Analyste SOC OT/ICS Niveau 2 (L2)

Mission principale

L’Analyste SOC OT/ICS Niveau 2 assure les investigations avancées en cybersécurité industrielle, pilote la réponse à incident et contribue au renforcement des capacités de détection et de protection des environnements OT/ICS.

Il agit comme point d’escalade technique pour les analystes SOC de niveau 1 et participe activement à l’amélioration continue des opérations de sécurité.

Responsabilités principales

1. Investigations avancées sur incidents

• Réaliser des analyses approfondies sur les incidents OT/ICS escaladés.
• Exploiter les journaux, captures réseau (PCAP), outils forensiques et analyses comportementales.
• Piloter les actions de :
  • confinement
  • éradication
  • rétablissement, en coordination avec les équipes techniques
• Corréler des données multi-sources :
  • SIEM
  • NIDS
  • EDR
  • journaux pare-feu
  • outils OT/ICS
• Identifier les schémas d’attaque et déterminer les causes racines.
• Gérer les incidents critiques dans le respect des engagements opérationnels.

2. Threat Hunting & Développement de détection

• Développer et améliorer :
  • règles de détection
  • requêtes de threat hunting
  • corrélations
  • signatures de sécurité adaptées aux environnements OT
• Analyser les renseignements sur les cybermenaces et les tendances émergentes.
• Proposer des mesures de prévention et de renforcement de sécurité.
• Maintenir et enrichir les playbooks de réponse à incident selon les nouveaux scénarios d’attaque.

3. Collaboration et encadrement

• Assurer le rôle de point d’escalade technique pour les analystes L1.
• Accompagner les équipes dans leur montée en compétence.
• Collaborer avec :
  • les équipes OT
  • les experts cybersécurité
  • les parties prenantes opérationnelles
• Participer à la préparation et à l’animation de formations internes.
• Identifier les axes d’amélioration opérationnelle et proposer des évolutions du SOC.

4. Documentation & Reporting

• Produire des rapports d’investigation détaillés et des analyses post-incident.
• Rédiger et maintenir :
  • SOPs
  • runbooks
  • playbooks
  • guides opérationnels
  • retours d’expérience
• Concevoir et maintenir des tableaux de bord et indicateurs de sécurité.
• Alimenter et maintenir une base documentaire garantissant la capitalisation des connaissances.

Compétences requises

Compétences techniques

• Maîtrise des architectures et principes de sécurité OT/ICS.
• Connaissance des protocoles industriels :
  • Modbus
  • DNP3
  • OPC
  • Profinet
• Expérience avec :
  • SIEM (Microsoft Sentinel, Splunk)
  • plateformes OT/ICS (Claroty, Nozomi)
  • NIDS/IPS
  • EDR
  • solutions pare-feu
• Expertise en :
  • analyse de logs
  • forensic réseau et hôte
  • analyse PCAP
• Bonne compréhension des environnements :
  • Azure
  • AWS
  • GCP
  • architectures hybrides
• Utilisation d’outils de gestion de vulnérabilités.
• Expérience SOC et défense en profondeur en environnement industriel.
• Maîtrise de la rédaction documentaire opérationnelle et des rapports mensuels.

Soft Skills

• Excellente capacité d’analyse et de résolution de problèmes.
• Gestion efficace des situations critiques et sous pression.
• Bon relationnel et esprit collaboratif.
• Autonomie et sens des responsabilités.
• Flexibilité pour travailler dans un environnement 24/7.

Formation & Expérience

• Diplôme en :
  • cybersécurité
  • informatique
  • ingénierie
  • ou expérience équivalente
• Expérience de 4 à 8+ ans en cybersécurité OT/ICS ou protection des systèmes industriels.
• Maîtrise professionnelle de l’anglais.

Atouts (Nice to Have)

Certifications

• IEC 62443
• GICSP
• CISSP
• CompTIA Security+

Compétences complémentaires

• Automatisation et scripting (Python, API)
• Analyse de données et reporting :
  • Power BI
  • Tableau