Expert Threat Intelligence/cybersécurité

Objet de la prestation
Le SOC (Security Operation Center) de notre client au sein de la direction sécurité du Groupe, est l?entité en charge de l?analyse des menaces cybersécurité, du traitement des vulnérabilités, de la détection et qualification des comportements dangereux cyber ainsi que du traitement des incidents de sécurité pour le Groupe.
Le SOC a un périmètre de responsabilité sur tout le groupe et couvre ainsi les périmètres IS/IT, Usines, Véhicules Connectés, réseaux de concessions et interagit avec les filiales Mobilize Financial Services (ex RCI) et Alpine.
Dans le cadre de ses activités, le SOC souhaite implémenter une TIP OpenCTI, afin d?accélérer la prise en compte des ménaces cybersécurité, dans son eco-système d?outils.
L?objectif de la prestation est donc de mettre en ?uvre une plateforme de Threat Intelligence (TIP) basée sur OpenCTI afin de centraliser, structurer et exploiter les renseignements sur les menaces pour améliorer la détection, la réponse et la prévention des incidents de sécurité.
Le projet couvre l'installation, la configuration, la sécurisation et l'intégration de la plateforme OpenCTI dans l'environnement de l'entreprise. Il inclut également la formation des utilisateurs, la structuration des données et la mise en place de connecteurs avec les outils existants.
L?expertise devra réaliser les actions suivantes, sur la base d?un pilotage de l?activité:
Mise en ?uvre d?une TIP Open-CTI sur les infrastructure du Groupe.
? Préparer le LLD et le faire valider.
**Le LLD prend en compte les besoins et contraintes ci-dessous**:
? TIP installée sur les infrastructures managées par le Groupe
? Architecture TIP distribuée permettant d?augmenter ses capacités de traitement (CPU, RAM) et de stockage
? Architecture TIP sécurisée garantissant une protection des données en terme de confidentialité et d?intégrité
? Architecture TIP robuste garantissant la haute disponibilité du service et la récupération des données en cas de crash
? Architecture TIP permettant l?interaction de la TIP avec des solutions externes
? Collecte de données CTI provenant de fournisseurs externes (API, STIX/TAXII)
? Dissémination d?indicateurs de compromission (IoC) vers les produits de sécurité Renault (entre autre SaaS SIEM & SOAR SecOps, SaaS Crowdstrike, SaaS ZScaler Internet proxy, On-Prem Broadcom Internet proxy)
**Préparer l?infrastructure**:
? Serveur(s) Linux (Ubuntu recommandé)
? Docker / Docker Compose
? Accès réseau sécurisé (VPN, reverse proxy, etc.)
? Stockage suffisant (base de données, fichiers)
? Réaliser la documentation associée
Installation d?OpenCTI
? Lancer l?installation
**? Vérifier les services**: Elasticsearch, MinIO, Redis, RabbitMQ, PostgreSQL, OpenCTI
? Réaliser la documentation associée
Sécurisation de la plateforme
? Mettre en place un reverse proxy avec HTTPS
? Restreindre les accès par IP ou VPN ( selon LLD)
? Créer des rôles et permissions adaptés aux utilisateurs
? Activer l?authentification forte (OKTA)
? Réaliser la documentation associée
Intégration des connecteurs
? Installer les connecteurs officiels (MISP, MITRE ATT&CK, etc.)
? Configurer les flux entrants (sources CTI, OSINT, partenaires)
? Configurer les flux sortants (SIEM, SOAR, EDR, etc.)
? Planifier la synchronisation automatique des données
Structuration de la donnée
? Définir les modèles de données (STIX2.1)
? Créer des workflows d?analyse (enrichissement, validation, diffusion)
? Mettre en place des taxonomies (TLP, Kill Chain, etc.)
? Définir les règles de corrélation et de détection
? Réaliser la documentation associée
Utilisation et exploitation
? Former les analystes SOC/CTI à l?interface OpenCTI
? Créer des tableaux de bord personnalisés
? Mettre en place des alertes et des rapports automatisés
? Intégrer OpenCTI dans les playbooks SOAR
? Rédiger les documents neccessaire à l?exploitation