Security Analyst Level 1
đ Introduction
Fin février 2025, TryHackMe a lancé sa toute nouvelle certification Security Analyst Level 1 (SAL1).
Le 31 mars 2025, jâai passĂ© et obtenu cette certification, et comme Ă chaque fois que je teste un exam, je vous fais un petit retour dâexpĂ©rience avec mes impressions et conseils.
Petite prĂ©cision : jâai eu la chance de bĂ©nĂ©ficier dâun voucher gratuit car TryHackMe proposait cette offre Ă tous les dĂ©tenteurs dâune certif CompTIA CySA+ ou Blue Team Level 1 (BTL1). Donc forcĂ©ment, jâai sautĂ© sur lâoccasion, histoire de renforcer mes skills en tant quâanalyste SOC et dĂ©couvrir ce que cette certif avait dans le ventre.
đđ Voucher et prix
Le prix du voucher est de 349⏠avec le training path inclus, ou 297⏠si vous ĂȘtes dĂ©jĂ premium sur TryHackMe.
Le training path est accessible directement depuis un compte premium. Si vous voulez plus dâinfos dĂ©taillĂ©es sur la certif (FAQ, syllabus, etc.), je vous invite Ă consulter ce lien officiel : đ security-analyst-level-1
Ă noter : vous avez droit Ă un retake si jamais vous ratez lâexam.
đđđ Format de lâexamen
La certif est notée sur 1000 points répartis de la façon suivante :
QCM : 80 questions en 1h â 200 points
Premier scĂ©nario âSOC Simulatorâ : 2h â 400 points
DeuxiĂšme scĂ©nario âSOC Simulatorâ : 2h â 400 points
Il faut obtenir 800 points minimum pour ĂȘtre certifiĂ©. Lâexamen se passe entiĂšrement en ligne, sur la plateforme TryHackMe, et se lance directement via leur interface.
Une fois terminé, vous obtenez le résultat de maniÚre instantané.
đđđđ PrĂ©requis
Câest une certification entry-level, donc pas besoin dâĂȘtre un expert, mais il y a quand mĂȘme quelques notions Ă bien maĂźtriser avant de se lancer. Voici ce que recommande TryHackMe :
Fundamentals : Réseaux, systÚmes, computing Comportements malveillants courants Utilisation des outils de sécurité (SIEM, etc.) SOC workflows : triage, analyse de logs, rédaction de rapport
Mon conseil perso : Faites les parcours SOC Analyst de TryHackMe : Soc1 et Soc2. Ils vont au-delĂ du niveau requis pour lâexam, mais franchement, ça vous met super Ă lâaise le jour J. Il vaut mieux ĂȘtre trop prĂ©parĂ© que pas assez.
đđđđđ Mon ressenti
Jâai mis environ 4h pour tout terminer et jâai rĂ©ussi du premier coup.
HonnĂȘtement, gros point fort : le rĂ©alisme de lâexam. On se retrouve dans une vraie situation de SOC. Vous recevez des alertes via un âSOARâ, vous les traitez, vous analysez, et vous devez justifier chaque Ă©tape de votre investigation, pourquoi câest un faux positif ? Pourquoi câest un vrai positif ?
Nous avons diffĂ©rents outils pour mener Ă bien nos investigation : SIEM, machines Windows, outils dâanalyse, etc.
Petit bĂ©mol (selon moi) : le rapport que nous devons faire pour chaque alerte est corrigĂ© par une IA. LâidĂ©e est bonne technologiquement parlant, mais jâaurais prĂ©fĂ©rĂ© un retour humain sur mes rapports.
đđđđđđ SAL1 vs BTL1
Si vous hésitez entre SAL1 et BTL1, voici mon avis en ayant passé les deux :
BTL1 est plus âblue team de maniĂšre gĂ©nĂ©ralâ : cela va plus ce concentrer sur des outils forensics (Autopsy, Volatility, KAPE, DeepBlueCLIâŠ)
La SAL1 est est vraiment concentrĂ© pour le mĂ©tier dâanalyste soc, et nous nous concentrons sur des outils de soc comme : (SIEM, SOAR, alertes, rĂ©daction, priorisation).
Les deux se complĂštent bien, mais BTL1 est plus orientĂ©e blue team de maniĂšre gĂ©nĂ©ral, lĂ oĂč SAL1 approfondit le quotidien dâun analyste SOC.
Et si vous faites les parcours SOC1 + SOC2 de TryHackMe, vous aurez les connaissances pour les deux certifs.
đđđđđđđ Conclusion
La certification SAL1 est une bonne certification dâentrĂ©e dans le monde du SOC.
Elle vous apprend Ă :
- Prioriser et analyser les alertes
- Lire et interpréter les logs
- Connecter les infos (IOCs, comportements suspects)
- Rédiger un rapport clair et argumenté Le tout dans un environnement réaliste et immersif. Et à un prix qui reste raisonnable pour une entry-level.