De SOC Analyst à Incident Responder: la voie du spécialiste défensif

Pourquoi cette transition est l'étape suivante naturelle

Pour la plupart des SOC analysts qui veulent approfondir plutôt que pivoter de branche, la réponse à incident est le rôle suivant évident. Vous restez défensif, vous gardez la même discipline d'investigation, mais la profondeur et la propriété changent significativement. Là où le travail SOC se termine par une escalade, le travail IR commence par une escalade.

La transition est plus courte que SOC vers pentest parce que le mindset est le même. Ce que vous construisez, c'est de la profondeur technique, pas un nouveau modèle mental.

Ce qui se transpose

Presque toutes les habitudes SOC se transposent:

1. Discipline de triage. Vous séparez déjà le signal du bruit. Le travail consiste maintenant à pousser le signal plus loin, pas seulement à l'étiqueter.

2. Rigueur de documentation. Les rapports d'incident exigent la même clarté que les notes SOC, juste avec plus d'amplitude. Vous avez déjà la majeure partie.

3. Communication sous pression. Vous écrivez déjà vite. La communication d'incident est similaire mais touche plus de parties prenantes.

Ce que vous devez construire

L'écart est dans la profondeur technique et la propriété:

• Forensique mémoire. Volatility, Rekall, analyse basique d'artefacts mémoire. La plupart des SOC analysts n'ont jamais ouvert un dump mémoire.
• Forensique disque. Timelines de filesystem, artefacts de registre, prefetch, shimcache. Les sources de données standards IR sous Windows.
• Forensique réseau. Analyse de capture complète, reconstruction au niveau protocole, détection de mouvement latéral.
• Propriété du cas. Mener un incident de l'alerte initiale au rapport final, communication avec les parties prenantes incluse. Plus de la discipline que de la technique.

Stack de certifications

GCIH (GIAC Certified Incident Handler) de SANS est le credential standard pour les rôles IR sérieux. Le cours est cher mais la certification pèse. CySA+ de CompTIA sert de tremplin plus accessible reconnu par certains employeurs. Les certifications EDR vendor (CrowdStrike, SentinelOne, Microsoft Defender) ajoutent du poids si vous connaissez la stack cible.

Où le bootcamp s'inscrit

Le Bootcamp Cybersécurité Unihackers couvre les fondamentaux SOC et de gestion d'incidents dans les modules m7 (Security Operations and Monitoring) et m8 (Advanced Security Operations). Pour les SOC analysts qui ont déjà ces bases, le bootcamp est excessif. Pour les personnes en reconversion qui construisent vers l'IR, c'est le point de départ unique le plus efficace. Voir le programme du bootcamp pour les détails.

Blocages courants

Trois schémas expliquent la majorité des transitions SOC vers IR bloquées:

1. Empiler des certifications sans pratique de cas. Trois certifications IR et zéro write-up documenté d'incident signalent une compétence d'examen, pas une capacité de réponse.

2. Éviter la profondeur forensique. Le plus grand écart de compétence est la technique forensique. Éviter la forensique mémoire et disque signifie que vous restez dans le triage d'alertes, pas la réponse à incident.

3. Sous-estimer l'astreinte. La rotation d'astreinte est réelle et change la vie. Ceux qui ne s'y préparent pas brûlent en douze mois.

La transition est plus rapide que SOC vers pentest et récompense les mêmes habitudes patientes de documentation que vous avez déjà. Lisez le guide salaires pour le contexte de rémunération en incident response.

Le cycle de vie NIST de réponse à incident dans lequel vous allez vivre

En tant que SOC analyst, le cycle de vie s'arrête à la détection et l'escalade. En tant qu'incident responder, vous vivez à l'intérieur du cycle complet NIST 800-61: Préparation, Identification, Confinement, Éradication, Récupération et Leçons Apprises. SANS encadre le même flux sous PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned). Le cycle de vie d'attaque de Mandiant, qu'utilisent la plupart des rapports de threat intelligence, cartographie le côté adversaire du même tableau.

