Accueil · Guides de révision · 350-201

Guide complet 350-201 — Cisco

Performing CyberOps Using Cisco Security Technologies (CBRCOR) · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification Cisco 350-201 CBRCOR valide les competences operationnelles en cybersecurite pour analystes SOC niveau 2 et 3. Examen de 120 minutes, 90-110 questions, score requis autour de 825/1000, tarif 400 EUR. Aucun prerequis formel mais 3-5 ans d'experience SOC recommandes. Constitue le tronc commun de la certification CyberOps Professional. Debouches principaux : analyste SOC senior, incident responder, threat hunter, ingenieur securite avec salaires entre 50k et 75k EUR en France.

Pourquoi passer la certification 350-201 ?

Passer la 350-201 en 2026 repond a une penurie critique de profils SOC qualifies en Europe, estimee a plus de 350 000 postes non pourvus selon l'ENISA. Cisco reste un acteur dominant des infrastructures reseau et securite (Firepower, Stealthwatch, Umbrella, SecureX, XDR), ce qui rend la certification immediatement valorisable dans les grandes entreprises, ESN et MSSP. Contrairement aux certifications purement theoriques, la CBRCOR met l'accent sur les processus operationnels reels : triage d'alertes, investigation, threat intelligence, automatisation SOAR et reponse a incident. Le ROI est rapide : une montee en grille salariale de 8 a 15% est generalement observee dans les 12 mois suivant l'obtention. La certification valorise un CV pour les postes de SOC analyst T2/T3, threat hunter et incident responder, particulierement dans les secteurs reglementes (banque, sante, defense, OIV soumis a NIS2). Elle constitue aussi un tremplin naturel vers la CyberOps Professional complete via le concentration exam 300-215 CBRFIR (forensics) ou 300-220 CBRTHD (threat hunting). En 2026, la demande explose sous l'effet combine de NIS2, DORA et de la generalisation des architectures XDR.

Caractéristiques de l'examen

Format	QCM, drag-and-drop, scenarios
Duree	120 minutes
Score requis	Environ 825/1000 (non communique officiellement)
Prix officiel	400 USD soit environ 380 EUR HT
Langues	Anglais (japonais partiel)
Validite	3 ans
Prerequis	Aucun formel, 3-5 ans experience SOC recommandes

Programme détaillé par domaine

Domain 1 : Fundamentals 20%

Objectifs: Ce domaine evalue la maitrise des concepts fondamentaux de la cybersecurite operationnelle : interpretation des composants d'une politique de securite, comparaison des modeles de deploiement cloud, comprehension des architectures de reference SOC, et application des principes de defense en profondeur. Le candidat doit savoir interpreter les CVSS scores, classifier les actifs selon leur criticite et appliquer la matrice MITRE ATT&CK pour decrire des comportements adverses. La connaissance des frameworks NIST CSF, ISO 27001 et des normes de conformite PCI-DSS, GDPR et HIPAA est attendue. Le candidat doit egalement comprendre les concepts de risk scoring, de business impact analysis et de classification des donnees sensibles.
Concepts clés: CIA Triad, defense in depth, zero trust, threat modeling (STRIDE, PASTA), kill chain de Lockheed Martin, MITRE ATT&CK et D3FEND, Diamond Model, CVSS v3.1, CVE et CWE. Notions de risk appetite, residual risk, controles preventifs/detectifs/correctifs. Architectures SOC tiered (T1/T2/T3) versus fusion centers. Modeles IaaS/PaaS/SaaS, responsabilites partagees cloud. Concepts d'asset inventory, CMDB, data classification (public, internal, confidential, restricted). Politiques AUP, BYOD, incident response policy. Notions cryptographiques : TLS 1.3, PKI, certificats X.509, HSTS, perfect forward secrecy.
Services / outils: Cisco SecureX, Cisco Talos Intelligence, ISE pour la classification d'actifs. Outils de threat modeling : Microsoft Threat Modeling Tool, OWASP Threat Dragon. Bases CVE, NVD, exploit-db. Frameworks NIST SP 800-61, 800-53, 800-171.
Temps estimé: 12-15h

