Quelles sont les meilleures chaînes YouTube blue team en 2026 ?

Pour la profondeur DFIR, 13Cubed est la référence. Pour le parcours d'analyste SOC et les home labs, MyDFIR et Day Johnson sont excellents. Black Hills Information Security et Antisyphon publient gratuitement (ou en prix libre) du contenu défensif réellement avancé.

Peut-on devenir analyste SOC uniquement grâce à YouTube ?

On peut construire l'essentiel des bases. Des chaînes comme MyDFIR vous guident de bout en bout sur les home labs, l'installation d'un SIEM et le triage. Il faut quand même de la pratique et idéalement un poste junior, car lire des logs sous pression est un autre métier que regarder quelqu'un le faire.

Pourquoi y a-t-il beaucoup moins de contenu blue team qu'offensif ?

L'offensif est plus spectaculaire et se montre facilement en dix minutes. La défense, ce sont des logs, des détections et de la patience, donc plus difficile à rendre regardable. C'est précisément cet écart qui rend les bonnes chaînes défensives si précieuses.

Les meilleures chaînes YouTube blue team, SOC et DFIR en 2026

Cherchez "cybersécurité YouTube" et vous noyez dans l'offensif. Pentest par-ci, box compromise par-là, voici un reverse shell. C'est agréable à regarder et ça fait des vues.

La défense se filme moins bien. Personne ne clippe une règle Sigma bien réglée. Une recherche de corrélation qui se déclenche au bon seuil et fait gagner quarante minutes de triage à un analyste ne récolte aucun applaudissement. Du coup le coin blue team de YouTube reste plus petit, plus discret, et franchement sous-estimé. Problématique, quand les défenseurs sont plus nombreux que les red teamers dans à peu près toutes les vraies organisations.

On gère un annuaire de ces chaînes, donc on regarde le contenu volontairement austère. Voici le versant défensif, classé selon ce que vous allez vraiment apprendre, avec un bémol honnête à chaque fois. Ça complète le panorama complet si vous voulez aussi le côté offensif.

DFIR et forensique

Si vous faites de la réponse à incident, ou que vous y aspirez, 13Cubed est la référence, et de loin. Richard Davis construit la forensique Windows comme elle se pratique vraiment : parser la MFT, dérouler ShimCache et Amcache, reconstruire des timelines à partir des journaux d'événements, extraire des artefacts d'une image mémoire avec Volatility. Il ne survole jamais le "pourquoi". Quand il explique ce que signifie une entrée de la base SRUM ou comment un fichier prefetch prouve une exécution, vous repartez capable de défendre la conclusion dans un rapport. La réalisation est propre, le rythme posé, et la profondeur s'adapte du débutant qui découvre le journal USN à l'examinateur chevronné.

Bémol : c'est très orienté Windows, et ce n'est pas un flux continu. Les uploads sont espacés parce que chaque vidéo est dense. Prenez le back catalogue comme un cours, pas comme un fil d'actualité.

Le parcours d'analyste SOC

MyDFIR est la chaîne la plus actionnable de cette liste pour qui veut entrer en SOC. Steven vous fait monter un home lab à partir de rien, déployer Elastic ou un SIEM, générer de la télémétrie, puis chasser dedans pour de vrai. Sa série "SOC analyst" traite la détection comme une compétence qui se travaille, pas comme un mot à la mode. Vous voyez une attaque se dérouler, puis vous le voyez la retrouver dans les logs, soit exactement la boucle qu'un analyste junior doit intérioriser. Ses défis façon 100 jours donnent aux débutants une structure qui manque à la plupart du contenu carrière.

Bémol : c'est volontairement orienté débutant. Une fois à l'aise pour trier des alertes et écrire vos propres détections, une partie vous semblera trop simple et vous voudrez le contenu plus lourd ci-dessous.

Day Johnson recoupe ce terrain mais tire vers la sécurité cloud et le récit de carrière. Ses projets de home lab (de la détection dans AWS et Azure, pas seulement du Windows on-prem) comblent un vrai manque, vu que la plupart du contenu blue team fait comme si le cloud n'existait pas. Il est aussi très franc sur le chemin peu reluisant vers le métier : les refus, l'effort, les certifications qui ont compté et celles qui n'ont rien changé. Si vous voulez le côté humain de l'embauche en plus de la technique, c'est lui.

Bémol : plus de récit et de cadrage carrière que de pratique en profondeur. À coupler avec une chaîne plus technique pour les répétitions concrètes.

Niveau pro et detection engineering

Black Hills Information Security est cette rare chaîne qui publie gratuitement du contenu d'un niveau pour lequel on paierait une place de conférence. Leurs webcasts creusent le detection engineering, le threat hunting et la réalité désordonnée de la défense d'un réseau. Et comme la même équipe fait de l'offensif, le contenu blue team reste ancré dans la façon dont les attaquants se déplacent réellement. Vous aurez du concret sur la couverture MITRE ATT&CK, les sources de logs qui valent la peine d'être collectées et les angles morts de l'EDR, pas un argumentaire éditeur déguisé en cours.

Bémol : format webcast, donc des vidéos longues qui supposent que vous parlez déjà le langage. Ce n'est pas par là qu'un débutant devrait commencer.

Antisyphon Training est le bras formation lié à BHIS, et son modèle en prix libre est l'un des meilleurs deals de la formation en sécurité. Les sessions enregistrées sur le detection engineering, le threat hunting et le métier de SOC sont réellement de niveau cours. Pour une formation défensive structurée sans facture à quatre chiffres, commencez ici.

Bémol : les uploads YouTube servent d'avant-goût aux cours payants (ou en prix libre), donc l'offre gratuite est sélective plutôt qu'exhaustive.

Fondamentaux et carrière

Cyberspatial est la chaîne la plus soignée sur les fondamentaux blue et red. La réalisation est nette et la structure véritablement pédagogique, ce qui en fait une excellente porte d'entrée quand vous assemblez encore le modèle mental reliant réseaux, défenses et attaques. Elle couvre proprement les deux côtés sans choisir un camp trop tôt.

Bémol : les uploads sont irréguliers, et une fois les fondamentaux passés il faudra monter vers les chaînes plus pointues ci-dessus.

Simply Cyber (Gerald Auger) est le contrepoids carrière et GRC à tout ce contenu pratique. Actualité quotidienne des menaces, conseils francs pour se faire embaucher, contenu gouvernance et risque que les chaînes orientées lab ignorent complètement. Si vous naviguez la réalité non technique du métier (décrocher l'entretien, lire une offre d'emploi, comprendre où la GRC s'insère vraiment), c'est votre chaîne.

Bémol : volontairement léger en profondeur technique. N'attendez pas de captures réseau ni de logique de détection ici, attendez de la stratégie de carrière et de la lucidité sur le secteur.

Pour aller plus loin

Défense et analyse se confondent, et une bonne partie du travail DFIR est en réalité du travail sur les malwares. Si le reversing d'échantillons est votre direction, notre article sur les meilleures chaînes YouTube d'analyse de malware creuse le sujet. Et si vous êtes plus tôt dans le parcours et que tout ça vous a paru un mur, commencez par les meilleures chaînes pour débutants puis revenez ici quand le vocabulaire fait tilt.

Le versant défensif de YouTube est plus mince qu'il ne devrait l'être. C'est la mauvaise nouvelle et l'opportunité. Une poignée de gens le font bien, et les suivre de près vaut mieux que s'abonner à cinquante chaînes qui enseignent toutes le même exploit.