Au sein de la sous-direction Opérations (SDO) et de la division Détection (DD), le bureau Service d’Analyse et de Supervision (SAS) exploite les données des dispositifs de détection déployés, mène les investigations complémentaires que nécessite l’examen des évènements et des alertes, et signale les incidents détectés aux bénéficiaires du service de détection, en formulant des recommandations. Le bureau SAS travaille en étroite collaboration avec les équipes de CTI et de réponses aux incidents du CERT-FR, notamment à effet de :

• Caractériser des phénomènes suspects ou malveillants affectant les systèmes d’information supervisés ;

• Remonter les incidents qualifiés avec un maximum d’informations utiles au traitement ;

• Capitaliser les connaissances sur les méthodologies d’analyse et sur les éléments de contexte associés aux SI supervisés (cartographies, usages, particularités de traitement, etc.) ;

• Maintenir par une veille technique appropriée un haut niveau d’expertise en matière de connaissance des techniques d’attaque et des moyens de détection associés.

En qualité d’analyste SOC, vous avez pour missions de :

• Analyser les informations techniques issues de sondes de détection d’attaque, de journaux d’évènements, de traces système, etc. ;

• Signaler les incidents en cas d’activités suspectes ou malveillantes ;

• Suivre les signalements et en assurer le reporting ;

• Intégrer les éléments issus d’analyse pouvant faire l’objet de nouvelles règles de détection (par exemple IP/domaines malveillants, nouveaux modes opératoires observés, etc.) ;

• Participer à l’évolution de la stratégie d’exploitation des données du bureau afin de maximiser la détection d’événements malveillants ;

• Suivre l’évolution des SI supervisés et actualiser les bases de connaissance associées ;

• Rédiger et partager les méthodologies d’analyse ;

• Exercer des revues croisées des productions de l’équipe et transférer les compétences (formation) ;

• Participer aux évolutions des méthodologies, des connaissances et de l’outillage, avec les équipes concernées, dans une dynamique d’amélioration continue ;

• Soutenir les opérations de traitement d’incident de la Sous-Direction Opérations ;

• Assurer les permanences de veille, de façon ponctuelle.

Contraintes et difficultés du poste

Les contraintes et difficultés du poste sont principalement liées au contexte opérationnel de l’activité du bureau :

• Traitement de sujets sensibles, dans des contextes contraints ;

• Réactivité et disponibilité ;

• Cadence de travail assujettie à celle des missions opérationnelles ;

• Implication ponctuelle lors d’opérations menées en dehors des heures ouvrées.

Vous êtes titulaire d’un diplôme d’une formation de type école d’ingénieur ou d’un cursus universitaire équivalent dans le domaine des technologies de l’information et de la communication.

Une expérience dans les métiers de la détection d’intrusion est un plus.

Compétences requises

• Connaissances en protocoles et architectures réseau

• Connaissances en techniques d’attaque et en détection d’intrusion

• Connaissances en analyse de journaux réseau et journaux système (Sysmon, Windows Security Log)

• Connaissance d’une ou plusieurs solutions de gestion de journaux et alertes (SIEMs, Splunk, ELK) ;

• Connaissance/maîtrise des environnements GNU/Linux ;

• Connaissance de l’environnement Active Directory et de l’architecture des systemes Windows ;

• Connaissance du langage de script Python ;

• Capacités rédactionnelles ;

• Maîtrise de l’anglais ;

• Capacité de synthèse ;

• Qualités rédactionnelles.

Qualités attendues :

• Sens de l’organisation ;

• Dynamisme, réactivité, disponibilité ;

• Autonomie ;

• Discrétion.

• Si votre candidature est présélectionnée, vous serez contacté(e) pour apprécier vos attentes et vos motivations au cours d’un entretien téléphonique ou physique.

• Des tests techniques pourront vous être proposés.

• Vous ferez l’objet d’une procédure d’habilitation.