Devenir analyste SOC chez Orange Cyberdefense


Après des études dans les réseaux et télécommunications, Jeremy M’Bimi s’est spécialisé dans la cybersécurité. Il est aujourd’hui analyste SOC à la suite d’une formation suivie au sein de l’Orange Cyberdefense Academy. Interview.

Quel cursus as-tu suivi ?

J’ai suivi un DUT spécialisé dans les réseaux et les télécommunications. Ce qui était important pour moi, c’était de comprendre le fonctionnement de tous types de réseaux. J’y ai appris à mettre en place et gérer une pluralité d’équipements de communication.  

Le DUT étant généraliste, j’ai voulu me spécialiser et concentrer mon attention sur les SI. J’ai alors étudié l’administration des systèmes et des bases de données à l’Institut Poly Informatique (IPI) de Paris. Bien qu’on y apprenne à sécuriser le système d’information afin de limiter les surfaces d’attaque, ce n’était pas encore à proprement parler mon premier pas dans la cybersécurité.

Qu’en est-il de ton parcours professionnel ?

J’ai tout d’abord été administrateur systèmes et bases de données en ESN chez Castelis puis j’ai rejoint Lexsi à un poste similaire. J’ai notamment géré des infrastructures, assuré la continuité de service, la haute disponibilité et maintenu les serveurs de nos data centers. Cette expérience m’a fait toucher à tout : la virtualisation, le back-up, la supervision, l’automation, l’administration des serveurs et le déploiement de nouvelles technologies… C’est un domaine qui évolue très vite, on n’a vraiment pas le temps de s’ennuyer !

Pourquoi avoir suivi la formation de l’Orange Cyberdefense Academy ?

En 2016, Orange Cyberdefense a racheté Lexsi. Un de mes collègues m’a parlé du centre de formation de l’entreprise, qui prépare notamment au métier d’analyste SOC. J’étais très intéressé, j’ai passé un premier entretien afin d’en savoir plus. L’Orange Cyberdefense Academy me permettait de mettre les deux pieds dans la cybersécurité, de me concentrer sur des technologies de détection des menaces, ce qui m’a beaucoup plu. Au final, je n’ai pas eu besoin de réfléchir longtemps avant de passer les sélections. J’ai eu deux entretiens, l’un avec l’équipe RH, l’autre avec mon potentiel futur manager, puis j’ai passé un test en cybersécurité. Une fois reçu, j’ai suivi la formation en octobre 2018.

Peux-tu nous donner plus de détails sur le déroulé de la formation ?

La formation dure quatre semaines. La première est consacrée à la présentation des métiers de l’entreprise avec les lesquels nous pourrions être amenés à collaborer. Elle présente bien sûr aussi le métier de l’analyste SOC ainsi que des bases en cybersécurité. Les deux semaines suivantes préparent aux certifications pour différentes solutions de SIEM (security information and event management), indispensables à la détection des alertes de sécurité.

La dernière semaine se passe en totale immersion : j’ai été placé en binôme avec un analyste SOC. Ça m’a permis de mettre en pratique les techniques apprises au cours de la formation, en conditions réelles de travail. La formation est très dense, mais c’est une excellente préparation à notre futur métier. Il y avait une bonne ambiance et une vraie cohésion de groupe.

A quoi ressemble ton quotidien aujourd’hui ?

Je suis analyste SOC. Je travaille avec quatre autres analystes pour un client sur une mission de « run ». Je traite les alertes identifiées par nos SIEM, identifie les menaces potentielles et évalue leurs impacts. Nous sommes en contact permanent avec le client et nous pouvons aussi être amenés à enquêter sur des comportements suspects. Je collabore également avec des collègues du « build », pour le paramétrage des SIEM. Nous les faisons évoluer avec l’ajout ou l’optimisation de règles de détection pour coller au plus près des besoins des clients. Pour mon deuxième client, j’ai une mission de veille. J’étudie des rapports de CERT (Computer Emergency Response Team) sur de nouvelles attaques détectées dans le monde. Puis je cherche des traces de compromissions sur le système d’information du client.

Qu’est-ce que tu apprécies le plus dans ton métier ?

J’adore ce travail d’enquête. Par exemple, lorsqu’une alerte pour un système compromis est levée, on doit fournir au client un maximum d’informations : par quel moyen l’attaquant y est parvenu, remonter dans le passé, identifier les évènements suspects, découvrir s’il y a d’autres cas en cours… Le travail de collaboration entre les différentes équipes est aussi très intéressant, chacune apportant son expertise.

Comment vois-tu ton avenir ?

J’aimerais monter davantage en compétences, devenir expert sur une solution de SIEM. Certains possèdent des langages de recherches très puissants pour les analyses : il faut apprendre à construire ces requêtes qui peuvent être complexes et les optimiser. Ils permettent aussi l’élaboration de tableau bords avancés et maîtriser tous ces points offre la possibilité de fournir des rapports complets et pertinents pour le client. Je reste pour l’instant concentré sur cet objectif et ensuite on verra.

A propos du blogueur

Jeremy M’Bimi est diplômé de l’Institut Poly Informatique (IPI) et de l’Université Paris 13. Il a d’abord été administrateur de systèmes et de bases de données avant de suivre une formation au sein de l’Orange Cyberdefense Academy. Il est aujourd’hui analyste SOC.

Jeremy M'Bimi, analyste CyberSOC chez Orange Cyberdefense