Accueil · Guides de révision · 200-201

Guide complet 200-201 — Cisco

Understanding Cisco Cybersecurity Operations Fundamentals (CBROPS) · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification Cisco 200-201 CBROPS valide les competences fondamentales d'un analyste SOC junior. Elle s'adresse aux profils debutants en cybersecurite operationnelle souhaitant integrer un Security Operations Center. Format QCM de 95 a 105 questions en 120 minutes, sans prerequis officiel mais avec des bases reseau (CCNA recommande). Debouches principaux : analyste SOC Tier 1, analyste SIEM, technicien securite, incident responder junior. Pierre angulaire de la filiere CyberOps Associate de Cisco.

Pourquoi passer la certification 200-201 ?

Passer la 200-201 CBROPS en 2026 represente un investissement strategique dans un marche europeen confronte a une penurie chronique de 350 000 professionnels en cybersecurite selon l'ENISA. La directive NIS2, applicable depuis octobre 2024, oblige des milliers d'entreprises europeennes a renforcer leur posture de detection et reponse, generant une demande explosive d'analystes SOC. Cisco, leader mondial des equipements reseau et acteur majeur de la securite avec sa suite XDR, beneficie d'une reconnaissance immediate par les recruteurs. CBROPS se distingue de CompTIA Security+ par son orientation operationnelle pure : monitoring, analyse de logs, triage d'incidents, plutot que gouvernance theorique. Le ROI est rapide : un analyste SOC junior certifie negocie en moyenne 4 000 a 6 000 euros annuels de plus qu'un profil non certifie en France. La certification est valorisee dans les MSSP (Orange Cyberdefense, Atos, Sopra Steria, Thales) qui industrialisent leurs SOC et recherchent activement des profils certifies Cisco. Elle ouvre egalement la porte aux postes chez les editeurs (Splunk, CrowdStrike, Palo Alto) qui valorisent la culture detection-response. Enfin, c'est le tremplin naturel vers CCNP Security et SecOps Professional.

Caractéristiques de l'examen

Format	QCM 95 a 105 questions, drag and drop, simulations
Duree	120 minutes
Score requis	Environ 825/1000 (non publie officiellement)
Prix officiel	300 USD soit environ 285 EUR HT
Langues	Anglais et Japonais (pas de version francaise)
Validite	3 ans, renouvelable via Continuing Education
Prerequis	Aucun officiel, bases TCP/IP et CCNA recommandes

Programme détaillé par domaine

Domain 1 : Security Concepts 20%

Objectifs: Ce domaine pose les fondations conceptuelles indispensables a tout analyste SOC. Le candidat doit maitriser la triade CIA (Confidentialite, Integrite, Disponibilite), comprendre les modeles de defense en profondeur, et savoir differencier vulnerabilites, menaces, exploits et risques. L'examen teste la comprehension des principes de moindre privilege, separation des taches, et zero trust. Il faut egalement saisir les concepts d'access control (RBAC, DAC, MAC), les modeles d'attaque comme Cyber Kill Chain de Lockheed Martin et le framework MITRE ATT and CK. La gestion des risques (acceptation, transfert, mitigation, evitement) doit etre comprise dans une optique operationnelle.
Concepts clés: Cyber Kill Chain (Reconnaissance, Weaponization, Delivery, Exploitation, Installation, C2, Actions on Objectives), MITRE ATT and CK Matrix avec tactiques et techniques, Diamond Model of Intrusion Analysis, CVSS v3.1 scoring (base, temporal, environmental), CVE et CWE. Comprehension des termes IOC (Indicators of Compromise) versus IOA (Indicators of Attack), threat intelligence tactique et strategique. Maitrise des concepts run book versus play book, et de la difference entre SIEM, SOAR et XDR. Les principes 5-tuple (source IP, destination IP, source port, destination port, protocol) doivent etre instinctifs pour identifier un flux.
Services / outils: STIX et TAXII pour le partage de threat intel, plateformes comme MISP, Cisco Talos comme source d'intelligence. Outils de gestion de vulnerabilites (Qualys, Tenable Nessus). Connaissance des frameworks NIST CSF et ISO 27001 dans leurs grandes lignes.
Temps estimé: 12h

