1. Contexte Projet/Produit
Le SOC (Security Operation Centre) est l’entité en charge du traitement des incidents de sécurité au travers d’une structure d’expertise appelée CSIRT (Computer Security Incident Response Team). Cette cellule est en charge :
– Des investigations et des analyses techniques (forensic) permettant la qualification des incidents et leurs impacts sur les activités du client
– De la coordination des actions de remédiation, en collaboration avec les métiers et/ou fournisseurs impactés,
– De maintenir une base de connaissance des menaces Cyber pouvant cibler le client, afin de définir une stratégie de détection au SOC adaptée à ces menaces
– De proposer et d’implémenter des projets d’amélioration des activités ci-dessus
2. Description du besoin
Notre consultant aura pour principales missions la :
– Gestion des incidents de sécurité : investigations techniques (analyse de logs, triage, analyse forensique),
– Gestion des alertes quotidiennes notifiées à la cellule : ces alertes peuvent concerner des incidents remontés par le SOC, des vulnérabilités majeures, des incidents fournisseurs, des menaces Cyber actives,
– Interface technique avec les autres entités du Groupe , les correspondants usines, les correspondants à l’ingénierie afin d’améliorer les capacités de détection, d’investigation et de réaction.
– Veille sur les menaces et sur les nouveaux modes et vecteurs d’attaque ;
– Maintien de la stratégie de détection du SOC vis-à-vis de ces menaces/modes opératoires
– Proposition d’amélioration continue pour le fonctionnement du SOC
3. Livrables
Sont attendus les livrables suivants :
– Rapports d’analyses techniques
– Rapports d’incident avec plan d’actions et recommandations
– Rapports de veille sur les menaces
– Recommandations d’amélioration de nos capacités à détecter, investiguer et remédier.
Réunions Spécifiques en Mode Agile
4. Savoir faire
Expertises d’analyse et d’investigations numériques relatives à des incidents de sécurité ainsi que des prestations relatives au traitement de la menace cyber.
Le consultant devra avoir un bon niveau de maitrise et séniorité sur les compétences suivantes :
– Traitement d’incidents de sécurité impliquant plusieurs parties prenantes (ISO 27035)
– Supervision d’équipements informatiques basés sur la collecte et la corrélation de logs (SOC)
– Modélisation de méthodes d’attaques (MITRE ATT&CK, CyberKill Chain) et implémentation dans des cas d’usages
– Rédaction et/ou revue de procédures pour la qualification d’alertes (fiches réflexes) à destination des N1/N2 du SOC
Les compétences techniques à maitriser sont :
– SIEM IBM Qradar
– EDR FireEye
– Tous types d’équipements de sécurité (proxy, IDS, Firewall, AV, …),
– Très bonnes connaissances techniques sur les environnements Windows et Linux
– Bonnes connaissances IT : sécurisation du Cloud, réseaux …
– Framework MITRE ATT&CK
