IT-NewVision est une société spécialisée dans l'intégration des systèmes d'information clientèle pour le secteur de l'eau et de l'énergie. Créée en 2007, la société compte aujourd'hui une centaine de consultants spécialisés dans ce secteur, avec une expertise sur trois solutions majeures : la suite Oracle Utilities, la plateforme Opencellsoft, et la suite e-GEE. Notre valeur ajoutée provient de notre capacité à adapter techniquement ces solutions aux besoins de nos clients grâce à notre compréhension de leur métier.Nous intervenons sur toutes les phases et activités d'un projet, de la conception jusqu'à la mise en production et le maintien en condition opérationnelle de l'application, et accompagnons nos clients pour maîtriser ces nouvelles technologies. Nos bureaux sont implantés à Paris, Londres et Casablanca, pour offrir à nos clients le meilleur service de proximité avec une maîtrise considérable des budgets., New! Démarquez-vous en passant des tests de personnalité gamifiés. Lancez-vous dès maintenant, en découvrant les trois tests disponibles gratuitement!
Au sein de l'équipe CSIRT (Computer Security Incident Response Team), vous êtes en première ligne pour prévenir, détecter, analyser et répondre aux incidents de sécurité informatique en environnements IT et OT. Vous jouez un rôle clé dans la défense opérationnelle de l'organisation face aux menaces d'origine et d'intérêt cyber. L'objectif de la mission est de répondre aux incidents de cybersécurité et de prendre part à l'activité de renseignement sur la menace nous couvrant ainsi que nos filiales.
Votre activité au sein de l'équipe sera orientée de la façon suivante :
Réponse à incident :
* Détecter et qualifier les incidents de sécurité (malwares, compromission, phishing, exfiltration…)
* Investiguer et collecter les artefacts nécessaires à l'aide de journaux systèmes et des outils EDR, SIEM, etc.
* Mener des actions de containment, d'éradication dans l'optique d'un retour à la normale
CTI et détection :
* Mener à bien des campagnes de hunting sur et à l'extérieur du système d'information du groupe (SIEM, VirusTotal, YARA)
* Participer à la veille sur la menace afin d'alimenter le Threat Model (MOA, IOCs, TTPs)
* Prendre part activement à l'amélioration de la connaissance de la surface d'attaque du groupe
* Proposer des améliorations des règles de détection
Documentation et amélioration continue :
* Mettre à jour les outils de collecte et la stack technique du CSIRT (Kape, FFC, SOAR)
* Créer et mettre à jour la documentation associée (standard operation guideline ou incident response guideline)
Livrables
* DFIR
* CTI
* Mise à jour de la documentation (SOP/IRP/IRG)
Ce poste est à pourvoir très rapidement.
Expérience
* Bac +5 en informatique exigé
* 4 ans d'expérience minimum sur des missions similaires
Compétences techniques
* DFIR - Confirmé - Impératif
* CTI - Confirmé - Impératif
* Crowdstrike - Confirmé
* Splunk - Confirmé
Avoir une bonne connaissance des menaces de cybersécurité modernes est demandée :
* Notamment sur le fonctionnement des groupes ransomware (Cactus, Lockbit, Clop, BlackCat, ...)
* La connaissance de groupes APT emblématiques (APT28/Fancy Bear, APT38/Lazarus, APT41 ...) Savoir structurer son investigation et établir un plan de réponse est une qualité recherchée.
Avoir une bonne maitrise du framework MITRE ATT&CK.
Avoir de bonnes bases d'analyse forensique Windows/Linux, notamment concernant :
* Les principaux artefacts Le fonctionnement général des OS Windows et Linux
* Des bases de connaissance en analyse mémoire
* Des certifications sur ces sujets ou la participation active à des CTF/labs sont appréciées. La connaissance de SOAR/Phantom et de l'outillage CTI (Intel471, VirusTotal, Onyphe) est un outil
Connaissances linguistiques
* Français - Courant - Impératif
* Anglais - Professionnel - Impératif, Le poste analyste incident de sécurité confirmé - Crowdstrike et Splunk