Post

Security Analyst Level 1

𝄞 Introduction

Fin février 2025, TryHackMe a lancé sa toute nouvelle certification Security Analyst Level 1 (SAL1).

Le 31 mars 2025, j’ai passĂ© et obtenu cette certification, et comme Ă  chaque fois que je teste un exam, je vous fais un petit retour d’expĂ©rience avec mes impressions et conseils.

Petite prĂ©cision : j’ai eu la chance de bĂ©nĂ©ficier d’un voucher gratuit car TryHackMe proposait cette offre Ă  tous les dĂ©tenteurs d’une certif CompTIA CySA+ ou Blue Team Level 1 (BTL1). Donc forcĂ©ment, j’ai sautĂ© sur l’occasion, histoire de renforcer mes skills en tant qu’analyste SOC et dĂ©couvrir ce que cette certif avait dans le ventre.

SAL1


𝄞𝄞 Voucher et prix

Le prix du voucher est de 349€ avec le training path inclus, ou 297€ si vous ĂȘtes dĂ©jĂ  premium sur TryHackMe.

Le training path est accessible directement depuis un compte premium. Si vous voulez plus d’infos dĂ©taillĂ©es sur la certif (FAQ, syllabus, etc.), je vous invite Ă  consulter ce lien officiel : 👉 security-analyst-level-1

À noter : vous avez droit à un retake si jamais vous ratez l’exam.


𝄞𝄞𝄞 Format de l’examen

La certif est notée sur 1000 points répartis de la façon suivante :

QCM : 80 questions en 1h → 200 points

Premier scĂ©nario “SOC Simulator” : 2h → 400 points

DeuxiĂšme scĂ©nario “SOC Simulator” : 2h → 400 points

Il faut obtenir 800 points minimum pour ĂȘtre certifiĂ©. L’examen se passe entiĂšrement en ligne, sur la plateforme TryHackMe, et se lance directement via leur interface.

Une fois terminé, vous obtenez le résultat de maniÚre instantané.


𝄞𝄞𝄞𝄞 PrĂ©requis

C’est une certification entry-level, donc pas besoin d’ĂȘtre un expert, mais il y a quand mĂȘme quelques notions Ă  bien maĂźtriser avant de se lancer. Voici ce que recommande TryHackMe :

Fundamentals : Réseaux, systÚmes, computing Comportements malveillants courants Utilisation des outils de sécurité (SIEM, etc.) SOC workflows : triage, analyse de logs, rédaction de rapport

Mon conseil perso : Faites les parcours SOC Analyst de TryHackMe : Soc1 et Soc2. Ils vont au-delĂ  du niveau requis pour l’exam, mais franchement, ça vous met super Ă  l’aise le jour J. Il vaut mieux ĂȘtre trop prĂ©parĂ© que pas assez.


𝄞𝄞𝄞𝄞𝄞 Mon ressenti

J’ai mis environ 4h pour tout terminer et j’ai rĂ©ussi du premier coup.

HonnĂȘtement, gros point fort : le rĂ©alisme de l’exam. On se retrouve dans une vraie situation de SOC. Vous recevez des alertes via un “SOAR”, vous les traitez, vous analysez, et vous devez justifier chaque Ă©tape de votre investigation, pourquoi c’est un faux positif ? Pourquoi c’est un vrai positif ?

Nous avons diffĂ©rents outils pour mener Ă  bien nos investigation : SIEM, machines Windows, outils d’analyse, etc.

Petit bĂ©mol (selon moi) : le rapport que nous devons faire pour chaque alerte est corrigĂ© par une IA. L’idĂ©e est bonne technologiquement parlant, mais j’aurais prĂ©fĂ©rĂ© un retour humain sur mes rapports.

𝄞𝄞𝄞𝄞𝄞𝄞 SAL1 vs BTL1

Si vous hésitez entre SAL1 et BTL1, voici mon avis en ayant passé les deux :

BTL1 est plus “blue team de maniĂšre gĂ©nĂ©ral” : cela va plus ce concentrer sur des outils forensics (Autopsy, Volatility, KAPE, DeepBlueCLI
)

La SAL1 est est vraiment concentrĂ© pour le mĂ©tier d’analyste soc, et nous nous concentrons sur des outils de soc comme : (SIEM, SOAR, alertes, rĂ©daction, priorisation).

Les deux se complĂštent bien, mais BTL1 est plus orientĂ©e blue team de maniĂšre gĂ©nĂ©ral, lĂ  oĂč SAL1 approfondit le quotidien d’un analyste SOC.

Et si vous faites les parcours SOC1 + SOC2 de TryHackMe, vous aurez les connaissances pour les deux certifs.

𝄞𝄞𝄞𝄞𝄞𝄞𝄞 Conclusion

La certification SAL1 est une bonne certification d’entrĂ©e dans le monde du SOC.

Elle vous apprend Ă  :

  • Prioriser et analyser les alertes
  • Lire et interprĂ©ter les logs
  • Connecter les infos (IOCs, comportements suspects)
  • RĂ©diger un rapport clair et argumentĂ© Le tout dans un environnement rĂ©aliste et immersif. Et Ă  un prix qui reste raisonnable pour une entry-level.
This post is licensed under CC BY 4.0 by the author.