De l'IT Support au SOC Analyst

Pourquoi Ce Parcours Tient la Route

Les professionnels du support IT sous-estiment souvent à quel point leur travail ressemble déjà, par certains aspects, aux security operations. Vous gérez des endpoints, des problèmes d'accès, des comportements utilisateurs, des escalades et des situations où les incidents arrivent de manière imparfaite. Dans un SOC, les outils et les questions évoluent, mais la discipline d'enquête ne disparaît pas.

C'est ce qui rend ce parcours crédible. Il ne suppose pas que vous partez de zéro, mais il ne prétend pas non plus qu'une expérience IT adjacente suffit seule. Le but est de transformer un profil support opérationnel en profil prêt pour la sécurité grâce au contexte, à la pratique structurée et à une meilleure preuve.

Ce qui se Transfère depuis l'IT Support

Plusieurs réflexes issus du support sont directement utiles dans un rôle SOC.

• Vous savez faire du troubleshooting sous pression.
• Vous êtes habitué à des informations incomplètes venant d'utilisateurs et de systèmes.
• Vous travaillez déjà avec systèmes d'exploitation, permissions et comportement d'endpoint.
• Vous savez qu'une documentation claire compte quand quelqu'un d'autre doit reprendre l'enquête.

Ce ne sont pas de petits avantages. Un travail SOC junior consiste largement à trier méthodiquement, lire le contexte et décider de ce qui mérite escalade.

L'Écart Sécurité qu'il Vous Reste à Combler

Ce qu'il vous faut encore n'est pas une maturité technique générale, mais un cadrage sécurité.

Il faut mieux comprendre comment se déroulent les attaques courantes, comment une activité suspecte apparaît dans les logs et les signaux endpoint, et comment les workflows de monitoring s'insèrent dans un processus réel d'incident response. C'est souvent là que les profils support stagnent: ils connaissent les systèmes, mais ne les lisent pas encore avec une logique de détection et de réponse.

Comment le Bootcamp S'insère dans Cette Transition

Pour ce profil, la valeur du bootcamp est la structure. Les modules les plus pertinents sont ceux qui relient la connaissance infrastructure à un travail sécurité:

• fondations cybersécurité
• networking et sécurité réseau
• security operations et monitoring
• advanced security operations
• career coaching et préparation aux certifications

L'enjeu n'est pas la vitesse pour elle-même. L'enjeu est de remplacer une accumulation d'apprentissages dispersés par une séquence qui mène réellement quelque part.

À quoi Ressemble une Bonne Preuve Avant de Postuler

Ce parcours devient crédible quand vous pouvez montrer autre chose que de la motivation.

Une preuve utile prend souvent la forme d'un petit exercice d'analyse de logs, d'une note de triage d'alertes, d'un workflow simple d'investigation ou d'observations montrant comment vous avez raisonné face à un comportement endpoint suspect. Pour un premier rôle défensif, personne n'a besoin d'un laboratoire offensif parfait. En revanche, il faut voir que vous savez raisonner clairement sur un travail opérationnel de sécurité.

Ce qu'il Faut Éviter

Les erreurs les plus fréquentes sont de courir après trop d'outils trop tôt, de survaloriser l'offensif avant d'avoir consolidé les fondamentaux défensifs, et de supposer qu'une expérience IT adjacente signifie automatiquement que vous êtes prêt à être recruté.

Ce parcours fonctionne mieux quand vous traitez votre expérience support comme une base solide à laquelle vous ajoutez du contexte sécurité, de la pratique et des preuves.

Un Calendrier Réaliste de 6 Mois entre la File de Tickets et le Premier Quart SOC

Un bootcamp de 360 heures ne se transforme pas seul en rôle SOC. La transition devient réaliste lorsque l'étude, les labs et les candidatures suivent un rythme régulier. La structure ci-dessous est celle qui fonctionne pour la plupart des personnes quittant une file support.

Les semaines 1 à 4 sont dédiées aux fondamentaux. Vous reprenez TCP/IP, DNS, HTTP, les flux d'authentification, le modèle d'événements Windows et les bases internes de Linux. L'objectif n'est pas de mémoriser des commandes. Il est de lire ce que fait un système quand quelque chose ne va pas.

