analyste informatiquee DFIR & CTI (Security Forensic) - Environnements IT & OT Industriels (IT)[...]
Missions Principales
Réponse à Incident (DFIR)
Prendre en charge des incidents de bout en bout : qualification, investigation forensique, containment, éradication, remédiation
Collecter et analyser les artefacts forensiques sur endpoints Windows et Linux : journaux EVTX, persistance (registry, prefetch, MFT), analyse mémoire
Utiliser les EDR en investigation avancée (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) — pas uniquement consommer des alertes
Produire des rapports d'investigation exploitables : volet technique détaillé ET synthèse managériale
Coordonner les actions de réponse avec les équipes IT/OT des entités impactées et des filiales
Réponse à Incident en Environnement OT
Adapter la démarche d'investigation aux contraintes industrielles : disponibilité avant tout, pas de patch à chaud, protocoles spécifiques (Modbus, DNP3, OPC-UA)
Intervenir sur des incidents impliquant des systèmes SCADA, IC ou automates sans déstabiliser la production
Collaborer avec les équipes OT locales qui connaissent le terrain industriel mais pas les réflexes cyber
Threat Hunting & CTI Opérationnelle
Conduire des campagnes de threat hunting proactif sur le SI du groupe — sur hypothèse TTPs, pas uniquement sur alertes
Rédiger des requêtes de chasse avancées en SPL (Splunk) ou KQL (Microsoft Sentinel)
Effectuer une veille active sur la menace : rapports threat intel, suivi des acteurs menaçants pertinents pour le secteur
Alimenter et maintenir le Threat Model du groupe depuis les investigations et la veille CTI
Utiliser les plateformes CTI de façon opérationnelle : MISP, OpenCTI, VirusTotal Enterprise
Amélioration Continue de la Détection
Proposer et implémenter de nouvelles règles de détection SIEM issues des incidents traités et de la veille CTI
Assurer le tuning des règles existantes pour réduire le bruit sans dégrader la couverture
Traduire les TTPs MITRE ATT&CK (IT et ICS) en règles de détection concrètes
Documentation & Capitalisation
Rédiger et maintenir les SOP, IRP et IRG
Produire des retours d'expérience après chaque incident significatif
Contribuer à la montée en compétence de l'équipe via le partage de méthodes et d'outils
Profil candidat
Profil recherché
5 à 8 ans en sécurité opérationnelle, dont 3 ans minimum en DFIR actif sur des incidents réels — pas des exercices, pas du conseil sans pratique terrain
Expérience en CSIRT interne grand groupe ou cabinet de réponse à incident (Sekoia, Intrinsec, Wavestone, Synetis, KPMG Cyber, Thales, Airbus CyberSecurity ou équivalent) : signal le plus fort
Exposition à des environnements industriels OT (SCADA, IC ) : fortement valorisée — le gap OT peut être rédhibitoire
Anglais opérationnel obligatoire — rapports d'incident, CTI et coordination avec les filiales étrangères se font en anglais
Autonome en investigation : capable de mener une investigation de bout en bout sans supervision permanente
Curieux sur la menace : lit des rapports threat intel par intérêt, pas par obligation
Calme sous pression : la réponse à incident en environnement industriel critique ne tolère pas les profils qui paniquent
Soft skills clés
Sang-froid sous pression : méthode et lucidité lors d'incidents industriels critiques — pas de précipitation
Curiosité sur la menace : suit l'actualité des acteurs menaçants par intérêt personnel
Rigueur documentaire : capitalise systématiquement — un incident non documenté est une opportunité perdue
Communication adaptée : explique un incident complexe à un RSSI ou à un directeur d'usine, pas uniquement à un collègue analyste
Autonomie d'investigation : mène de bout en bout sans être guidé
Collaboration terrain : travaille avec des équipes OT non-cyber sans condescendance