Domain 2 : Security Monitoring 25%

Objectifs: Domaine central de l'examen, il valide la capacite a interpreter les donnees collectees par les outils de monitoring. L'analyste doit comprendre les types de donnees (session data, full packet capture, transaction data, statistical data, alert data) et leur utilite respective dans une investigation. Il faut maitriser les protocoles d'inspection (NetFlow, IPFIX, sFlow), savoir lire des PCAP avec Wireshark, et identifier des patterns suspects dans des logs. La comprehension des limites de visibilite (chiffrement TLS, tunneling, NAT, P2P, encodage) est cruciale pour expliquer pourquoi certaines attaques echappent a la detection.
Concepts clés: Next Generation Firewall versus stateful firewall, deep packet inspection, application-layer visibility. Difference entre IDS et IPS, deploiement inline versus tap. Comprehension du TLS handshake et de l'impact du chiffrement sur la visibilite reseau. Notions de certificate pinning, HSTS, et inspection SSL via decryption. Mecanismes d'attaques courants : SQL injection, XSS reflected et stored, CSRF, command injection, directory traversal, pivoting, privilege escalation. Connaissance des techniques d'evasion (fragmentation IP, polymorphisme, obfuscation, encoding base64 et hex).
Services / outils: Wireshark et tshark pour l'analyse de paquets, NetFlow v5 v9 et IPFIX, syslog RFC 5424. Cisco Stealthwatch (Secure Network Analytics) pour la visibilite reseau, Cisco Umbrella pour le DNS security. Outils tcpdump, tcpreplay.
Temps estimé: 18h

Domain 3 : Host-Based Analysis 20%

Objectifs: Ce domaine evalue la capacite a investiguer sur un endpoint compromis. Le candidat doit connaitre les composants d'un systeme Windows (Registry, processus, services, scheduled tasks, WMI) et Linux (processus, cron, syslog, journald, /etc). Il faut savoir lire des logs Windows Event Viewer (Security 4624, 4625, 4688, Sysmon), comprendre la structure du MFT NTFS et les artefacts forensiques (prefetch, shimcache, amcache). La distinction entre EDR, antivirus signature-based et HIDS doit etre claire, ainsi que la chaine de custody en investigation.
Concepts clés: Sysmon avec ses Event IDs essentiels (1 process creation, 3 network connection, 7 image loaded, 11 file creation, 13 registry modification). Artefacts Windows : Registry hives (SAM, SECURITY, SOFTWARE, SYSTEM, NTUSER.DAT), Prefetch dans C Windows Prefetch, ShimCache, USN Journal. Concepts de hashing (MD5, SHA1, SHA256) pour l'integrite des preuves. Comprehension des malwares (trojan, ransomware, rootkit, fileless, LOLBins). Application allowlisting, sandboxing, application containers.
Services / outils: Cisco Secure Endpoint (anciennement AMP for Endpoints), Microsoft Defender, journalctl, auditd sur Linux. Outils forensiques Autopsy, Volatility pour memory forensics. Connaissance de Sysinternals Suite (Process Explorer, Process Monitor, Autoruns).
Temps estimé: 14h

Domain 4 : Network Intrusion Analysis 20%

Objectifs: Le candidat doit demontrer sa capacite a correler des elements pour reconstituer un incident. Cela inclut l'analyse de logs proxy, firewall, IDS et IPS, et la lecture de transcripts NetFlow. Il faut savoir identifier le type d'attaque a partir d'indicateurs partiels, mapper les artefacts sur la Cyber Kill Chain ou ATT and CK, et categoriser les true positive, false positive, true negative, false negative. La capacite a extraire des fichiers depuis un PCAP et a calculer leur hash pour verification VirusTotal est attendue.
Concepts clés: Regles Snort et Suricata avec leur syntaxe (action proto src_ip src_port direction dst_ip dst_port options). Comprehension des signatures versus detection comportementale. Analyse de protocoles HTTP, DNS, SMTP, FTP, SMB. Identification d'attaques par DNS tunneling, beaconing C2, exfiltration via DNS TXT records. Notion de Domain Generation Algorithm (DGA), fast flux. Reconstruction de session TCP, suivi de stream Wireshark.
Services / outils: Snort 3, Suricata, Zeek (anciennement Bro) pour l'analyse comportementale. Cisco Firepower NGIPS, Cisco Secure Firewall Management Center. Plateformes type Security Onion pour le lab.
Temps estimé: 16h

Domain 5 : Security Policies and Procedures 15%

Objectifs: Ce domaine couvre les processus organisationnels du SOC. Le candidat doit connaitre les phases d'incident response selon NIST SP 800-61 (Preparation, Detection and Analysis, Containment Eradication Recovery, Post-Incident Activity). La VERIS framework pour le reporting d'incidents et le profiling reseau sont attendus. La gestion des donnees PII, PHI, PCI-DSS doit etre comprise dans une optique conformite.
Concepts clés: NIST 800-61 r2, SOC tiering (Tier 1 triage, Tier 2 investigation, Tier 3 threat hunting). Difference entre CSIRT, CERT, PSIRT. Concepts de containment short-term versus long-term, eradication, recovery. Server profiling (listening ports, logged-in users, running processes) et network profiling (total throughput, session duration, ports used).
Services / outils: Playbooks SOAR, ticketing systems (ServiceNow, TheHive). Standards PCI-DSS, RGPD pour le contexte europeen, HIPAA pour reference americaine.
Temps estimé: 10h

