Le CSA - Certified SOC Analyst - par Cadnel Zomahoun

Mon retour sur le cours Certified SOC Analyst d’EC-Council.

Depuis la lecture de l’article d’Erick Bullier, président-fondateur de WOCSA, et dans une suite logique de mes objectifs professionnels, j’ai décidé de m’attaquer à la certification Certified SOC Analyst (CSA) de EC-COUNCIL.

Dans cet article je vais concentrer mon retour d’expérience sur deux aspects à savoir: Le contenu du cours et l’examen.

  • Le contenu du cours

Le CSA est sans aucun doute un bon point de départ pour tous ceux qui recherchent un poste d’analyste sécurité de niveau 1 ou 2 au sein d’un SOC (mais pas limité uniquement à ce profil).

Le cours contient 6 modules + des documents supplémentaires, allant de la Gestion des Opérations de Sécurité au Processus de Réponse aux Incidents ainsi que de l’importance des solutions SIEM dans un centre d’opérations de sécurité et comment les renseignements sur les cybermenaces (cyber threat intelligence) peuvent contribuer à l’amélioration des détections d’incidents.

Vous vous familiariserez également avec les évènements de sécurité de Windows, la gestion des fichiers journaux, les cybermenaces, la notion d’indicateurs de compromission (IoC), les différentes phases de la chaîne cybercriminelle (Cyber Kill Chain), le cycle de vie du SOC, les différentes phases d’intrusion des menaces persistances du type APT, etc…!

Le cours en lui-même est bien conçu, comme d’habitude, et les ilabs vous permettent d’acquérir des connaissances pratiques.

  • L’examen

L’examen dure 3 heures et comporte 100 questions et il faut réussir minimum 70 % des questions pour le valider. Mon conseil est de prendre son temps pour lire correctement toutes les ressources disponibles (y compris les ressources supplémentaires). Certaines questions sont très délicates et d’autres franchement contestables !

L’éventail des questions va de la maîtrise de certains numéros d’événement de sécurité de Windows à la compréhension des requêtes SPLUNK, des règles de pare-feu et être capable de lire et d’interpréter les fichiers journaux IIS etc…

En général, la réussite de l’examen montre une bonne compréhension de l’environnement SOC, des outils et des différents processus. Dans l’espoir que cet article vous ait éclairé sur la certification CSA, je souhaite bonne chance à ceux qui préparent l’examen !

Je ne saurais terminer cet article sans remercier Claire Kemp pour son soutien, ses conseils et son professionnalisme.

Cadnel Zomahoun - Formateur Officiel et Accrédité IT-Gnosis

CSA