Épisode 2 : être analyste SOC chez Metsys
Parmi les métiers qui ont le vent en poupe dans le secteur de la cybersécurité, celui d’analyste SOC en est un. Son rôle est primordial pour aider les entreprises à assurer une sécurité informatique optimale. Il est en quelque sorte le gardien du phare : il surveille, non pas du haut de sa tour, mais devant son écran, ce qu’il se passe sur le réseau et le système d’information des entreprises. Il détecte toute activité douteuse et menaçante, mais son rôle ne s’arrête pas à cela…
Le rôle de l’analyste SOC est de veiller à ce que l’entreprise ne soit pas attaquée. Pour ce faire, il utilise une multitude d’outils d’analyse et de collecte, qui vont lui permettre d’identifier les potentielles menaces parmi les centaines d’alertes et d’événements issus du Centre des Opérations de Sécurité (appelé plus communément SOC). En cas d’incident de sécurité, il évalue les dommages subis et peut apporter son aide pour élaborer le plan de remédiation et coordonner le suivi auprès des différentes parties prenantes de l’entreprise.
Il peut intervenir au sein même d’une entreprise, équipée de son propre SOC, ou dans une entreprise de cybersécurité proposant un service SOC et qui aura alors en charge la surveillance de plusieurs entreprises clientes.
Pour en savoir plus sur ce métier, nous avons interviewé Jérémie Martin, analyste SOC chez Metsys. Un parcours particulièrement inspirant…
Quand as-tu rejoint Metsys ?
Je travaille chez Metsys depuis un an et demi. En fait, j’ai démarré en alternance pendant près d’un an durant lequel j’ai travaillé sur un projet de dev lié à la cybersécurité, puis j’ai été formé aux outils du SOC (outils de surveillance, de corrélation) et à la méthodologie Metsys. Depuis septembre, je suis en CDI à l’agence de Tours, qui regroupe une grande partie de ressources dédiées aux services cybersécurité de Metsys, notamment le SOC Metsys.
Quelle(s) formations as-tu suivi ?
J’ai un profil assez atypique, mais qui démontre que l’on peut accéder à un poste dans la cybersécurité sans être passé par un BAC avec spécialisation scientifique. En effet, après un BAC STMG, qui me permettait d’accéder à un BTS informatique / Systèmes & Réseaux au sein de mon lycée, j’ai poursuivi mes études par un master à Polytech Tours, spécialisé en développement.
Je dois bien avouer qu’il a fallu me remettre à niveau en maths [sourire], cela m’a valu un gros investissement mais j’y suis arrivé ! Heureusement, j’étais plutôt bon en informatique et avais le projet de travailler dans la cybersécurité, ce qui a été une formidable motivation pour ne rien lâcher. Désormais, je suis un véritable couteau Suisse ! Quel que soit le thème ; réseaux-développement- cybersécurité, je suis en mesure de comprendre les problématiques et d’y répondre.
Comment es-tu venu à la cybersécurité, tu étais pourtant destiné à travailler en tant qu’admin ?
C’est un de mes amis de BTS qui m’a fait connaître des sites comme RootMe. Curieux par nature, j’ai voulu aller plus loin et me suis découvert une passion pour la cybersécurité. Durant mon master, j’ai continué à me former, ce qui m’a permis d’acquérir de bonnes bases en cybersécurité, que j’ai ensuite combinées à mes compétences de développeur, Systèmes & Réseaux. Grâce à cela, j’ai été recruté par Metsys en qualité d’alternant et aujourd’hui, je suis en CDI au poste d’analyste SOC.
Selon toi, quelles sont les qualités d’un analyste SOC ?
Que l’on soit en entreprise ou comme moi, dans une société de services, la curiosité est l’une des principales qualités d’un analyste. Dans mon quotidien, je dois traiter des dizaines d’alertes, toutes ne sont pas liées à des incidents de sécurité, mais avant de les catégoriser ou non comme problème, je dois investiguer pour déterminer le niveau de criticité. Pour se faire, je dois aller chercher l’information, qu’elle soit sur Internet (information sur une faille) ou au sein de l’entreprise cliente.
Prenons un exemple : une alerte qui m’informe d’une connexion provenant de Chine ; de prime abord, je pourrais imaginer que c’est une tentative d’intrusion sur le système informatique de mon client. Mais, peut-être provient-elle d’un collaborateur qui est en déplacement en Chine ? Pour ce faire, je vais dans un premier temps me servir des données (logs) collectées par toutes les consoles de sécurité qui s’offrent à moi : CASB, Antivirus, Firewall, IAM, etc.
