRE pour des chasses ciblées
  • Travaux pratiques : Élaboration d’une hypothèse de chasse (ex : commande Powershell suspecte)
  • Travaux pratiques : Investigation dans des journaux simulés via requêtes KQL/Elastic/Splunk
  • Travaux pratiques : Création de règles de détection YARA et Sigma
Orchestration et automatisation des opérations SOC (SOAR) (4 heures)
  • Présentation des outils SOAR (Splunk Phantom, Cortex XSOAR, etc.)
  • Automatisation des tâches récurrentes : enrichissement, tri, réponse
  • Conception de playbooks pour scénarios courants (phishing, C2, malware)
  • Intégration avec EDR, SIEM, CTI, sandbox
  • Travaux pratiques : Démonstration de playbook automatisé (ex : phishing alert → enrichir → bloquer IP)
  • Travaux pratiques : Création d’un mini-playbook sur incident simulé
  • Travaux pratiques : Évaluation critique d’un processus SOC avant/après SOAR
Sécurité des applications IA et supply chain logicielle (3 heures)
  • Attaques contre les modèles LLM, input poisoning, data leakage
  • Sécurisation de l’IA en entreprise : sandboxing, filtration, contrôles d’usage
  • Risques liés à la chaîne logicielle (SBOM, dépendances, CICD compromise)
  • Travaux pratiques : Compromission d’une dépendance logicielle et ses impacts
  • Travaux pratiques : Audit d’un prompt injection simulé dans un chatbot d’entreprise
  • Travaux pratiques : Recommandations de sécurisation d’une API LLM interne

Équipe pédagogique

Professionnel expert technique et pédagogique.