Analyste SOC confirmé F/H
Descriptif de l'organisation
Au sein de la sous-direction Opérations, la division détection (DD) a pour mission de détecter les attaques qui ciblent les systèmes numériques d'intérêt pour l'État. A cet effet, elle conçoit des dispositifs de détection et opère un service de supervision de sécurité (SOC) au profit des services de l’État. Au sein de la DD, le bureau Service d’Analyse et de Supervision (SAS) exploite les dispositifs de détection déployés, mène les investigations complémentaires que nécessite l’examen des événements et des alertes, et signale les incidents détectés aux bénéficiaires du service de détection, en formulant des recommandations.
Descriptif des missions
En qualité d'analyste SOC confirmé, vous contribuez aux missions suivantes du bureau :
- caractériser des phénomènes suspects ou malveillants affectant les systèmes d’information supervisés ;
- remonter les incidents qualifiés avec un maximum d’informations utiles au traitement ;
- capitaliser les connaissances sur les méthodologies d’analyse et sur les éléments de contexte associés aux SI supervisés (cartographies, usages, particularités de traitement, etc.) ;
- produire des synthèses permettant de suivre les tendances d’attaques ;
- maintenir par une veille technique appropriée un haut niveau d’expertise en matière de connaissance des techniques d’attaque et des moyens de détection associés.
Vos activités principales
- analyse des informations techniques issues de sondes de détection d’attaque, de journaux d’évènements, de traces système, etc. ;
- signalement d’incidents en cas d’activités suspectes ou malveillantes ;
- suivi des signalements et reporting associé ;
- appuyer les analystes juniors dans leurs investigations ;
- mettre en place des actions de formations techniques pour faire monter en compétence l’ensemble de l’équipe d’analyste ;
- intégration d’éléments issus d’analyse pouvant faire l’objet de nouvelles règles de détection (par exemple IP/domaines malveillants, nouveaux modes opératoires observés, etc.) ;
- évolution de la stratégie d’exploitation des données du bureau afin de maximiser la détection d’événements malveillants;
- suivi de l’évolution des SI supervisés et actualisation des bases de connaissance associées ;
- rédaction et partage des méthodologies d’analyse ;
- revues croisées des productions de l’équipe et transfert de compétences (formation) ;
- évolutions des méthodologies, des connaissances et de l’outillage, avec les équipes concernées, dans une dynamique d’amélioration continue ;
- soutien aux opérations de traitement d’incident de la Sous-Direction Opérations ;
- permanences de veille, de façon ponctuelle.
Profil recherché
Le titulaire doit être issu d’un cursus universitaire (ou d’une formation technique équivalente), ou disposer d’une expérience notable dans le domaine de la cyberdéfense. Une formation spécialisée en sécurité du numérique ou une expérience dans la supervision de la sécurité au sein d’un SOC constituent un atout important.
Compétences attendues :
- maitrise en protocoles et architectures réseau ;
- maitrise en techniques d’attaque et en détection d’intrusion ;
- maitrise en analyse de journaux réseau et journaux système (Sysmon, Windows Security Log);
- connaissance d’une ou plusieurs solutions de gestion de journaux et alertes (SIEMs, Splunk, ELK) ;
- connaissance des environnements Active Directory et Exchange ( une expérience comme administrateur Windows est un plus) ;
- connaissance des environnements GNU/Linux ;
- connaissance en architecture des systèmes d’exploitation Windows ;
- maîtrise du langage de script Python ;
- capacités rédactionnelles ;
- maîtrise de l’anglais ;
- capacité de synthèse.
Process de recrutement
- Si votre candidature est présélectionnée, vous serez contacté(e) pour apprécier vos attentes et vos motivations au cours d'un entretien téléphonique ou physique.
- Des tests techniques pourront vous être proposés.
- Vous ferez l'objet d'une procédure d'habilitation.