Si je ne peux affirmer mon hypothèse, je vais vérifier auprès de mon client si ce collaborateur a de bonnes raisons pour s’être connecté de cet endroit. Si ce n’est pas le cas, il me faudra aller investiguer pour voir si une attaque chinoise aurait été identifiée, analyser la manière dont l’intrusion a eu lieu et bien entendu, identifier les impacts sur l’entreprise. Je pourrais, en accord avec le client, bloquer temporairement les connexions effectuées depuis ce pays, forcer la ré-authentification, ou plus radicalement bloquer le compte du collaborateur.
D’autres qualités sont nécessaires, telle que la rigueur, l’organisation et la capacité à s’exprimer face à un client.
En quoi consiste ton quotidien ? Combien de clients gères-tu ?
Chez Metsys, mon travail est réparti entre le SOC et les projets clients, ce qui est très appréciable ; cela me permet de parfaire mon apprentissage en cybersécurité grâce à la diversité des projets clients. Une des premières tâches de la journée est de collecter toutes les informations remontées par les outils de notre SOC, de les analyser, d’identifier d’éventuelles alertes, et en informer nos clients. Une majorité des alertes de sécurité est traitée automatiquement par les différents mécanismes que le SOC Metsys peut implémenter ainsi que les mécanismes des consoles de sécurité elles-mêmes. En parallèle de cela, je travaille également sur la réalisation de plans de recommandations, par exemple.
Ensuite, en fonction du temps restant, je travaille sur les différents projets clients que j’ai à traiter, comme la réalisation de prestations sur des sujets de cybersécurité tels que de la gestion des identités, la configuration de la suite sécurité de Microsoft (Defender for Endpoint, Defender For Office 365, etc.), par exemple.
Pourrais-tu nous partager un incident de sécurité qui t’a particulièrement marqué ?
Un incident de sécurité qui m’a particulièrement marqué ? Oh, j’en ai plusieurs mais dans le lot, un ressort car il est assez cocasse. *Comme on peut s’y attendre d’un SOC, la confidentialité est de mise alors concernant ce que je vais dire, je vais rester assez vague. *
Un client parmi d’autres ne disposait pas de charte informatique claire concernant l’utilisation des disques externes personnels. Un employé a branché son disque dur personnel contenant tout un ensemble de joyeuseté dont un fichier Excel contenant une Macro (permettant d’exécuter un certain nombre d’actions et d’automatisme).
Il s’agissait d’une Macro exécutant du code malicieux (désactivation de l’antivirus, tentative d’exfiltration de donnée via commande PowerShell). Ce fichier Excel a été partagé via TEAMS à différents collaborateurs de l’entreprise et tous ont cliqué dessus. Résultat : une grande partie des postes vérolés, un SI paralysé et des collaborateurs ne pouvant plus exercer le temps du nettoyage/re-mastérisation des postes.
Tout cela aurait pu être évité si le client avait respecté nos recommandations :
- Limiter/interdire le branchement de disques externe personnel,
- Interdire la création de process liés à des Macros contenu dans Excel,
- Le bon paramétrage des solutions de sécurité prenant en compte la vérification dans Teams.
Finalement, après cette mésaventure le client a pris en comptes nos recommandations et nous a expressément demandé de les appliquer le plus vite possible.
Pourquoi avoir choisi Metsys plutôt qu’une équipe cybersécurité d’une grande entreprise ?
Tout d’abord, le projet professionnel qui m’a été proposé cadrait parfaitement avec mes ambitions : réaliser mon alternance sur un projet de dév, tout en me formant au métier d’analyse SOC, avec à la clé, un CDI.
Au fil des semaines, j’ai découvert l’entreprise Metsys, cela m’a conforté dans mon choix de rester. L’entité dans laquelle je suis est à Tours, au sein d’une des nombreuses agences réparties à travers la France. Malgré la distance, tout est fait pour que l’on se sente appartenir à une seule et même entreprise. Le département communication organise de nombreux événements virtuels (réunions d’informations, metlunch, …) afin que l’on puisse échanger et se connaître malgré l’éloignement. Par ailleurs, nous bénéficions de formations en ligne pour monter toujours un peu plus en compétences.
Ce que j’apprécie également en travaillant dans une société de services, c’est que je ne suis pas cantonné au seul poste d’analyste SOC ; je travaille sur de nombreux projets clients, ce qui me permet de diversifier mes tâches. Cela ne serait pas le cas dans un SOC d’entreprise.
