< Back
Daily Life in the SOC – Level 1 Analyst

Tags:

TCS BELUX TCS BELUX newsletter Detect and respond
07 août 2025

Vie quotidienne au sein du SOC – Analyste Niveau 1

L'équipe des analystes Niveau 1 du CSOC est en première ligne du Centre des Opérations de Cybersécurité de Thales. Ces analystes, également appelés premiers intervenants, travaillent en rotations de 8 heures chaque jour de l'année afin d'assurer une couverture continue de l'infrastructure et garantir qu'il y ait toujours quelqu'un prêt à intervenir, peu importe l'heure ou le jour. Le nombre réel de personnes présentes lors de chaque rotation augmente pour répondre aux besoins croissants d'une clientèle en expansion, ainsi qu'aux pics d'activité provoqués par des circonstances extérieures telles que la guerre russo-ukrainienne ou l'élection présidentielle américaine.

Cela étant dit, que fait exactement un analyste de niveau 1 ?

Mettre le "O" dans SOC

Lorsqu'une alerte de sécurité est reçue, l'analyste suite un parcours d'investigation interne et prédéfini appelé triage, dont la méthodologie varie en fonction de l'alerte analysée. Ce processus peut être visualisé comme une série de questions auxquelles l'analyste doit répondre afin de déterminer la gravité de l'alerte. Par exemple, les principales questions qu'un analyste poserait pour la plupart des alertes sont :

📌 S'agit-il d'une fausse alerte ?

📌 Ce comportement est-il connu pour ce client, cet actif ou cet utilisateur ?

📌 Quelle activité a déclenché cette alerte ?

📌 Est-ce normal, le résultat d'une erreur ou l'oeuvre d'un acteur malveillant ?

Cependant, l'activité réelle peut simplement être un appareil qui n'envoie pas de données, et l'analyste se demanderait alors :

📌 Quelle est la base d'activité des logs sur les 30 derniers jours ?

📌 Est-ce l'ensemble de la source de log qui n'envoie pas de données, ou seulement cet hôte spécifique ?

📌 Les derniers logs indiquent-ils la cause ? Par exemple, un arrêt manuel pour mise hors service ou travaux de maintenance.

Les réponses à ces questions permettent à l’analyste de classifier l’alerte comme un vrai positif (TP), un vrai positif bénin (B-TP) ou un faux positif (FP). Un vrai positif indique une activité malveillante correctement identifiée, comme une tentative d’exécution d’un exploit depuis le poste de travail d’un employé. Un faux positif, en revanche, est une activité incorrectement identifiée comme malveillante alors qu’elle est en réalité normale — par exemple, le responsable de la communication de l’entreprise signalé pour exfiltration de données alors qu’il télécharge du contenu marketing sur les réseaux sociaux. Enfin, le B-TP indique que l’activité a été correctement identifiée, mais que le contexte n’est pas malveillant, et qu’il n’y a donc pas de menace réelle. Pour reprendre l’exemple précédent, l’exécution d’un exploit pourrait être réalisée par un testeur d’intrusion engagé par l’entreprise pour évaluer ses défenses et répondre à des exigences de conformité.

Lorsqu’un analyste identifie un vrai positif, le cas est généralement escaladé au client via la création d’un ticket sur notre Customer Care Portal, un outil de gestion des services informatiques (ITSM) qui envoie une notification par e-mail à tous les intervenants désignés. Cette plateforme permet une communication sécurisée entre Thales et ses clients pour résoudre l’incident. Dans les cas où une activité dangereuse est détectée et peut avoir un impact sérieux sur l’infrastructure du client, l’analyste procède à une escalade prioritaire, en contactant directement une personne désignée d’astreinte — ou plusieurs, si le premier contact est indisponible — selon l’heure de la journée.

Dans les CSOC externes, c’est l’équipe de sécurité du client qui est responsable de mener l’essentiel de l’investigation lorsqu’une escalade a lieu. En revanche, chez Thales, où l’analyste est habilité à mener l’ensemble du processus d’investigation, l’escalade ne se produit que lorsqu’il est incapable de finaliser l’analyse lui-même. Cela peut être dû à deux raisons : soit l’analyste n’a pas les accès nécessaires, soit il manque de contexte pour parvenir à une conclusion définitive. Dans l’exemple précédent, cela pourrait être lié au fait que le compte de l’analyste n’a pas accès directement aux journaux de l’appareil indisponible, car ceux-ci contiennent des données hautement sensibles, et il est donc dans l’impossibilité de vérifier son statut. Ou bien, cela peut être dû au fait que Thales n’est pas inclus dans la boucle de communication concernant la maintenance de cet appareil.