Plan de révision hebdomadaire

Planning recommande sur 8 semaines a raison de 10h hebdomadaires. Semaine 1 : lecture du blueprint officiel Cisco 200-201 v1.2 et installation d'un lab Security Onion ou Splunk Free. Visionnage des modules d'introduction CBROPS sur Cisco Learning Network. Semaine 2 : Domain 1 (Security Concepts). Lecture du guide officiel Omar Santos chez Cisco Press, exercices sur MITRE ATT and CK Navigator, memorisation des phases Cyber Kill Chain. Semaine 3 : Domain 2 partie 1, monitoring reseau. Labs intensifs Wireshark sur fichiers PCAP publics (malware-traffic-analysis.net), exercices NetFlow. Semaine 4 : Domain 2 partie 2 et debut Domain 3. Etude TLS, decryption, analyse d'attaques web. Semaine 5 : Domain 3 host-based analysis. Lab Sysmon sur VM Windows, exploration Event Viewer, exercices Volatility sur memory dumps publics. Semaine 6 : Domain 4 network intrusion analysis. Ecriture de regles Snort, deploiement Suricata, exercices CyberDefenders et LetsDefend.io. Semaine 7 : Domain 5 et premier examen blanc Boson ExSim ou MeasureUp. Identification des points faibles et revision ciblee. Semaine 8 : revisions finales, deuxieme examen blanc, flashcards Anki sur ports, protocoles, Event IDs Windows, Sysmon Event IDs. Passage de l'examen via Pearson VUE en centre ou OnVUE en ligne. Conseil : ne pas negliger la pratique, l'examen contient des questions scenario tres operationnelles necessitant de raisonner comme un analyste, pas comme un theoricien.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Cisco Learning Network 200-201

Blueprint officiel, forums communautaires, et study groups gratuits Cisco.

Cisco U. CBROPS Learning Path

Cours officiel Cisco avec videos, labs hands-on et examens d'entrainement. Environ 700 USD avec abonnement.

Security Onion

Distribution Linux gratuite incluant Suricata, Zeek, Wazuh, TheHive pour pratiquer en lab.

LetsDefend et CyberDefenders

Plateformes de simulation SOC avec investigations realistes, tres aligne avec les attentes CBROPS.

5 erreurs classiques à éviter

Erreur 1 : Negliger la pratique en lab et reviser uniquement la theorie. L'examen contient des scenarios concrets ; sans manipulation reelle de Wireshark, Snort et Sysmon, les questions piegeuses font echouer. Montez un Security Onion des la semaine 1.
Erreur 2 : Confondre IDS et IPS dans leur mode de deploiement. Retenez : IDS observe en tap ou SPAN sans bloquer, IPS se place inline et peut dropper. Cette nuance revient systematiquement sur plusieurs questions.
Erreur 3 : Sous-estimer le domaine host-based analysis sous pretexte d'avoir un background reseau. Les Event IDs Windows (4624, 4688) et Sysmon (1, 3, 11) doivent etre memorises par coeur, sinon perte seche de 15% du score.
Erreur 4 : Mal interpreter true positive et false positive. Un true positive est une alerte legitime sur une activite reellement malveillante. Confondre ces categories coute plusieurs questions de classification.
Erreur 5 : Reserver l'examen trop tot sans passer d'examens blancs. Visez 85% sur Boson ExSim avant d'engager les 300 USD. Le format Cisco est specifique et necessite une habituation au phrasing.

5 questions types corrigées

Q1. Un analyste observe dans NetFlow un host interne etablissant des connexions DNS sortantes toutes les 60 secondes vers un domaine au TTL anormalement bas avec des sous-domaines aleatoires. Quelle technique d'attaque est la plus probable ?

Réponse : B

Le pattern decrit (regularite des connexions, sous-domaines aleatoires evoquant un encodage de donnees, TTL bas pour eviter le cache) est caracteristique d'un canal C2 utilisant le DNS comme transport. Des outils comme dnscat2 ou Cobalt Strike exploitent cette technique pour contourner les firewalls qui autorisent le port 53. Le DNS cache poisoning vise les resolveurs, l'amplification utilise des reponses massives vers une victime, et le zone transfer concerne AXFR depuis un serveur autoritaire.

Q2. Sur un endpoint Windows, quel Sysmon Event ID permet de detecter la creation d'un nouveau processus avec sa ligne de commande complete ?

Réponse : A

Sysmon Event ID 1 (Process Create) journalise chaque creation de processus avec ProcessId, Image, CommandLine, ParentImage et hash du binaire. C'est l'event le plus precieux pour la threat hunting car il revele les techniques living-off-the-land via powershell.exe, wmic, mshta. L'Event ID 3 concerne les connexions reseau, le 7 les chargements de DLL, et le 11 la creation de fichiers. Maitriser ces IDs est indispensable en SOC Tier 1.

