# Métiers et prérequis pour réaliser sa mission Le terme "Blue Team" regroupe plusieurs spécialités avant chacune ses propres missions, méthodes de travail et besoins logiciels. \ Nous ne verrons ici que les profils les plus fréquents, pour une liste plus complète je vous invite a lire [le panorama des métiers publié par l’ANSSI](https://cyber.gouv.fr/publications/panorama-des-metiers-de-la-cybersecurite). ### Opérateur analyste SOC (Security Operations Center) Mission principale :\ L’opérateur analyste SOC assure la supervision du système d’information d'une entreprise afin de détecter des activités suspectes ou malveillantes.\ Il identifie, catégorise, analyse et qualifie les événements de sécurité en temps réel ou de manière asynchrone, sur la base de rapports d’analyse sur les menaces.\ Il contribue au traitement des incidents de sécurité avérés en support des équipes de réponse aux incidents de sécurité. Pour réaliser sa mission, il a besoin d'outils permettant : * Visualisation et corrélation de logs * Analyse rapide d’IOC (hash, IP, domaine) * Simulation d’attaques simples pour valider les règles de détection * Utilitaires réseau (Wireshark, whois, curl, etc.) Beginner Friendly : Oui ### Spécialiste DFIR (Digital Forensics & Incident Response) Mission principale :\ Ce professionnel intervient après un incident avéré pour en déterminer la cause, mesurer l’impact et préserver les éléments de preuve numériques.\ En pratique, DFIR regroupe deux spécialités souvent assurées par la même équipe : * Digital Forensic : préservation, extraction et analyse des preuves (disques, journaux, mémoire) * Incident Response : analyse de l’attaque, endiguement, remédiation et retour d’expérience Pour réaliser sa mission, il a besoin d'outils permettant : * Acquisition forensique (disques, RAM) * Analyse d’artefacts (MFT, journaux) * Investigation mémoire et timeline Beginner Friendly : Non (profil N2 minimum) ### Analyste Threat Intelligence Mission principale :\ L’analyste de la menace recueille, qualifie et contextualise les informations liées aux menaces.\ Il surveille les groupes d’attaquants, les campagnes ciblées et les indicateurs de compromission.\ Ses analyses fournissent de précieuses informations aux équipes de détection et de réponse. Pour réaliser sa mission, il a besoin d'outils permettant : * Collecte OSINT et enrichissement d’IOC * Analyse de malwares (statique ou dynamique) * Intégration avec des plateformes comme [MISP](https://www.misp-project.org), [Yeti](https://yeti-platform.io) Beginner Friendly : Possible avec encadrement ### Pentester défensif Mission principale :\ Ce profil simule des attaques réalistes pour tester les capacités de détection et de réponse de l’organisation.\ Il contribue à l’amélioration des dispositifs SOC par la confrontation à des scénarios adverses. Pour réaliser sa mission, il a besoin d'outils permettant : * Emulation de TTP MITRE ATT\&CK * Automatisation de campagnes simulées * Test de règles Sigma / YARA Beginner Friendly : Non (expérience offensive/défensive requise) ### Autres métiers Blue Team (ANSSI) | Catégorie | Métier | Beginner Friendly | | ----------------------- | ---------------------------------------- | ----------------- | | Détection & supervision | Responsable du SOC | Non | | Réponse & investigation | Responsable CSIRT, Gestionnaire de crise | Non | | Expertise technique | Consultant cybersécurité défensive | Selon cas |