Domain 2 : Techniques 30%

Objectifs: Domaine le plus volumineux, centre sur les techniques d'investigation et d'analyse. Le candidat doit savoir interpreter les artefacts d'OS Windows, Linux et macOS, analyser des captures reseau, examiner des logs proxy, DNS et endpoint. Maitrise de l'analyse de malware statique et dynamique, du reverse engineering basique, et de l'analyse de scripts malveillants (PowerShell, JavaScript, VBA). Capacite a correler des evenements multi-sources via SIEM, identifier des IoCs et IoAs, et appliquer la pyramide of pain de David Bianco. Le domaine inclut aussi la chasse aux menaces proactive et l'utilisation de threat intelligence operationnelle, tactique et strategique.
Concepts clés: Artefacts Windows : prefetch, shimcache, amcache, MFT, USN journal, event logs (Security 4624/4625/4688), registre HKLM/Run. Artefacts Linux : auth.log, syslog, bash_history, /proc, systemd journal. Analyse memoire avec Volatility (pslist, malfind, netscan). Indicateurs : hash MD5/SHA256, domaines C2, IPs, mutex, regles YARA et Sigma. Pyramide of pain, diamond model pivoting. Threat hunting hypothesis-driven. Living-off-the-land binaries (LOLBins) : certutil, mshta, rundll32, wmic. Techniques d'obfuscation PowerShell, base64, AMSI bypass.
Services / outils: Cisco Secure Endpoint (AMP), Secure Network Analytics (Stealthwatch), Secure Malware Analytics (Threat Grid), Umbrella Investigate, Talos. Outils tiers : Wireshark, Zeek, Suricata, Volatility, YARA, Sigma, MISP, OpenCTI.
Temps estimé: 20-25h

Domain 3 : Processes 30%

Objectifs: Couvre l'ensemble du cycle de reponse a incident selon NIST SP 800-61r2 : preparation, detection et analyse, containment, eradication, recovery, post-incident. Le candidat doit savoir prioriser les incidents selon leur severite et impact business, appliquer des playbooks SOAR, conduire des analyses de cause racine et rediger des rapports d'incident exploitables par les equipes techniques et le management. Inclut egalement la gestion de la chaine de custody forensique, la coordination avec les CSIRT externes et les autorites (ANSSI, CERT-FR), ainsi que les obligations de notification sous NIS2 et RGPD (72h).
Concepts clés: Lifecycle NIST IR, playbooks par typologie (phishing, ransomware, data exfiltration, insider threat, BEC). Triage avec matrice impact/urgence. Containment short-term vs long-term, isolation reseau, segmentation dynamique. Chain of custody, write-blockers, hashing avant analyse. Lessons learned, after-action review. Communication crisis : RACI, war room, public statements. Obligations legales : RGPD article 33, NIS2 incident notification, sectoriels (DORA banque, HDS sante).
Services / outils: Cisco SecureX orchestration, XDR playbooks, Cisco Secure Network Analytics. SOAR tiers : Splunk SOAR (Phantom), Palo Alto XSOAR, IBM Resilient. Ticketing : ServiceNow SecOps, TheHive avec Cortex. Plateformes CTI : MISP, OpenCTI, Anomali.
Temps estimé: 15-18h

Domain 4 : Automation 15%

Objectifs: Evalue les competences en automatisation SOC et scripting. Le candidat doit savoir interpreter et ecrire du code Python basique pour interagir avec des APIs REST, parser des logs JSON, et construire des workflows SOAR. Connaissance des principes DevSecOps, CI/CD security, infrastructure as code (Terraform, Ansible) et integration de scanners de vulnerabilites dans les pipelines. Comprehension des concepts de webhooks, queues de messages et architectures event-driven appliquees au SOC.
Concepts clés: REST APIs : methodes GET/POST/PUT/DELETE, codes HTTP, authentification Bearer/OAuth2, rate limiting. JSON et YAML parsing. Python : requests, json, regex, pandas pour log analysis. Git workflows, branches, code review. CI/CD : Jenkins, GitLab CI, GitHub Actions avec SAST/DAST/SCA. Infrastructure as Code : Terraform pour deployer regles firewall, Ansible playbooks pour patching. Webhooks et event-driven SOAR. Idempotence, secrets management (Vault, AWS Secrets Manager).
Services / outils: Cisco SecureX orchestration workflows, Meraki Dashboard API, Firepower Management Center API, ISE pxGrid, DNAC API. APIs tiers : VirusTotal, Shodan, AbuseIPDB, MISP REST. Postman pour tests API.
Temps estimé: 10-12h

Domain 5 : Policies and Procedures 5%

Objectifs: Domaine de poids reduit mais transversal, couvrant les aspects gouvernance, conformite et communication. Le candidat doit comprendre l'articulation entre politiques de securite, standards et procedures operationnelles. Capacite a rediger des SOP (Standard Operating Procedures), maintenir des runbooks a jour, et communiquer efficacement avec les parties prenantes non-techniques. Connaissance des metriques SOC : MTTD, MTTR, false positive rate, dwell time, et de leur reporting aux instances de direction.
Concepts clés: Hierarchie documentaire : policy, standard, procedure, guideline. Metriques SOC : MTTD, MTTR, MTTC, dwell time, true/false positive ratio, alert fatigue. KPI et KRI. Reporting executive vs operationnel. Tabletop exercises, purple teaming, red/blue team coordination. Frameworks de maturite SOC : SOC-CMM, HP 5 generations. Threat intelligence sharing : TLP (White, Green, Amber, Red), STIX/TAXII.
Services / outils: STIX 2.1, TAXII 2.1 servers, MISP sharing communities, FIRST.org, CERT-FR bulletins, Cisco Talos blog et reputation feeds.
Temps estimé: 6-8h

