Cyber Shelf
Florian Amette
30 avril 20263 min de lecture

Les meilleurs livres pour blue team et analystes SOC en 2026

Six livres qui forment réellement les blue teamers et analystes SOC en 2026. Détection, analyse paquets, forensique, et la littérature opérations que la plupart des équipes sautent.

#blue-team#soc#defensive-security#reading-list#incident-response

Le marché des livres blue team est petit. La plupart des livres « cybersécurité » sont écrits depuis la perspective offensive, laissant les défenseurs, les gens qui font 95 % du travail réel, avec une étagère mince.

Voici les six livres qui aident significativement. À lire dans l'ordre.

Le texte fondateur sur la détection

The Practice of Network Security Monitoring de Richard Bejtlich est le livre qui a défini la discipline NSM moderne. Détection sans prévention, triage d'alertes, les sources de données qui comptent. Plus ancien, mais les principes n'ont pas changé.

Tout analyste SOC devrait l'avoir lu d'ici le troisième mois.

Le compagnon data-driven

Network Security Through Data Analysis de Michael Collins est le côté quantitatif : données flow, analyse de logs, pensée statistique appliquée à la détection. À lire après Bejtlich, quand vous êtes diplômé de « quelle est cette alerte » à « cette alerte vaut-elle le coup d'être triée du tout ».

Les réflexes niveau paquet

Practical Packet Analysis de Chris Sanders est le livre Wireshark. Si vous ne pouvez pas ouvrir un pcap et expliquer ce qui se passe, vous êtes un analyste tier-1 pour toujours. Ce livre est comment cesser de l'être.

Faites chaque exercice. Capturez votre propre trafic. Devenez fluide.

Le primer forensique

Practical Linux Forensics de Bruce Nikkel est le livre IR Linux moderne, post-systemd. La plupart des charges cloud sont Linux ; la plupart des livres blue team supposent encore Windows. Ce livre comble l'écart.

Si votre environnement est lourd en Linux, c'est votre étagère IR.

Le livre threat modeling

Threat Modeling: Designing for Security d'Adam Shostack est le seul livre de la liste qui porte sur la prévention, pas la détection. Les blue teams qui n'influencent pas le design brûleront en répondant à des incidents qui n'auraient jamais dû expédier. À lire avant votre prochaine revue d'architecture.

Le livre vue d'ensemble

Security Engineering de Ross Anderson appartient à toute étagère sécurité, mais il est particulièrement utile pour les blue teamers parce que les chapitres sur banque, identité et opérations correspondent au travail que la plupart des défenseurs font réellement. À lire lentement, sur des années.

Ce qu'il faut sauter

  • Livres vendor-specific pour SIEM, EDR, plateformes SOAR. Ils datent en 18 mois. Lisez la documentation officielle à la place.
  • Guides CISSP sauf si vous passez l'examen. Ils sont optimisés pour les banques de questions, pas pour la compétence.
  • La plupart des livres « incident response » qui sont en réalité des livres IR-management pour managers. Utiles pour les managers, pas les analystes.

Un plan de lecture sur 12 mois

Pour un analyste SOC junior :

  1. Mois 1 à 3 : Practice of Network Security Monitoring.
  2. Mois 4 à 5 : Practical Packet Analysis, en parallèle de pratique pcap quotidienne.
  3. Mois 6 à 8 : Practical Linux Forensics, avec triage hands-on sur images de test.
  4. Mois 9 à 10 : Network Security Through Data Analysis.
  5. Mois 11 à 12 : Threat Modeling: Designing for Security, en assistant aux revues d'architecture.
  6. En continu : Security Engineering, par morceaux, pour toujours.

Les défenseurs qui lisent gagnent. La plupart des défenseurs ne lisent pas. Cette asymétrie est un avantage de carrière si vous le saisissez.

Questions fréquentes

Is The Practice of Network Security Monitoring still relevant in 2026?
Yes. Bejtlich's principles (collect-everything, alert-on-narrow, investigate-broadly) define the modern detection field and have not been replaced. The specific tooling references are dated against modern EDR and cloud-native telemetry, but the framing is foundational.
Should SOC analysts read offensive or defensive books first?
Defensive first, offensive second. The Practice of Network Security Monitoring teaches you what to look for; books like Hacking: The Art of Exploitation teach you why attackers do what they do. Defenders who read both perform meaningfully better than those who only read defensive material.
What is the best book for cloud-native detection and forensics?
There is not yet a single canonical book. The closest is Practical Linux Forensics by Bruce Nikkel, which covers the modern post-systemd Linux IR reference that most cloud workloads need. For cloud control-plane detection, supplement with current AWS/GCP/Azure security documentation.
Do I need to read the Wireshark book if I have ChatGPT?
Yes. ChatGPT can summarise pcap output but cannot teach you the reflexes — the moment-to-moment intuition of "that retransmit pattern looks wrong" or "this TLS handshake is unusual." Practical Packet Analysis is muscle-memory training; LLMs are not a substitute for that kind of skill.