Chaque phase a des propriétaires, des livrables et des points de décision qu'un SOC L1 voit rarement:

• Préparation est tout ce que vous faites avant l'incident: runbooks, exercices tabletop, retainers, IR Jump Kit, arbres de contact, cartes de juridiction. Les SOC analysts en héritent. Les analystes IR les maintiennent.
• Identification est l'endroit où SOC et IR se chevauchent. Le changement consiste à passer de "est-ce réel" à "quelle est la portée".
• Confinement est à court terme (isoler des hôtes, bloquer des IP au pare-feu) et à long terme (segmenter, faire tourner les credentials, révoquer les tokens). L'IR possède les deux.
• Éradication retire l'adversaire et la cause racine. Reconstruction, reset complet de credentials, nettoyage de persistance.
• Récupération remet les systèmes en production avec une supervision ajustée pour détecter une nouvelle entrée.
• Leçons Apprises est le postmortem avec les parties prenantes. C'est là que les carrières se font ou se défont.

Quand vous parlez couramment de chaque phase avec des exemples concrets de votre home lab, vous sonnez comme un candidat IR, pas un candidat SOC.

Du mindset triage au mindset investigation (le vrai changement)

Un SOC analyst est récompensé pour fermer des tickets avec précision et rapidité. Un incident responder est récompensé pour ne pas s'arrêter avant que la portée soit pleinement comprise. C'est le vrai changement cognitif.

En pratique cela ressemble à ceci. Un SOC analyst voit une détection de beacon Cobalt Strike sur un endpoint, valide, escalade avec contexte complet et passe au ticket suivant. Un incident responder prend la même alerte et demande: quels autres hôtes ont fait du beacon vers le même C2 sur les 90 derniers jours, quels credentials avait l'utilisateur, à quoi s'est-il authentifié, quels signaux de mouvement latéral voit-on, quel est le dwell time. L'investigation ne s'arrête pas à un hôte parce que les adversaires ne s'arrêtent pas à un hôte.

Construire ce mindset demande une pratique délibérée. Rouvrez d'anciens cas SOC que vous avez fermés et posez par-dessus les questions IR. Vous trouverez de la portée que vous aviez manquée.

Les outils IR que vous ajoutez au-dessus de votre stack SIEM

Vos compétences SIEM (Splunk, Sentinel, QRadar, Elastic) se transposent directement. Au-dessus, les équipes IR utilisent typiquement:

• TheHive comme plateforme de gestion de cas pour les incidents, avec tâches structurées, observables et TTPs.
• Cortex pour l'enrichissement automatisé des observables (IPs, hashes, domaines) contre des sources de threat intelligence.
• Splunk SOAR (anciennement Phantom) ou Tines pour orchestrer des playbooks de confinement entre EDR, pare-feu, IAM et ticketing.
• Velociraptor pour la visibilité endpoint à grande échelle et la collecte forensique en direct sur des milliers d'hôtes.
• KAPE (Kroll Artifact Parser and Extractor) pour la collecte de triage des artefacts Windows les plus utiles en quelques minutes.
• FTK Imager et Magnet AXIOM pour l'imagerie disque complète quand un incident escalade vers la préservation forensique.
• Volatility 3 pour l'analyse mémoire quand un ransomware, du malware fileless ou une persistance avancée est suspectée.

Vous n'avez pas besoin d'une profondeur d'expert sur tout dès le premier jour. Vous avez besoin de temps de lab sur TheHive, Cortex, KAPE et Velociraptor avant l'entretien, parce que ce sont les outils que l'on vous demandera de démontrer.

Threat hunting: pourquoi c'est votre compétence pont

Le threat hunting est le pont le plus propre entre le travail SOC réactif et le travail IR proactif. Un hunt commence par une hypothèse ("les adversaires abusent des tâches planifiées pour la persistance"), la traduit en sources de données (événements de processus EDR, événements de création de registre, AutoRuns), exécute des requêtes et confirme ou rejette.

Construisez votre fluidité de hunting avec MITRE ATT&CK Navigator. Choisissez une tactique (par exemple TA0003 Persistence), choisissez une technique (T1053.005 Scheduled Task) et écrivez la logique de détection dans votre SIEM. Répétez sur dix techniques et vous avez un portfolio de hunts petit mais réel. Les recruteurs adorent parce que cela montre que vous pensez de façon proactive, ce qui est le mindset IR.

Le threat hunting est aussi l'endroit où la threat intelligence devient pratique. Tirer des TTPs adversaires d'un rapport vendor et les transformer en hunts est exactement ce que fait un analyste IR quand un avis CISA tombe.

Écrire des runbooks IR et des postmortems qui comptent pour les recruteurs

Deux artefacts marquent le changement dans votre portfolio: un runbook IR et un postmortem.

