Expert en réponse aux incidents de sécurité (DFIR)

Contexte et objectif de la mission

Un grand compte du secteur de lassurance recherche un Expert en Réponse aux Incidents de Sécurité pour renforcer son équipe de CyberDé sein de cette équipe la mission couvre lensemble des activités de Digital Forensics and Incident Response (DFIR) incluant lévaluation lanalyse la catégorisation la classification et linvestigation des incidents de cybersécurité.

Missions principales

LExpert en Réponse aux Incidents de Sécurité (DFIR) aura pour principales responsabilités :

Gérer les incidents de cybersécurité afin dassurer leur confinement rapide et la réduction des risques en collaboration avec les équipes opérationnelles et le management conformément aux processus de gestion des incidents de sécurité.

Prendre en charge de manière autonome des incidents à fort niveau de criticité en dehors des heures ouvrées (astreinte en rotation).

Collecter documenter et analyser les preuves numériques dans le cadre des activités de forensic.

Assurer le suivi de la résolution des incidents et la mise à jour des tickets dans les outils de ticketing.

Notifier et communiquer auprès des parties prenantes concernées y compris les responsables sécurité (CISO/CSO).

Apporter un support aux analystes SOC et à un réseau international de correspondants locaux en gestion des incidents.

Réaliser des retours dexpérience (lessons learned) revues dincidents et documents post-mortem.

Contribuer à lamélioration des capacités DFIR notamment par le développement et lintégration doutils open source et commerciaux au sein dun laboratoire forensic dédié.

Participer aux activités de threat hunting de manière proactive ou dans le cadre dincidents critiques.

Contribuer au développement des cas dusage et à loptimisation des règles et seuils SIEM.

Produire des communications professionnelles et des rapports à destination des parties prenantes et clients internes.

Participer aux échanges avec les communautés CERT/CSIRT nationales et internationales.

Profil recherché

Formation et certifications

Formation en informatique ou en sécurité des systèmes dinformation appréciée (non obligatoire).

Certifications idéales :

GIAC GCIH (SEC504)

GIAC GCFA (FOR508)

Certifications fortement appréciées :

GIAC GDAT (SEC599)

GNFA (FOR572)

GCFE (FOR408)

GCIA (SEC503)

GREM (FOR610)

Autres certifications appréciées :

Certifications en infrastructures de sécurité

ITIL Foundation

Certifications en sécurité offensive (OSCP SEC560 CEH)

Expérience

Analyse et réponse aux incidents de sécurité : minimum 4 ans.

Expérience en SOC / CSIRT : minimum 3 ans.

Administration dinfrastructures réseau et sécurité : minimum 2 ans.

Administration Linux / Windows : minimum 1 an.

Expérience au sein dorganisations complexes et de grande taille : minimum 3 ans.

Maîtrise des outils de ticketing.

Expérience sur au moins un SIEM du marché.

Compétences techniques

Maîtrise des techniques de forensic et de réponse aux incidents sur environnements Windows et Linux.

Capacité à identifier risques menaces vulnérabilités et attaques (malwares failles de protocoles erreurs de configuration etc.).

Excellentes capacités danalyse et de troubleshooting.

Très bonne compréhension dInternet et des protocoles réseau (Ethernet 802.11.x IP ICMP TCP UDP etc.).

Maîtrise des protocoles applicatifs (DNS SMTP HTTP FTP etc.).

Expertise des architectures et équipements de sécurité (firewalls proxys IPS WAF etc.).

Bonne connaissance des vulnérabilités actuelles et des méthodes dattaque associées.

Compétences en scripting (Python PowerShell etc.) principes de développement logiciel gestion de versions (Git) et environnements CI/CD.

Compétences comportementales et autres compétences

Organisation rigueur et capacité à prioriser efficacement.

Capacité à prendre des décisions rapides et adaptées.

Aptitude à travailler sous pression et en collaboration.

Capacité à rechercher linformation et résoudre des problématiques nouvelles.

Aisance dans un environnement matriciel et international.

Anglais courant indispensable.

Livrables attendus

Incidents de sécurité traités documentés et clôturés dans les outils de ticketing conformément aux processus internes.

Rapports dinvestigation forensic et documents post-mortem.

Retours dexpérience (lessons learned) et revues dincidents formalisés.

Contributions à lamélioration des capacités DFIR (outils processus cas dusage règles et seuils SIEM).