Les semaines 5 à 10 introduisent les workflows défensifs. Vous commencez à manipuler des logs à grande échelle, écrivez vos premières notes de détection et apprenez comment une alerte parcourt un processus de triage. À la fin de la semaine 10, vous devez pouvoir prendre une alerte d'exemple et expliquer par écrit ce qu'elle signifie probablement et quel contexte vous chercheriez ensuite.

Les semaines 11 à 16 connectent tout cela à l'incident response. Vous pratiquez le mapping d'événements vers les techniques MITRE ATT&CK, vous rédigez des writeups courts et utilisez un template d'investigation simple. C'est aussi le moment où la préparation Security+ s'insère naturellement, car l'examen renforce le vocabulaire que les recruteurs attendent.

Les semaines 17 à 22 portent sur la profondeur du portfolio. Vous reprenez des exercices de lab avec vos propres mots, les documentez comme si une collègue devait poursuivre le travail, et resserrez votre CV autour d'un langage défensif plutôt que de termes IT génériques.

Les semaines 23 à 26 sont des semaines de candidature. Vous postulez à des rôles SOC junior, des postes en MSSP et des programmes trainee de detection engineering. La plupart des candidats qui obtiennent une première offre dans cette fenêtre ont un profil sans expérience plus un raisonnement visible, pas une longue liste de certifications.

Les Outils Que Vous Verrez dans Votre Premier Rôle SOC

Le premier jour en SOC exige rarement la maîtrise experte d'un seul outil. Il exige de l'aisance pour passer entre plusieurs. Splunk et la stack ELK (Elasticsearch, Logstash, Kibana) dominent comme plateformes SIEM dans les opérations européennes, avec une adoption croissante de Microsoft Sentinel dans les environnements cloud-first. Vous passerez du temps à écrire des requêtes, sauvegarder des vues et construire des dashboards basiques.

Wireshark et tshark apparaissent quand la preuve au niveau paquet compte, en particulier face à une exfiltration suspectée ou à un trafic sortant inhabituel. Sysmon, l'outil Sysinternals, est le standard pour une télémétrie endpoint Windows plus riche. Savoir lire un Sysmon Event ID 1 (process create) versus un Event ID 3 (network connection) relève davantage d'une compétence quotidienne que d'une niche.

Les consoles EDR comme CrowdStrike Falcon, SentinelOne ou Microsoft Defender for Endpoint complètent le tableau. Vous ne les maîtriserez pas en autonomie, mais vous devez reconnaître comment les détections apparaissent, comment l'isolation fonctionne et comment se construisent les timelines d'investigation.

Les plateformes de ticketing comme Jira et ServiceNow soutiennent le rythme opérationnel. Le travail SOC sans ticketing discipliné devient vite chaotique, ce qui rend votre base support réellement utile.

À quoi Ressemble le Travail SOC Tier 1 vs Tier 2

La plupart des premiers rôles se situent en Tier 1. Le travail consiste en triage d'alertes: réception d'événements SIEM, validation du contexte, séparation du bruit et du signal, puis clôture en bénin ou escalade avec un résumé clair. Le succès en Tier 1 tient surtout à la discipline, pas à la créativité. L'équipe a besoin que vous absorbiez le volume sans perdre en précision.

Tier 2 commence là où le triage s'arrête. Les analystes de ce niveau prennent les escalades, mènent des investigations plus profondes, corrèlent des preuves entre endpoint, réseau et identité, et proposent souvent une nouvelle logique de détection. Tier 2 rédige aussi des rapports internes et travaille de plus près avec les incident responders quand un événement devient un vrai incident.

Vous ne visez pas Tier 2 dans votre premier poste. Vous visez à être le Tier 1 en qui le Tier 2 a confiance.

