Au sein de la sous-direction Opérations et de la division Détection, le bureau Dispositifs de Détection Réseaux (DDR) et son pendant le bureau Dispositifs de Détection Système (DDS) fusionneront fin 2025 en bureau Techniques et Logique de Détection (TLD), concepteur de la capacité de détection de l’agence en s’appuyant sur tous types de journaux et de données (système, réseau, cloud applicatifs…). TLD sera chargé de concevoir et mettre en œuvre une stratégie de détection efficace en s’appuyant sur les sources de données présentes chez le bénéficiaire et sur les capteurs qu’il conçoit, en exploitant les règles de détection qu’il crée.

Il fournira les moyens et connaissances suffisants aux analystes SOC et des partenaires (SOC ministériels) pour remplir leur rôle dans le cadre de la supervision, tout en veillant à ce que les alertes soient adaptées aux capacités de chaque équipe d’analystes.

Le/la titulaire du poste participe à la conception et à la mise en œuvre d’une capacité opérationnelle et souveraine de détection des incidents, en concevant des méthodes de détection à l’état de l’art.

A ce titre, l’ingénieur pilote en détection d’intrusion est en charge des missions suivantes :

• Concevoir, développer, exploiter, améliorer et maintenir en condition opérationnelle les dispositifs de détection et moteurs d’analyses utilisés dans le cadre du service de détection permanent, ainsi que les dispositifs de détection dits de circonstance ;

• Assurer la bonne intégration de ces dispositifs dans l’infrastructure support ;

• Maintenir la capacité des dispositifs à détecter des activités malveillantes, par la création et la gestion de règles de détection ou de modèles comportementaux (capitalisation, cycle de vie, faux-positifs…). Les règles de détection s’appuient notamment sur les marqueurs et les signatures capitalisés au sein de la SDO ;

• Caractériser des phénomènes suspects ou malveillants affectant les systèmes d’information supervisés ;

• Maintenir une expertise technique sur les systèmes de détection d’intrusion ;

• Soutenir les analystes du SOC sur les investigations approfondies ou la compréhension des alertes et des événements de sécurité et concourrir à leurs formations ;

• Concourir à une amélioration continue de la détection de l’état ;

• Assurer une veille technologique et tester de nouveaux produits et standards ;

• Rédiger des documents techniques.

Contraintes et difficultés du poste

Les contraintes et difficultés du poste sont principalement liées au contexte opérationnel de l’activité du bureau :

• Traitement de sujets sensibles, dans des contextes contraints ;

• Réactivité et disponibilité ;

• Cadence de travail assujettie à celle de missions opérationnelles ;

• Implication ponctuelle lors d’opérations menées en dehors des heures ouvrées ;

• Capacité à assurer un rôle d’Expert technique ;

• Participation à donner des formations dans le cadre du Centre de Formation de l’agence.

Titulaire d’un diplôme d’ingénieur reconnu par la commission des titres d’ingénieur, ou d’un cursus universitaire de niveau BAC +5 minimum dans le domaine des technologies de l’information et de la communication, vous devez en outre exprimer un intérêt pour la sécurité des systèmes d’information, sa mise en œuvre et ses implications.

Compétences requises

• Solides connaissances du fonctionnement des systèmes d’exploitation (Windows et/ou Linux) et des outils de supervision (événements Windows, Sysmon, Syslog, EDR, etc.) ;

• Solides connaissances du fonctionnement des suites protocolaires TCP/IP

• Connaissance des principaux SIEM, et éventuellement de certaines technologies de traitement des données ;

• Connaissances dans le domaine de la détection d’attaques (systèmes de détection d’intrusion réseau et système, élaboration de signatures, procédés de corrélation d’alertes, etc.) ;

• Maîtrise d’un langage de développement de bas niveau type C/C++ et/ou capacité à développer des outils et explorer de la donnée en Python ;

• Bonnes connaissances en développement réseau, système, multithread/multiprocess ;

• Maîtrise des outils de développement en équipe (gitLab);

• Capacités de communication orale et écrite ;

• Maîtrise de l’anglais technique.

Qualités attendues

• Savoir travailler seul et en équipe ;

• Etre rigoureux ;

• Etre à l’écoute ;

• Etre curieux et avoir une appétence pour le travail pratique ;

• Savoir prendre du recul et concevoir des solutions à des problèmes complexes ;

• Faire preuve de discrétion ;

• Avoir  le sens du service public.

Si votre candidature est présélectionnée, vous serez contacté(e) pour apprécier vos attentes et vos motivations au cours d’un entretien téléphonique ou physique.

Des tests techniques pourront vous être proposés.

Vous ferez l’objet d’une procédure d’habilitation.