Q3. Selon le modele Cyber Kill Chain de Lockheed Martin, a quelle phase appartient la creation d'un document Word malveillant contenant une macro VBA destinee a une victime ciblee ?

Réponse : B

La phase Weaponization correspond a la creation de l'artefact malveillant combinant exploit et payload, avant son envoi. Ici, le document Office armé avec une macro VBA est forge cote attaquant, donc en Weaponization. La Reconnaissance est la collecte d'informations sur la cible, la Delivery est l'envoi effectif (par email par exemple), et l'Exploitation est le declenchement du code malveillant sur le poste victime quand l'utilisateur active les macros.

Voir plus de questions gratuites →

Carrière & salaire après 200-201

En France et en Europe en 2026, un analyste SOC Tier 1 certifie CBROPS demarre entre 35 000 et 42 000 euros bruts annuels, avec une progression rapide vers 50 000 a 60 000 euros en 2 a 3 ans en Tier 2. Les MSSP (Orange Cyberdefense, Atos, Thales, Sopra Steria, Capgemini, Almond) recrutent activement ces profils. En Suisse et au Luxembourg, les salaires atteignent 75 000 a 90 000 euros pour des profils Tier 2. L'evolution naturelle passe par CCNP Security, Cisco Certified CyberOps Professional (350-201 CBRCOR), puis vers des roles de Threat Hunter, Detection Engineer ou DFIR Consultant. Les certs complementaires recommandees sont CompTIA CySA+, BTL1 de SecurityBlue, GCIH SANS pour monter en seniorite, et Splunk Core Certified User pour la pratique SIEM. La certification ouvre egalement les portes des editeurs Cisco, Splunk, CrowdStrike, Palo Alto.

Détail des salaires 200-201 en 2026 →

FAQ — 200-201

Combien de temps faut-il pour preparer 200-201 ?

Comptez 80 a 120 heures sur 8 a 12 semaines pour un debutant avec bases reseau. Un titulaire du CCNA peut viser 6 semaines a raison de 10h hebdomadaires. Sans aucune base IT, prevoyez 4 a 6 mois en passant d'abord les fondamentaux CCST Networking.

Cette certification est-elle reconnue en France ?

Oui, CBROPS est largement reconnue par tous les SOC francais (Orange Cyberdefense, Thales, Atos, Sopra Steria) et figure regulierement dans les annonces pour postes d'analyste SOC junior. Cisco beneficie d'une notoriete forte aupres des DSI et RSSI francais.

Quel est le taux de reussite a 200-201 ?

Cisco ne publie pas de statistiques officielles, mais les retours communautaires sur Reddit et Cisco Learning Network suggerent un taux de reussite au premier essai d'environ 55 a 65%. Une preparation serieuse avec labs et examens blancs Boson permet de viser un succes au premier passage.

Quel est le salaire apres 200-201 ?

En France en 2026, un analyste SOC junior certifie CBROPS demarre entre 35 000 et 42 000 euros bruts annuels en Ile-de-France, 32 000 a 38 000 euros en province. Avec 2 a 3 ans d'experience SOC, la fourchette monte a 45 000 a 55 000 euros.

Faut-il une experience prealable ?

Aucune experience n'est officiellement requise, mais Cisco recommande de bonnes bases TCP/IP, ideallement le niveau CCNA. Une comprehension prealable des protocoles reseau, du modele OSI, et de l'administration Windows et Linux facilite enormement l'apprentissage.

200-201 ou cert concurrente : laquelle choisir ?

Face a CompTIA CySA+, CBROPS est plus operationnelle et orientee SOC, CySA+ plus theorique et vendor-neutral. Face a BTL1, CBROPS est plus reconnue par les recruteurs corporate europeens, BTL1 plus pratique. Pour un poste en MSSP francais, CBROPS reste le meilleur choix.

Combien coute l'examen 200-201 ?

L'examen coute 300 USD HT, soit environ 285 EUR au taux de change 2026, hors taxes locales. Ajoutez la TVA selon le pays. Les centres Pearson VUE et l'option OnVUE en ligne sont disponibles. Des vouchers promotionnels Cisco Learning Partners permettent parfois de baisser le tarif.

Combien de fois peut-on repasser 200-201 ?

En cas d'echec, Cisco impose un delai de 5 jours calendaires avant de pouvoir repasser l'examen. Aucune limite stricte du nombre de tentatives n'est imposee, mais chaque passage coute 300 USD. Apres reussite, vous ne pouvez pas repasser le meme examen pendant 365 jours.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc 200-201 → Test d'orientation