Discussion :

[KramL]

Bonjour,

J'aimerais avoir des retours sur ce que peut représenter le métier d'analyste sécurité concrètement...

Vais-je être cantonné à traiter des tickets ? Quelle est la part sur l'aspect réponse à incident ? Sur la mise en place de nouveaux projets et outils ?

J'ai conscience que cela devrait beaucoup varier en fonction des sociétés, mais j'aimerais avoir des retours d'expériences pour jauger un peu ce que cela pouvait représenter, en fonction des tailles de société, secteurs, etc...

Merci pour vos retours d'expérience.

[RV80]

Effectivement cela dépend de ton expérience et de la société. Cela aussi dépend du "level".
En soit un analyste SoC niveau I: va oui essentiellement traiter du ticket, et suivre des procédures, ça peut être un peu barbant à certains moment je pense, enfin j'en suis même sur d'après les retour que j'ai eu de certains de ces analystes. Mais après si tu es force de proposition, tu peux proposer des améliorations d'outils/de process et donc faire aussi du projet. C'est aussi une bonne expérience pour voir passer pas mal de sujets lié à la détection/réponse à incident.
Pour le niveau II déjà tu grattes un peu plus dans la recherche lors d'une détection, on te demande généralement un peu plus d'implication dans l'amélioration continue des outils/règles process, c'est déjà mieux.
Pour le niveau III c'est déjà plus intéressant: un peu plus de forensic, tu es vraiment impliqué dans la mise en place/configuration voir le choix des outils, tu fais de la réponse à incident (et pas seulement de la détection/analyse/qualification). Pour ma part j'ai eu la chance de ne faire que ce rôle quand je faisais encore du SOC, mais bon dans des structures de taille moyenne on se retrouve vite à faire du tri de ticket quand y a un burst et que les N1/N2 sont sous l'eau aussi.

Mais bon oui dans tout les cas y a du ticket à manger .

Et après comme tu l'as mentionné ça dépend des structures, certaines sont plus souples, dans certaines au contraire c'est beaucoup plus rigide et les incidents intéressant partiront vite pour un CERT. Cela dépend aussi du fait dans un SOC interne ou chez un prestataire qui vend des services de SOC. Dans ce dernier cas, avec les SLA, oui la gestion des tickets est important et pour les N1 une grosse pression est mise la dessus sur les analystes par le management (mais en même temps le client paie pour ça).

En gros si le domaine t'intéresse, fonce, si la structure est trop rigide, prend des connaissances, et change de structure et pourquoi pas le level ... Y a pas grand chose à perdre à essayer.