CompTIA CySA+ CS0-003 : Guide cybersécurité analyste 2026

La certification CompTIA CySA+ (Cybersecurity Analyst+, CS0-003) est une certification de niveau intermédiaire spécialisée dans l'analyse de la cybersécurité. Elle valide les compétences nécessaires pour détecter les incidents de sécurité, analyser les données de menaces, répondre aux incidents et améliorer la posture de sécurité d'une organisation. C'est la certification idéale pour les professionnels qui souhaitent progresser dans leur carrière de cybersécurité, notamment vers des rôles d'analyste SOC (Security Operations Center) de niveau 2 ou 3.

CySA+ : une certification qui suit Security+

La CySA+ est généralement considérée comme le niveau suivant après le CompTIA Security+. Là où le Security+ couvre les fondamentaux de la sécurité, le CySA+ se spécialise dans l'analyse comportementale, la threat intelligence, et la réponse aux incidents. CompTIA recommande d'avoir au minimum :

• CompTIA Security+ ou une expérience équivalente
• 4 ans d'expérience pratique en sécurité informatique ou en analyse IT

La CySA+ est approuvée par le DoD américain pour les postes de sécurité informatique et répond aux exigences de la directive DoD 8570/8140.

Les quatre domaines de l'examen CySA+ CS0-003

Domaine 1 : Security Operations (33 %)

C'est le domaine le plus important et le cœur du métier d'analyste SOC. Il couvre :

• Surveillance et analyse des journaux : utilisation des SIEM (Splunk, QRadar, Elastic SIEM), corrélation d'événements, création de règles d'alerte
• Threat Intelligence : types de renseignements sur les menaces (tactique, opérationnel, stratégique), sources d'intelligence (OSINT, ISACs, feeds commerciaux), framework MITRE ATT&CK
• Analyse du trafic réseau : utilisation de Wireshark, tcpdump, analyse de PCAP, détection d'anomalies réseau
• Gestion des vulnérabilités : scans de vulnérabilités (Nessus, OpenVAS), priorisation des vulnérabilités (CVSS), gestion du cycle de vie des vulnérabilités
• Threat Hunting : recherche proactive de menaces cachées dans l'environnement

Domaine 2 : Vulnerability Management (30 %)

Ce domaine couvre le processus complet de gestion des vulnérabilités :

• Planification et exécution des scans de vulnérabilités (interne vs externe, authentifié vs non authentifié)
• Interprétation des résultats de scan : faux positifs, score CVSS v3, prioritisation par risque métier
• Remédiation et suivi : plans de remédiation, compensation controls, gestion des exceptions
• Analyse des endpoints : EDR (Endpoint Detection and Response), indicateurs de compromission (IOC)
• Sécurité des applications : revue de code, DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing), analyse de dépendances

Domaine 3 : Incident Response and Management (20 %)

Ce domaine teste votre capacité à gérer un incident de sécurité du début à la fin :

• Cycle de vie de l'incident : préparation, détection/analyse, confinement, éradication, récupération, retour d'expérience (PICERL)
• Analyse forensique : collecte de preuves, chaîne de custody, analyse de mémoire vive, analyse de disques, timeline forensique
• Malware Analysis : analyse statique (strings, PE headers) et dynamique (sandbox, behavioral analysis)
• Playbooks et runbooks : standardisation de la réponse aux incidents courants (phishing, ransomware, exfiltration de données)
• Communication pendant l'incident : escalade, notification des parties prenantes, rapport post-incident

Domaine 4 : Reporting and Communication (17 %)

Souvent négligé par les candidats techniques, ce domaine est crucial pour évoluer dans sa carrière :

• Création de rapports de vulnérabilités destinés à des audiences techniques et non techniques
• Métriques et KPI de sécurité : Mean Time to Detect (MTTD), Mean Time to Respond (MTTR)
• Recommandations de remédiation priorisées selon le risque métier
• Communication des risques de sécurité aux dirigeants et au conseil d'administration
• Conformité et cadres réglementaires : NIST CSF, ISO 27001, PCI DSS, HIPAA, RGPD

Outils et frameworks essentiels pour le CySA+

MITRE ATT&CK

Le framework MITRE ATT&CK est une base de connaissances des tactiques, techniques et procédures (TTP) utilisées par les attaquants réels. Il est organisé en matrices couvrant Enterprise (Windows, Linux, macOS, Cloud) et Mobile. Pour le CySA+, vous devez comprendre comment utiliser ATT&CK pour mapper les activités malveillantes observées, identifier les techniques d'attaque, et améliorer les défenses.

The Diamond Model of Intrusion Analysis

Un modèle d'analyse des intrusions qui examine quatre éléments : l'adversaire, la capacité (capability), l'infrastructure et la victime. Ce modèle aide à comprendre et à prédire le comportement des attaquants.

Cyber Kill Chain (Lockheed Martin)

La Kill Chain décrit les étapes d'une attaque : reconnaissance, armement, livraison, exploitation, installation, commande et contrôle (C2), actions sur les objectifs. Comprendre la Kill Chain aide à identifier à quelle étape une attaque peut être interrompue.

Outils SIEM populaires

• Splunk : leader du marché SIEM, avec son propre langage de requête (SPL)
• IBM QRadar : SIEM enterprise très répandu dans les grandes organisations
• Microsoft Sentinel : SIEM cloud-natif Azure
• Elastic SIEM : solution open-source basée sur Elasticsearch

Ressources de préparation recommandées

• CompTIA CySA+ Study Guide CS0-003 de Mike Chapple et David Seidl : le livre officiel de préparation
• Jason Dion CySA+ Course (Udemy) : cours vidéo complet très bien noté
• Professor Messer CySA+ : cours vidéo gratuits sur professormesser.com
• TryHackMe (tryhackme.com) : labs pratiques de cybersécurité avec des scénarios réalistes
• Blue Team Labs Online : plateforme de labs orientée défense, idéale pour les analystes SOC
• MITRE ATT&CK Navigator : outil interactif gratuit pour explorer le framework ATT&CK

Pourquoi le CySA+ plutôt que le CEH ?

Les candidats hésitent souvent entre le CySA+ de CompTIA et le CEH (Certified Ethical Hacker) d'EC-Council. Voici les différences clés :

• Le CySA+ se concentre sur la perspective défensive (blue team) : détection, analyse, réponse
• Le CEH se concentre sur la perspective offensive (red team/ethical hacking) : exploitation, pentest
• Le CySA+ est vendor-neutral et reconnu par le DoD, le CEH également
• Le CySA+ est généralement moins cher et perçu comme plus pratique dans l'industrie

Pour les professionnels SOC et les analystes de sécurité, le CySA+ est généralement le meilleur choix. Pour les pentesters et les red teamers, le CEH ou CompTIA PenTest+ sont plus appropriés.