Bien que le processus d’investigation standard puisse sembler répétitif et mécanique — plus adapté à un robot qu’à un humain — la véritable valeur d’un analyste humain devient évidente à mesure qu’il gagne en confiance avec les cas d’usage et l’infrastructure SIEM (Security Information Event Management) du client. Cette valeur ajoutée se manifeste principalement par sa capacité à comprendre, maîtriser et s’écarter du parcours d’investigation standard afin de produire des résolutions de cas plus précises et concises. Cela satisfait les parties prenantes côté client, qu’il s’agisse d’ingénieurs souhaitant résoudre rapidement les incidents escaladés ou d’auditeurs examinant le service.

C’est là le cœur du rôle d’un analyste au sein du CSOC de Thales. Le reste de ses missions comprend l’administration, l’amélioration du service, le dépannage et la communication avec le client.

Le processus d'investigation

Suite à la notification, l’analyste passe à l’investigation de l’activité des journaux ayant généré l’alerte. Pour ce cas d’usage particulier, il collecte les champs pertinents tels que :

📌 Le nom d'utilisateur et l'adresse IP source, pour déterminer l'origine de la tentative,

📌 L'heure de l'activité et la source des logs, pour faciliter les investigations ultérieures,

📌 La méthode HTTP, le code de réponse et le résultat du filtre, pour déterminer la nature de la requête envoyée au site web et savoir si l'activité a été bloquée,

📌 Et enfin, l'URL du site web et l'adresse IP de destination, qui sont analysées via la plateforme de Threat Intelligence.

La plateforme de Threat Intelligence de Thales est une solution de sécurité développée et maintenue en interne, qui stocke des informations fondées sur des preuves — communément appelées Indices de Compromission (IoC) — concernant des incidents de sécurité à travers le monde. Cela peut aller de l’adresse IP d’un serveur C&C utilisé par des acteurs de ransomware en Thaïlande à une URL malveillante identifiée dans une campagne de phishing ciblant le secteur médical. Elle est principalement utilisée par les analystes comme point d’accès centralisé pour évaluer les menaces, grâce à la vaste quantité d’informations disponibles et aux fonctionnalités intégrées de la plateforme, qui permettent de transformer ces données en renseignements enrichis par les recommandations de parties prenantes en sécurité de confiance.

Par exemple, une des fonctionnalités de la plateforme permet de détecter le malware QBot, très répandu et qui cible récemment le secteur bancaire. Ce malware s’introduit sur l’ordinateur de la victime via un document Word infecté, envoyé par e-mail, puis effectue une requête web vers un serveur de commande et de contrôle (C&C) pour télécharger et exécuter une charge malveillante. Cependant, notre plateforme de Threat Intelligence dispose des noms et adresses IP de ces serveurs et signale l’activité pour qu’un analyste puisse l’examiner. En quelques minutes, celui-ci vérifie les journaux de l’appareil. Une fois le vrai positif validé, l’analyste procède immédiatement à une escalade afin de notifier ou inciter l’équipe de sécurité du client à agir. Toutefois, étant donné le danger immédiat que représente ce type d’activité, l’analyste contacte directement le spécialiste sécurité d’astreinte désigné par le client pour l’alerter de la menace en cours.

Bien que rare, il s’agit d’une alerte de vrai positif à haute priorité, et l’un des cas les plus dangereux, qui implique généralement l’intervention de l’équipe de réponse aux incidents de cybersécurité (TCS-CERT) de Thales. Celle-ci prend alors le contrôle direct de la gestion de l’alerte, qui devient à ce stade un incident de sécurité.

Avec le temps, le rôle de l’analyste chez Thales évolue vers une capacité de réponse immédiate aux menaces observées, dans le but de réduire les escalades et donc la charge opérationnelle côté client ainsi que l’impact des activités malveillantes. À l’heure actuelle, un exemple concret est le blocage temporaire des adresses IP externes effectuant des actions malveillantes. Le CSOC travaille également au développement de nouveaux services basés sur des contre-mesures, tels que la désactivation de comptes ou l’isolation de postes de travail, en s’appuyant sur des processus définis avec les outils Endpoint Detection Response (EDR), Security Orchestration, Automation and Response (SOAR), et bien sûr en collaboration avec nos clients.

Conclusion

Pour conclure, les analystes de niveau 1 constituent la colonne vertébrale et la première ligne de défense du Centre des Opérations de Cybersécurité, en réalisant la majeure partie du traitement des données afin de garantir un impact minimal sur la confidentialité, la disponibilité et l’intégrité du client — d’une manière que l’automatisation ne peut pas égaler. Il s’agit d’un rôle dynamique qui exige flexibilité, ainsi qu’une multitude de compétences techniques et relationnelles pour assurer une performance constante sur des infrastructures variées. Ces compétences ne peuvent être acquises que grâce à l’engagement de Thales envers le développement personnel et pratique de son équipe d’analystes.

Quote request

En savoir plus sur ce sujet

cards image

Beyond the SOC as a detection center: holistic cybersecurity operations in the coming age
cards image

What is threat Hunting ?

cards image

Cyber Threat Intelligence Ep 2 - Nicolas talking about the Context and Strategy office