Pourquoi ATT&CK compte pour les SOC algériens dès maintenant
La stratégie nationale de cybersécurité 2025-2029 génère une demande SOC plus rapide que l'offre de talents. Chaque ministère, banque, télécom et utilité publique met en place une unité cybersécurité au titre du décret présidentiel 26-07, et Systelium décrit désormais l'Algérie comme un hub MENA émergent en cybersécurité grâce à la main-d'œuvre certifiée, compétitive en coût, formée à la nouvelle École nationale de cybersécurité de Sidi Abdellah et dans les écoles d'ingénieurs existantes.
Le problème n'est pas d'embaucher. C'est de transformer ces recrues en analystes capables de lire une alerte SIEM, la relier à une technique adverse et recommander une étape de confinement. C'est précisément ce que le framework MITRE ATT&CK a été conçu pour combler.
ATT&CK apporte trois choses à un analyste qu'aucune certification éditeur n'offre à elle seule : un vocabulaire partagé (T1078 « Valid Accounts » signifie la même chose dans une banque algérienne ou chez un constructeur automobile allemand), une carte de détection (si vous êtes aveugle à T1003 « dumping de credentials », vous manquerez la plupart des précurseurs de ransomware) et une manière structurée de mesurer la couverture SOC — ce que MITRE appelle une SOC Assessment.
Le cursus de six semaines que tout responsable SOC algérien peut lancer
L'objectif de ce cursus n'est pas de produire un expert certifié en six semaines. C'est de produire un analyste capable d'ingérer une alerte SIEM réelle, de l'étiqueter avec l'ID de technique ATT&CK correct, de consulter les guidances documentées de détection et de mitigation, et de rédiger une note de triage utile.
Semaine 1 — Fondamentaux ATT&CK. Inscrire l'analyste à la formation gratuite ATT&CK Fundamentals de MITRE, qui parcourt tactiques, techniques, procédures, sources de données et le navigateur de la matrice. Devoir : ouvrir la matrice ATT&CK Enterprise, choisir trois techniques et dessiner un diagramme d'une page montrant comment elles s'enchaînent dans une attaque réaliste.
Semaine 2 — Cartographie vers votre SIEM. Prendre les cinq règles de détection les plus actives de votre SIEM ou EDR et cartographier chacune vers un ID de technique ATT&CK. Si une règle ne peut pas être proprement cartographiée, c'est le signe qu'elle est soit trop générique (« PowerShell suspect »), soit trop étroite (IOC spécifique). L'analyste possède désormais un document de cartographie vivant.
Semaine 3 — Atomic Red Team en sandbox. Atomic Red Team, projet open-source Red Canary, expose des centaines de petits tests indexés ATT&CK. Démarrer une VM Windows 10/11 isolée, choisir dix tests atomiques sur trois tactiques (Execution, Persistence, Defense Evasion), les lancer et confirmer si votre outillage SOC déclenche effectivement une alerte. Là où il ne le fait pas, l'analyste consigne une lacune de détection.
Semaine 4 — Threat Intelligence vers ATT&CK. Choisir trois rapports d'intrusion récents chez des éditeurs (Unit 42, Mandiant, Group-IB, Kaspersky). Pour chacun, l'analyste extrait les techniques ATT&CK nommées et construit une petite « couche » d'acteur dans le navigateur ATT&CK gratuit. C'est la compétence qui permet de répondre « sommes-nous couverts contre Scattered Spider ? » autrement qu'à l'intuition.
Semaine 5 — Pratique de SOC Assessment. Le cours ATT&CK SOC Assessments de MAD20 enseigne un processus compressé et reproductible pour évaluer la couverture SOC face à ATT&CK. Même sans acheter la certification, les aperçus gratuits plus la méthodologie publique MITRE donnent à une équipe SOC algérienne une manière défendable de reporter la couverture au CISO — en pourcentage de techniques observées, partiellement observées ou aveugles.
Semaine 6 — Capstone : écrire une détection. L'analyste choisit une technique où la couverture est faible, écrit une règle de détection (Sigma, KQL ou Splunk SPL), la teste contre le test Atomic Red Team de la semaine 3, et documente la règle, le taux de faux positifs et la lacune résiduelle.
À la fin des six semaines, l'analyste a touché chaque couche du framework et produit trois artefacts réutilisables : une cartographie règle-vers-technique, un instantané de couverture ATT&CK et une nouvelle détection. C'est un analyste SOC junior défendable.
Publicité
Ancrer cela dans l'infrastructure existante de l'Algérie
Les responsables SOC algériens n'ont pas à inventer cela à partir de zéro. Trois leviers locaux rendent le cursus plus facile à exécuter.
- ISC2 Algérie et OWASP Algiers. Le chapitre ISC2 El Djazair et OWASP Algiers organisent déjà des groupes d'étude communautaires. Des clubs de lecture ATT&CK s'insèrent naturellement dans leur calendrier existant de CTF et de meetups.
- École nationale de cybersécurité, Sidi Abdellah. Les programmes d'ingénierie et de doctorat de l'école sont académiques par conception ; les SOC d'entreprise peuvent donc proposer des stages absorbant les étudiants seniors dans du travail de détection réel — un capstone ATT&CK vivant.