Plan de révision hebdomadaire

Plan de revision sur 10 a 12 semaines pour un professionnel travaillant a temps plein, avec 10 a 15h d'etude hebdomadaire. Semaine 1-2 : lecture du blueprint officiel Cisco 350-201 v1.0, parcours du Cisco Learning Network, et installation d'un lab personnel (VM Ubuntu, Windows 10, Security Onion, ELK stack). Semaine 3-4 : Domain 1 Fundamentals, lecture du livre officiel CBRCOR Official Cert Guide de Cisco Press, exercices sur MITRE ATT&CK Navigator et CVSS calculator. Semaine 5-7 : Domain 2 Techniques, le plus dense. Pratique intensive d'analyse de logs sur Security Onion, captures Wireshark depuis malware-traffic-analysis.net, exercices Volatility sur memory dumps publics. Realiser au moins 20 labs sur Cisco DevNet et CyberDefenders.io. Semaine 8-9 : Domain 3 Processes, etude approfondie de NIST SP 800-61r2, redaction de playbooks pour ransomware et phishing, simulation de tabletop. Semaine 10 : Domain 4 Automation, projets Python contre APIs Cisco SecureX et VirusTotal, construction d'un workflow SOAR end-to-end. Semaine 11 : Domain 5 Policies, lecture rapide, focus sur metriques SOC. Realiser deux examens blancs (Boson ExSim ou MeasureUp) en conditions reelles. Semaine 12 : revision ciblee des points faibles identifies, relecture des flashcards Anki, repos avant l'examen. Reserver le slot Pearson VUE 3 semaines a l'avance.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Cisco 350-201

Blueprint officiel detaille avec les objectifs d'examen, sections et sous-sections. Reference absolue pour cadrer la revision.

CBRCOR Official Cert Guide (Cisco Press)

Manuel officiel par Omar Santos couvrant tous les domaines, avec exercices de fin de chapitre et examens blancs.

Cisco DevNet Security Sandboxes

Labs gratuits hebergeant SecureX, Firepower, Umbrella et Threat Grid avec acces API pour exercices d'automatisation.

Cisco Learning Network Community

Forum officiel Cisco, retours d'experience candidats, study groups et clarifications sur les objectifs.

5 erreurs classiques à éviter

Erreur 1 : Sous-estimer le Domain 2 Techniques qui represente 30% de l'examen. Beaucoup negligent l'analyse forensique memoire et les artefacts Windows. Solution : passer au moins 25h sur les labs Volatility, prefetch et event logs.
Erreur 2 : Confondre la 350-201 avec la 200-201 CBROPS (Associate). La CBRCOR est nettement plus profonde sur les processus IR et l'automatisation. Solution : verifier qu'on a au moins 3 ans d'experience SOC reelle avant de se lancer.
Erreur 3 : Ignorer le Domain 4 Automation par crainte du code. Pourtant Python basique avec requests et json suffit. Solution : suivre un cours Python for Security court (10h) et coder 5 scripts d'interaction avec APIs Cisco.
Erreur 4 : Reviser uniquement avec des dumps de questions. Cisco modifie regulierement la banque et detecte les patterns. Solution : combiner lecture officielle, labs pratiques et examens blancs legitimes (Boson, MeasureUp).
Erreur 5 : Negliger les frameworks et methodologies (MITRE ATT&CK, NIST 800-61, Diamond Model). De nombreuses questions de scenario testent leur application concrete. Solution : memoriser les 14 tactiques ATT&CK et savoir mapper des comportements observes.

5 questions types corrigées

Q1. Un analyste SOC observe sur un endpoint Windows un processus parent explorer.exe lancant powershell.exe avec un argument encode en base64, qui execute ensuite rundll32.exe sur un fichier DLL temporaire. Selon MITRE ATT&CK, quelle technique principale est observee ?

Réponse : C

La sequence implique deux techniques chainees. T1140 correspond au decodage base64 effectue par PowerShell pour reveler la charge utile, et T1218.011 decrit l'execution via rundll32.exe, un binaire signe Microsoft (LOLBin) utilise pour contourner les controles de signature. L'option B est partielle car elle ignore la phase de decodage. L'option A oublie l'execution proxy. T1086 est obsolete dans ATT&CK v9+. Reconnaitre les chaines de techniques est essentiel pour la 350-201.

