Analyste CERT / Incident Responder senior (H/F)

Sèvres, France

Applications have closed

Description de l'entreprise

Almond se positionne comme un acteur français indépendant incontournable de l’Audit, du Conseil, de l'Intégration et des Services Managés dans les domaines de la Cybersécurité, du Cloud et des Infrastructures.

Almond en quelques chiffres :

  • 300 collaborateurs
  • 5 implantations : Sèvres, Nantes, Strasbourg, Lyon et Genève

Description du poste

Rattaché au CERT CWATCH d’Almond, vous intégrez une équipe dynamique et expérimentée en pleine croissance. Dans le cadre du développement de ses activités DFIR et de sa démarche PFI, le CERT CWATCH recherche un analyste technique pour renforcer son équipe. Vous reporterez au manager du CERT et en tant qu' « incident responder » vous :

  • Répondez aux incidents et aidez aux phases de confinement et d’éradication de la menace
  • Effectuez des acquisitions et des analyses forensics sur de nombreux systèmes d'exploitation (Windows/Linux/Mac/Mobile), des équipements réseaux et sur des applications (sécurité/web/métier/...).
  • Préservez, collectez, analysez les données et preuves dans le respect des normes d'expertise numérique (en cas de menaces internes, de fraudes et de litiges).
  • Etablissez une vue d'ensemble de la compromission et donnez les éléments factuels de l’incident sous forme de chronologie fiable dans un rapport technique
  • Identifiez un plan d’actions pertinentes et élaborez les stratégies de confinement et d'éradication.
  • Accompagnez le client dans la gestion de la crise de bout-en-bout et communiquez avec lui au fil de l’eau
  • Assurez la liaison et la coordination avec d'autres équipes opérationnelles/enquêtrices/techniques pour aider et fournir et/ou recueillir des informations.
  • Evaluez et résolvez une variété de problèmes techniques dans un cadre où les personnes peuvent avoir des intentions potentiellement malveillantes ou criminelles présumées.
  • Maintenez à jour le Laboratoire Forensics et testez de nouveaux outils
  • Développez et contribuez aux nouvelles initiatives qui améliorent nos capacités de réponse, enrichissent,
  • Intervenez en escalade d’incident de sécurité pour le SOC
  • Echangez avec les membres de la communauté et vous partagez vos informations de veille, vos IOC quand c’est possible (TLP) et vos sources

A quoi ressemble une journée type :

  • Vous effectuez les calls de scoping avec le client et proposez un dispositif de réponse initial
  • Vous rédigez, maintenez et communiquez aux clients les procédures de collecte de données
  • Vous analysez les éléments et artefacts collectés, et émettez des hypothèses d’investigation tout en restant toujours factuel dans les constats et conclusions
  • Vous retrouvez les TTPs du scénario d’attaque et de la kill-chain de manière précise et horodatée : vecteur d’attaque initial, élévation de privilège, latéralisation, exfiltration de données, séquence des évènements, …
  • Vous prenez des notes précises et appropriées au fil de l’eau sur les cas étudiés et vos feuilles de temps sont correctement remplies tous les jours
  • Vous implémentez et maintenez les guides d’investigations et la documentation du CERT
  • Vous réévaluez le dispositif et la charge selon les avancées des investigations
  • Vous fournissez un retour d'information aux départements concernés afin d’aider à la prise de décision de la cellule de crise et d'améliorer le cadre de sécurité de l'entreprise.
  • Vous rédigez un rapport ou compte-rendu d’investigation en y incluant les éléments techniques, les informations analysées, les constats, les conclusions et les recommandations
  • Vous sensibilisez le client aux bonnes pratiques et l’accompagnez dans ses démarches avec les autorités

Qualifications

Soft skills :

  • Passionné(e) de cybersécurité avant tout
  • Curieux(se), rigoureux(se), déterminé(e) et autonome
  • Diplômé(e) d’un master en cybersécurité / informatique ou équivalent
  • Fluent written and spoken French and English is essential (client-facing)
  • Personne très motivée et bien équilibrée, capable de travailler seule ou en équipe avec un minimum de supervision
  • Haut degré d'intégrité et d’éthique.
  • Excellentes aptitudes à résoudre les problèmes, y compris une capacité à sortir des sentiers battus.
  • Capacité à réfléchir de manière critique et à envisager toutes les possibilités
  • Excellentes aptitudes à la communication, assurance, clarté et professionnalisme.

Hard skills :

  • Expérience dans l'analyse des événements de sécurité systèmes et réseaux et les protocoles du modèle OSI notamment sur les couches TCP/IP et applicatives
  • Excellentes notions d’administration système, et plus particulièrement sur le fonctionnement d’environnements Active Directory,
  • Bonnes connaissances des systèmes d’exploitation / de fichiers / de la mémoire Windows, Linux et MacOS
  • Utilisation récurrente d’outils de sécurité tels que SIEM ou EDR et d’outils DFIR (ORC, DumpIt, KAPE, Volatility, Rekall, RedLine, TSK, …)
  • Connaissance des techniques d’attaques courantes en environnement Active Directory (Kerberoasting, Pass-The-Hash, mimikatz, etc.), web (SQLi, XSS, path traversal, …) ou réseau (DDoS, scan, amplification, spoofing, …)

Bonus :

  • Titulaire de toute certification liée à la sécurité : CFE, Security+, GIAC (GCIH, GCFA), OSCP/OSCE, CISSP, PFI.
  • Connaissance de la chaîne de possession numérique (chain of custody) pour la gestion de preuves et le stockage sécurisé
  • Compréhension détaillée des normes, réglementations et cadres de sécurité de l'information.
  • Expérience en Cyber Threat Intelligence (CTI) et connaissance des cybermenaces, des TTPs et du framework Mitre ATT&CK
  • Maitrise d’un langage de développement, compétence en codage/scripting comme Python
  • Expérience en reverse-engineering et analyse de malwares

Informations supplémentaires

La culture de CWATCH est de favoriser l’évolution et la montée en compétence de nos analystes à travers des formations, conférences, certifications et la mise à disposition de moyens techniques tel que notre laboratoire d’investigation.

  • Faites quelque chose qui a du sens, contribuez à la sécurisation du monde et faites partie de l’espace cyber de demain et d’un leader en la matière
  • Affrontez des problèmes challengeants, uniques, dans des environnements tous différents
  • Travaillez dans un environnement convivial et international avec des experts en la matière d’horizons différents (5 à 10+ ans d’expérience). Mobilité en France et à l’étranger possible.
  • Missions simples à complexes mais relativement courtes (quelques jours à quelques semaines)
  • Télétravail partiel possible
  • Intervention sur site et à distance (possibilité d’astreinte et intervention en HNO)

Déplacements à prévoir en France métropolitaine ou en Europe < 10%, à court terme / dernière minute

* Salary range is an estimate based on our InfoSec / Cybersecurity Salary Index 💰

Tags: Active Directory C CERT CISSP Cloud DDoS DFIR EDR Forensics GCFA GCIH GIAC Incident response Linux MacOS MITRE ATT&CK OSCE OSCP Python Scripting SIEM SOC TCP/IP Threat intelligence TTPs Windows XSS

Perks/benefits: Conferences

Region: Europe
Country: France
Job stats:  9  0  0

More jobs like this

Explore more InfoSec / Cybersecurity career opportunities

Find even more open roles in Ethical Hacking, Pen Testing, Security Engineering, Threat Research, Vulnerability Management, Cryptography, Digital Forensics and Cyber Security in general - ordered by popularity of job title or skills, toolset and products used - below.