- 285 000 places de formation professionnelle en 2026. Le plan étendu de formation professionnelle de l'Algérie inclut des filières cybersécurité. Les responsables SOC devraient plaider pour que les centres CFPA d'Alger, Oran et Constantine ajoutent un module ATT&CK Fundamentals — les étudiants inscrits seront leurs analystes Tier-1 en 2027.
Ce que les managers doivent s'attendre à voir changer
Trois choses s'améliorent visiblement après qu'une équipe SOC a suivi ce cursus.
D'abord, la qualité des tickets. Les notes de clôture cessent de dire « bloqué par AV, fermé » et commencent à dire « T1566.001 spearphishing attachment, loader type Emotet, bloqué au endpoint ; vérification de persistance propre. » C'est un progrès mesurable.
Ensuite, le reporting au CISO. Au lieu de métriques de volume (« nous avons clos 1 200 alertes ce mois »), le SOC peut reporter des tendances de couverture ATT&CK — le pourcentage de techniques courantes que le SOC peut observer, avec un plan concret pour les techniques aveugles. CISO, auditeurs et membres du conseil comprennent ce langage.
Enfin, la rétention. Les analystes qui apprennent ATT&CK acquièrent une compétence portable et internationalement reconnue. À court terme, cela les rend plus difficiles à garder, mais cela rend aussi le SOC plus attractif pour les analystes seniors que les employeurs algériens peinent à recruter. Le compromis est le bon.
Où cela laisse les responsables SOC algériens
ATT&CK est gratuit, neutre en termes de fournisseurs, et la lingua franca mondiale de l'ingénierie de détection. Il n'y a aucune raison qu'un SOC algérien — public ou privé, à Alger ou à Oran, banque ou ministère — ne l'utilise pas couramment d'ici fin 2026. Le cursus ci-dessus est un point de départ clé en main ; il ne requiert ni nouveau budget, ni nouveaux fournisseurs, ni déplacements. Il exige un responsable SOC qui bloque six semaines dans son calendrier de formation et tient ses engagements.
À retenir : Les responsables SOC algériens devraient adopter le framework MITRE ATT&CK comme colonne vertébrale par défaut de l'onboarding analyste. Déployer le cursus de six semaines ci-dessus avec chaque nouvel analyste junior, rendre la cartographie ATT&CK obligatoire dans les notes de clôture de tickets, et coordonner avec le chapitre ISC2 Algérie et OWASP Algiers pour faire des groupes d'étude ATT&CK un rendez-vous communautaire récurrent.
Questions Fréquemment Posées
Nos analystes SOC ont-ils besoin d'une certification payante pour utiliser MITRE ATT&CK ?
Non. Le framework lui-même est gratuit, et MITRE publie la formation ATT&CK Fundamentals sans frais. MAD20 propose des certifications payantes (ATT&CK SOC Assessments, CTI, Threat Hunting) pour les analystes qui souhaitent un diplôme formel, mais un SOC algérien peut atteindre une maîtrise opérationnelle complète avec seulement le contenu gratuit, Atomic Red Team, et les ressources communautaires comme ISC2 Algérie et OWASP Algiers.
Comment ATT&CK s'intègre-t-il aux certifications comme CISSP ou CEH déjà valorisées par les employeurs algériens ?
ATT&CK est complémentaire, pas concurrent. Le CISSP couvre gouvernance et architecture ; le CEH couvre l'outillage offensif. Aucun ne donne à un analyste un langage partagé pour décrire ce qu'une règle de détection attrape vraiment. En pratique, les recruteurs des banques et télécoms algériens listent de plus en plus la maîtrise ATT&CK aux côtés de CISSP ou CEH comme compétence préférée, parce que c'est ce que le travail SOC quotidien requiert.
L'École nationale de cybersécurité de Sidi Abdellah peut-elle intégrer ATT&CK à son cursus ?
Elle devrait, et il n'y a aucune barrière technique. ATT&CK est déjà enseigné comme framework de référence dans la plupart des masters internationaux en cybersécurité. Ajouter un module dédié à Sidi Abdellah, plus des capstones de stage basés sur ATT&CK avec les SOC algériens, donnerait aux diplômés une compétence opérationnelle qui correspond directement aux besoins des employeurs dès le premier jour.
Sources et lectures complémentaires
- Framework MITRE ATT&CK — Site officiel
- Ressources de formation MITRE ATT&CK
- MAD20 — Formations et certifications MITRE ATT&CK
- Atomic Red Team — GitHub Red Canary
- Construire de vraies compétences cyber avec MITRE ATT&CK — Training Industry
- L'Algérie impose des unités de cybersécurité dans le secteur public — Ecofin Agency
- L'Algérie prévoit 285 000 nouvelles places de formation professionnelle en 2026 — Ecofin Agency
- Cybersécurité : la montée de l'Algérie comme hub stratégique — Systelium
- Chapitre ISC2 Algérie — ISC2 Community
- Chapitre OWASP Algiers