Un runbook IR codifie comment l'équipe gère une classe d'incidents (ransomware, business email compromise, exfiltration de données par insider, web shell sur un serveur public). Il définit les déclencheurs, les rôles via une matrice RACI, les points de décision, les modèles de communication et les chemins de rollback. Prenez trois classes d'incident et écrivez les runbooks pour chacune. Même en qualité lab, cela signale une pensée senior.

Un postmortem documente un incident unique: ce qui s'est passé, quand, qui a fait quoi, ce qui a marché, ce qui n'a pas marché, et quels changements suivent. La section leçons apprises est la partie la plus lue du document. Pratiquez leur écriture sur les incidents de votre home lab. La discipline est la même qu'une note d'investigation SOC, mais l'audience est plus large et les conséquences plus grandes.

Réalité salariale: SOC L1 à SOC L2 à IR L2 en UE

La rémunération en UE suit une courbe prévisible. SOC L1 démarre autour de 32 à 40 mille euros. SOC L2 se situe dans la fourchette 38 à 50. IR L2 se valorise typiquement à 45 à 60, avec des rôles IR en cabinet et des retainers de réponse à brèche atteignant plus haut grâce aux primes d'astreinte et composantes de bonus. Londres et la Suisse tirent vers le haut. L'Europe de l'Est tire vers le bas.

Le saut salarial est réel mais ce n'est pas le titre principal. Le titre principal, c'est la pente. Les rôles SOC plafonnent autour de L3 sauf si vous vous spécialisez. Les rôles IR composent: chaque engagement ajoute une histoire, chaque nouvel outil ajoute de la profondeur, chaque nouveau vertical (finance, santé, OT) ouvre un nouveau marché. Cinq ans dans l'IR, la courbe est très différente de cinq ans dans le SOC.

Le guide salaires donne le détail à jour par région et séniorité.

Certifications qui s'alignent sur cette transition

L'échelle de certs pour le mouvement SOC vers IR est raisonnablement bien définie:

• Security+ est votre socle si vous ne l'avez pas encore. La plupart des SOC analysts l'ont déjà. Elle ancre le vocabulaire fondamental.
• CySA+ est le credential intermédiaire naturel. Elle fait le pont entre opérations SOC et analyse IR avec un focus sur la détection de menaces, la réponse à incident et la gestion des vulnérabilités. Une bonne CySA+ est le bon signal pour un premier rôle aligné IR.
• GCIH de SANS est l'étalon-or pour le spécialiste IR. Cher mais à fort signal en cabinet et chez les retainers.
• BTL1 (Blue Team Level 1) de Security Blue Team est de plus en plus reconnue comme alternative pratique pour les praticiens blue team avec un budget plus serré.
• ECIH d'EC-Council est aussi acceptée sur certains marchés mais pèse moins que GCIH ou BTL1.

Associez une certification avec un artefact fort de portfolio (un runbook, un hunt, un write-up forensique). Un plus un bat trois plus zéro à chaque fois.

Un plan de promotion réaliste sur 9 mois

Un plan sur neuf mois, mené en parallèle de votre poste SOC actuel, ressemble à ceci:

1. Mois 1 à 2. Auditez vos cas SOC actuels pour la portée manquée. Prenez-en cinq et réécrivez-les avec une pensée IR complète. Montez un home lab avec TheHive, Cortex et un serveur Velociraptor.
2. Mois 3 à 4. Travaillez CySA+ si vous ne l'avez pas. En parallèle, écrivez vos trois premiers runbooks IR (ransomware, BEC, web shell) avec un RACI clair.
3. Mois 5 à 6. Faites tourner un tabletop sur chaque runbook avec un pair. Construisez trois threat hunts cartographiés sur des techniques MITRE ATT&CK. Démarrez la préparation BTL1 ou GCIH.
4. Mois 7 à 8. Prenez un rôle actif sur les incidents réels chez votre employeur actuel: demandez à observer les retainers IR, portez-vous volontaire pour la couverture hors horaire, écrivez la section leçons apprises de tout incident que vous avez touché.
5. Mois 9. Postulez pour des rôles IR ou poussez pour une mobilité interne. Apportez un portfolio de trois runbooks, trois hunts et un write-up forensique.

C'est conservateur. Avec des compétences forensiques fortes déjà en place, le mouvement peut aller plus vite. L'important est la structure: les certifications ne remplacent jamais les artefacts, les artefacts ne remplacent jamais les reps opérationnelles. Les trois ensemble changent la conversation avec les hiring managers, de "potentiellement" à "oui".