Catégories d'Alerte Courantes Que Vous Devez Reconnaître

Un petit nombre de catégories couvre l'essentiel de ce que voit un SOC junior. Les événements liés au phishing dominent, y compris collecte d'identifiants, clics sur liens suspects et emails reportés transférés vers la boîte SOC. Les alertes d'exécution de malware viennent ensuite, souvent sous forme de processus enfants suspects depuis des applications Office ou de binaires non signés exécutés depuis des répertoires accessibles en écriture par l'utilisateur.

L'activité de force brute apparaît contre VPN, RDP et fournisseurs d'identité, où des échecs répétés depuis une seule source ou un schéma de voyage impossible déclenchent une règle. Les signaux de mouvement latéral sont plus subtils, généralement une chaîne de logons distants, créations de services ou trafic SMB inhabituel entre endpoints utilisateur. Les alertes d'exfiltration de données apparaissent souvent comme transferts sortants importants, volumes anormaux d'upload cloud ou indicateurs de DNS tunneling.

Si vous savez décrire chacune de ces catégories en langage clair et expliquer quelle preuve vous collecteriez en premier, vous êtes déjà devant la majorité des candidats.

Réalité Salariale: du Helpdesk au SOC Junior puis SOC Senior

L'argument financier de cette transition est honnête, sans drame. Les moyennes européennes placent le helpdesk et le support IT Tier 1 dans la fourchette EUR 22 000 à 28 000, selon le pays et la taille d'entreprise. Les analystes SOC junior se situent habituellement entre EUR 30 000 et 40 000, avec des rôles cloud-heavy ou du secteur financier au-dessus.

Les postes de SOC senior et lead detection engineering se trouvent typiquement dans la tranche EUR 55 000 à 75 000 après plusieurs années, avec des profils top en industries régulées au-delà. Le panorama complet, incluant comment outillage, structure d'astreinte et certifications interagissent avec ces chiffres, est traité dans le bootcamp en vaut-il la peine.

L'enseignement clé n'est pas le chiffre absolu. C'est que la trajectoire SOC a une pente plus marquée que celle du support IT générique, avec davantage de levier via certifications et compétence d'investigation démontrée.

Certifications Que les Recruteurs Filtrent Vraiment

Les recruteurs utilisent les certifications comme filtres plus que comme critères de décision. Le premier filtre, surtout en Europe, est CompTIA Security+. C'est le standard d'entrée que la plupart des ATS recherchent, et il est inclus avec le bootcamp Unihackers.

Le filtre suivant est CySA+, plus orienté workflow d'analyste avec des questions de détection, threat intelligence et response. C'est la suite naturelle quand vous avez déjà une expérience hands on dont parler.

Au-delà de CompTIA, deux alternatives pratiques gagnent du terrain. BTL1 (Blue Team Level 1) de Security Blue Team se concentre sur des compétences défensives hands on avec un examen pratique. CCD (Certified CyberDefender) de Zero Point Security approfondit la méthodologie d'investigation. Aucune ne remplace Security+, mais l'une comme l'autre peut affiner un CV qui possède déjà les bases.

Comment Montrer le Raisonnement, pas Seulement la Fin du Cours

Chaque recruteur a vu des candidats qui ont fini un bootcamp et se sont arrêtés là. Les profils qui se distinguent paraissent différents sur le papier. Ils montrent du raisonnement.

Un portfolio utile inclut trois à cinq writeups courts de lab dans un dépôt GitHub public. Chaque writeup décrit le scénario, la preuve revue, les hypothèses considérées et la conclusion. Le mapping des techniques vers MITRE ATT&CK en bas de chaque writeup signale que vous parlez déjà la langue opérationnelle utilisée en entretien pour SOC analyst.

Un second artefact utile est un carnet personnel de détections. Il liste les catégories d'alerte que vous comprenez, les sources de données utilisées pour les valider et les questions que vous poseriez à une analyste Tier 2 lors d'une escalade. Rien de cela n'exige d'outils avancés. Cela exige de la clarté.

Le curriculum du bootcamp est conçu pour nourrir exactement ce type de preuves plutôt que de vous laisser avec des certificats isolés. Combiné au rythme ci-dessus, c'est ce qui transforme une base support IT en candidature SOC crédible.