← Retour au carnet Certifications · en cours · 2026
Suivi de préparation · mai 2025 → 2026

Préparation
CDSA.

Journal de préparation au HTB Certified Defensive Security Analyst, la certification Blue Team de HackTheBox. SOC Analyst path, Sherlocks, rapport d'incident commercial-grade.

Démarré
Mai 2025
Émetteur
HackTheBox Academy
État
En cours
CDSAHTB AcademySOCIncident ResponseSIEMSherlocks
↳ la certification Blue Team qui exige un rapport.
i.

Qu'est-ce que le CDSA : pas de QCM.

HTB CDSA évalue les compétences défensives sur des réseaux réels et hétérogènes. L'examen n'est pas terminé sans un rapport d'incident commercial-grade.

HTB Certified Defensive Security Analyst

Certification intermédiaire axée sur la security analysis, les opérations SOC et l'incident handling. Aucune question à choix multiples, tout se passe sur des environnements réseau réels accessibles via VPN ou Pwnbox. Deux tentatives incluses dans le voucher.

  • Environnements réels : Réseaux hétérogènes, multiples hôtes, incidents simulés sur infrastructure HTB. Pas de CTF jouet.
  • Corrélation de données : Le candidat doit relier des traces disparates (logs, traffic, artefacts) pour reconstituer la chaîne d'attaque complète.
  • Rapport obligatoire : Impossible d'obtenir la cert sans rédiger un rapport d'incident actionnable, calibré pour un public non-technique.
  • Complémentaire à l'OSCP : L'OSCP couvre l'attaque, le CDSA couvre la détection et la réponse. Ensemble, ils forment les deux faces du périmètre.
↳ La cert qui valide qu'on sait écrire autant que détecter.
ii.

SOC Analyst Path : les modules.

Prérequis obligatoire : compléter le SOC Analyst job-role path à 100% sur HTB Academy avant de passer l'examen.

Security Monitoring & SIEM FundamentalsSplunk, architecture SOC, alerting.
Network Traffic AnalysisWireshark, tcpdump, IDS/IPS (Suricata, Snort).
Threat Intelligence FundamentalsIOC, MITRE ATT&CK, threat feeds.
YARA & Sigma RulesÉcriture de règles de détection, faux positifs.
Windows Event Logs & SysmonWindows evtx, Sysmon config, detection engineering.
Intro to Malware AnalysisStatic analysis, sandbox, artefacts mémoire.
Incident Handling ProcessNIST framework, triage, containment, eradication, recovery.
Active Directory Threat DetectionKerberoasting, Pass-the-Hash, DCSync, côté défensif.
iii.

Méthode : Sherlocks & rapport.

Les Sherlocks HTB sont des mini-investigations forensiques sur artefacts réels. Idéal pour pratiquer le format rapport exigé à l'examen.

Chaque Sherlock est une investigation sur des artefacts réels, fichiers de logs, captures réseau, images mémoire. L'objectif est de répondre à des questions précises : qui a fait quoi, quand, comment.

Ma méthode : résoudre chaque Sherlock actif (gratuits), puis rédiger un rapport d'incident structuré comme à l'examen, résumé exécutif, timeline d'attaque, indicateurs de compromission, recommandations. L'écriture est la moitié de la préparation.

Point critique : À l'examen CDSA, le rapport compte autant que les flags techniques. Un candidat qui trouve tous les artefacts mais rend un rapport mal structuré peut échouer.
# Structure de rapport CDSA (template personnel)

## Executive Summary
- Incident type
- Affected systems
- Timeline (first/last seen)
- Business impact

## Technical Analysis
- Attack chain (Cyber Kill Chain / MITRE ATT&CK)
- Evidence collected
- Indicators of Compromise (IOCs)

## Recommendations
- Immediate containment actions
- Long-term hardening measures
iv.

État d'avancement.

  • SOC Analyst path : Modules Security Monitoring, Network Traffic Analysis, Windows Event Logs complétés. ~42% du path.
  • Sherlocks : prévus en complément du path, pour s'entraîner au format rapport d'incident.
  • Sigma rules : Module en cours. Écriture de règles de détection Kerberoasting et Pass-the-Hash.
  • MITRE ATT&CK : cartographie systématique des techniques étudiées.
  • Examen CDSA : Cible : avant le départ pour le Québec (sept. 2026), en parallèle de l'OSCP.
Pourquoi ce binôme OSCP + CDSA

L'OSCP m'apprend à compromettre. Le CDSA m'apprend à détecter et répondre. Ce n'est pas redondant, c'est le même réseau vu des deux côtés du pare-feu. Un auditeur Blue Team qui ne comprend pas l'attaque ne comprend pas ce qu'il cherche. Un pentesteur qui ne sait pas rédiger un rapport d'incident ne sait pas communiquer ce qu'il a trouvé.

Les deux certifications ensemble couvrent le cycle complet. C'est exactement ce que demande un poste SOC senior au Québec.