Expert en réponse aux incidents de sécurité

Contexte et objectif de la mission

Un grand compte du secteur de l'assurance recherche un Expert en Réponse aux Incidents de Sécurité pour renforcer son équipe de CyberDéfense. Au sein de cette équipe, la mission couvre l'ensemble des activités de Digital Forensics and Incident Response (DFIR), incluant l'évaluation, l'analyse, la catégorisation, la classification et l'investigation des incidents de cybersécurité.

Missions principales

L'Expert en Réponse aux Incidents de Sécurité (DFIR) aura pour principales responsabilités :

• Gérer les incidents de cybersécurité afin d'assurer leur confinement rapide et la réduction des risques, en collaboration avec les équipes opérationnelles et le management, conformément aux processus de gestion des incidents de sécurité.
• Prendre en charge de manière autonome des incidents à fort niveau de criticité en dehors des heures ouvrées (astreinte en rotation).
• Collecter, documenter et analyser les preuves numériques dans le cadre des activités de forensic.
• Assurer le suivi de la résolution des incidents et la mise à jour des tickets dans les outils de ticketing.
• Notifier et communiquer auprès des parties prenantes concernées, y compris les responsables sécurité (CISO/CSO).
• Apporter un support aux analystes SOC et à un réseau international de correspondants locaux en gestion des incidents.
• Réaliser des retours d'expérience (lessons learned), revues d'incidents et documents post-mortem.
• Contribuer à l'amélioration des capacités DFIR, notamment par le développement et l'intégration d'outils open source et commerciaux au sein d'un laboratoire forensic dédié.
• Participer aux activités de threat hunting, de manière proactive ou dans le cadre d'incidents critiques.
• Contribuer au développement des cas d'usage et à l'optimisation des règles et seuils SIEM.
• Produire des communications professionnelles et des rapports à destination des parties prenantes et clients internes.
• Participer aux échanges avec les communautés CERT/CSIRT nationales et internationales.

Profil recherché

Formation et certifications

• Formation en informatique ou en sécurité des systèmes d'information appréciée (non obligatoire).

Certifications idéales :

• GIAC GCIH (SEC504)
• GIAC GCFA (FOR508)

Certifications fortement appréciées :

• GIAC GDAT (SEC599)
• GNFA (FOR572)
• GCFE (FOR408)
• GCIA (SEC503)
• GREM (FOR610)

Autres certifications appréciées :

• Certifications en infrastructures de sécurité
• ITIL Foundation
• Certifications en sécurité offensive (OSCP, SEC560, CEH)

Expérience

• Analyse et réponse aux incidents de sécurité : minimum 4 ans.
• Expérience en SOC / CSIRT : minimum 3 ans.
• Administration d'infrastructures réseau et sécurité : minimum 2 ans.
• Administration Linux / Windows : minimum 1 an.
• Expérience au sein d'organisations complexes et de grande taille : minimum 3 ans.
• Maîtrise des outils de ticketing.
• Expérience sur au moins un SIEM du marché.

Compétences techniques

• Maîtrise des techniques de forensic et de réponse aux incidents sur environnements Windows et Linux.
• Capacité à identifier risques, menaces, vulnérabilités et attaques (malwares, failles de protocoles, erreurs de configuration, etc.).
• Excellentes capacités d'analyse et de troubleshooting.
• Très bonne compréhension d'Internet et des protocoles réseau (Ethernet, x, IP, ICMP, TCP, UDP, etc.).
• Maîtrise des protocoles applicatifs (DNS, SMTP, HTTP, FTP, etc.).
• Expertise des architectures et équipements de sécurité (firewalls, proxys, IPS, WAF, etc.).
• Bonne connaissance des vulnérabilités actuelles et des méthodes d'attaque associées.
• Compétences en scripting (Python, PowerShell, etc.), principes de développement logiciel, gestion de versions (Git) et environnements CI/CD.

Compétences comportementales et autres compétences

• Organisation, rigueur et capacité à prioriser efficacement.
• Capacité à prendre des décisions rapides et adaptées.
• Aptitude à travailler sous pression et en collaboration.
• Capacité à rechercher l'information et résoudre des problématiques nouvelles.
• Aisance dans un environnement matriciel et international.
• Anglais courant indispensable.

Livrables attendus

• Incidents de sécurité traités, documentés et clôturés dans les outils de ticketing conformément aux processus internes.
• Rapports d'investigation forensic et documents post-mortem.
• Retours d'expérience (lessons learned) et revues d'incidents formalisés.
• Contributions à l'amélioration des capacités DFIR (outils, processus, cas d'usage, règles et seuils SIEM).