Q2. Lors d'un incident ransomware actif sur un sous-reseau de production, quelle est l'action de containment a court terme la plus appropriee selon NIST SP 800-61r2 ?

Réponse : B

NIST 800-61r2 recommande un containment qui stoppe la propagation tout en preservant les preuves forensiques. L'isolation reseau via ACL Firepower, segmentation ISE ou quarantaine NAC coupe la communication C2 et le mouvement lateral sans perdre l'etat memoire necessaire a l'analyse Volatility et a la determination du patient zero. Eteindre detruit les artefacts volatils. Restaurer avant analyse risque de reinfecter. La notification publique est prematuree avant qualification de l'incident.

Q3. Dans un workflow SOAR Cisco SecureX, quelle methode d'authentification est recommandee pour appeler l'API Cisco Secure Endpoint depuis un script Python ?

Réponse : C

Cisco Secure Endpoint expose une API REST authentifiee via Client ID et API Key generes dans la console, utilises pour obtenir un token OAuth2 a duree limitee. Cette approche evite l'exposition de credentials permanents et permet la revocation granulaire. Basic Auth admin viole le principe de moindre privilege. Une cle statique en clair contrevient aux bonnes pratiques de secrets management (utiliser Vault ou variables d'environnement). Le mTLS n'est pas la methode standard pour cette API specifique.

Voir plus de questions gratuites →

Carrière & salaire après 350-201

En France et en Europe en 2026, la 350-201 ouvre des postes de SOC Analyst T2 (45-55k EUR), SOC Analyst T3 ou Senior (55-70k EUR), Incident Responder (60-78k EUR) et Threat Hunter (65-85k EUR). Dans les MSSP (Orange Cyberdefense, Thales, Capgemini, Sopra Steria, Atos) et les grandes banques (BNP, Societe Generale, Credit Agricole), les profils certifies sont prioritaires. A Paris, La Defense et Luxembourg, les salaires sont 10-15% superieurs. Evolutions naturelles : SOC Manager (80-110k EUR), CSIRT Lead, Detection Engineer. Certifications complementaires recommandees : Cisco 300-215 CBRFIR ou 300-220 CBRTHD pour completer la CyberOps Professional, GIAC GCIH, GCFA, ou OSCP pour la dimension offensive.

Détail des salaires 350-201 en 2026 →

FAQ — 350-201

Combien de temps faut-il pour preparer 350-201 ?

Comptez 120 a 180 heures sur 10 a 12 semaines pour un professionnel avec 3 ans d'experience SOC. Sans experience prealable, prevoyez 6 mois et passez d'abord la 200-201 CBROPS.

Cette certification est-elle reconnue en France ?

Oui, Cisco est massivement deploye dans les grands comptes francais et les OIV. La CBRCOR est listee dans les referentiels de competence ANSSI et reconnue par France Travail (anciennement Pole Emploi).

Quel est le taux de reussite a 350-201 ?

Cisco ne publie pas de chiffres officiels. Les retours communautaires sur Reddit et Cisco Learning Network indiquent environ 55-65% de reussite au premier essai pour des candidats experimentes.

Quel est le salaire apres 350-201 ?

En France en 2026, entre 50 000 et 75 000 EUR brut annuel pour un SOC analyst T2/T3 certifie, jusqu'a 85 000 EUR pour un threat hunter senior en region parisienne ou au Luxembourg.

Faut-il une experience prealable ?

Aucun prerequis formel impose par Cisco, mais 3 a 5 ans d'experience SOC operationnelle sont fortement recommandes. L'examen teste des scenarios reels difficiles a comprendre sans pratique.

350-201 ou cert concurrente : laquelle choisir ?

Face a CompTIA CySA+ (plus accessible) ou GIAC GCIA (plus prestigieuse mais 8000 EUR), la CBRCOR offre le meilleur rapport profondeur/prix et un fort ancrage dans les ecosystemes Cisco tres presents en Europe.

Combien coute l'examen 350-201 ?

400 USD soit environ 380 EUR HT en 2026 via Pearson VUE. Des vouchers a tarif reduit (Cisco Learning Credits, partenaires Learning Partners) peuvent abaisser le cout a 280-320 EUR.

Combien de fois peut-on repasser 350-201 ?

Cisco impose 5 jours d'attente apres un echec, puis 15 jours apres le deuxieme. Maximum 4 tentatives par periode de 12 mois selon la politique de retake Cisco en vigueur en 2026.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc 350-201 → Test d'orientation