Analyste Csirt - Réponse à Incident Cybersécurité Télétravail Flexible H/F - collectivite
- Paris - 75
- Freelance
- Télétravail accepté
- collectivite
Les missions du poste
Information importanteType de contrat: FreelanceTaux journalier : Salaire selon profilLocalisation : Paris, FranceDate de démarrage :UrgentMode de travail : HybridePublié le : 15 juillet 2026Le besoinLocalisation : IDF - Télétravail 90% possible. Rattachement : Direction Cybersécurité - DSI GroupePérimètre : International, environ 40 paysType de poste : Cybersécurité opérationnelle / Incident ResponseContexteAu sein de la DSI Groupe, la Direction Cybersécurité de notre client recherche un(e) Analyste CSIRT pour rejoindre son pôle Cyberdéfense, composé du SOC et du CSIRT.Positionné au niveau corporate, le CSIRT intervient sur un périmètre international couvrant environ 35 000 postes de travail IT et 2 000 systèmes OT.Le coeur du poste est la réponse à incident. L'équipe intervient sur des incidents variés, dans un environnement complexe, distribué et exposé à des menaces différentes selon les zones géographiques.Organisation de l'équipeL'équipe CSIRT fonctionne avec des rôles tournants organisés par sprints de deux semaines. Chaque analyste alterne entre plusieurs activités :Incident Response ;veille et monitoring ;exploration et analyse de l'exposition externe ;Threat Hunting.Sur les phases de run Incident Response, l'organisation repose généralement sur deux analystes et un Incident Handler.Missions principalesRéponse à incidentVous prenez en charge les alertes escaladées par le SOC et le MSSP, qui assurent les premiers niveaux d'analyse et de qualification.À ce titre, vous serez amené(e) à :qualifier et analyser les alertes issues des outils de sécurité ;mener des investigations techniques approfondies ;reconstruire la chronologie d'une attaque ;identifier le périmètre, l'origine et l'impact d'un incident ;contenir les menaces et accompagner les actions de remédiation ;coordonner les différents intervenants techniques et métiers ;assurer l'interface avec les équipes internes, le SOC et les prestataires ;participer à la gestion collective des incidents critiques ;documenter les investigations et produire les éléments de restitution.Les incidents traités peuvent notamment concerner :des campagnes de phishing ;des malwares ;des compromissions de comptes ou de mots de passe ;des vols de sessions ;des contournements de dispositifs de sécurité ;des comportements utilisateurs ou systèmes suspects ;des expositions ou fuites de données.Threat HuntingVous participez aux recherches proactives de compromission sur le système d'information.Vos missions comprennent notamment :l'analyse des menaces actives et des tactiques, techniques et procédures des attaquants ;la recherche d'indicateurs de compromission à l'échelle du parc ;l'analyse de comportements suspects ;la distinction entre activités légitimes et malveillantes ;la levée de doute sur des événements complexes ;la création et l'amélioration d'hypothèses de hunting ;l'exploitation des informations issues de la Threat Intelligence.Veille et Threat IntelligenceLa Threat Intelligence est intégrée au quotidien dans les activités du CSIRT.Vous contribuez à :suivre les menaces, vulnérabilités et campagnes d'attaque ;analyser les informations issues de différentes sources de renseignement ;produire des rapports, bulletins et synthèses cyber ;partager les informations pertinentes avec les équipes concernées ;enrichir les activités de réponse à incident et de Threat Hunting.Exploration et exposition externeVous participez à l'identification des actifs exposés et des risques associés.Les activités peuvent inclure :l'identification de domaines ou d'actifs créés sans validation ;l'analyse de vulnérabilités, notamment les vulnérabilités critiques et zero-day ;le scanning externe ;l'analyse de la surface d'attaque ;la qualification des risques liés aux actifs exposés.Environnement techniqueVous évoluerez notamment avec les outils et technologies suivants :SIEM : Splunk ;EDR : CrowdStrike ;Sécurité réseau : Palo Alto ;SOAR : Phantom ;Threat Intelligence : VirusTotal, Intel 471, Onyphe ;Détection et règles : YARA ;Investigation et collecte : KAPE ;Framework : MITRE ATT&CK ;Messagerie et protection des données : Proofpoint et solutions de détection de fuite de données ;Outil d'escalade MSSP : Nectar.La grande majorité des investigations est réalisée à partir de la télémétrie EDR et des logs. Des collectes complémentaires peuvent être effectuées lorsque la situation l'exige.Périmètre IT et OTLe poste porte principalement sur un périmètre IT.L'environnement comprend néanmoins environ 2 000 systèmes OT. Les sujets industriels sont traités avec l'appui d'experts internes issus du monde de l'automatisme et de l'exploitation industrielle.Les activités OT s'inscrivent notamment dans le cadre de contrats longs, généralement compris entre quatre et six ans, liés à des délégations de services publics.Une expertise OT approfondie n'est pas indispensable, mais une sensibilité aux environnements industriels est appréciée.Profil recherchéProfil recherchéVous disposez d'une expérience en réponse à incident, analyse SOC, investigation numérique, Threat Hunting ou cyberdéfense.Vous maîtrisez tout ou partie des compétences suivantes :lecture et exploitation de la télémétrie EDR ;analyse de logs ;investigation d'événements de sécurité ;reconstruction d'une timeline d'attaque ;analyse de processus, connexions réseau et comportements systèmes ;compréhension des chaînes d'attaque ;exploitation du framework MITRE ATT&CK ;analyse d'indicateurs de compromission ;formulation et validation d'hypothèses d'investigation.Vous êtes capable de comprendre rapidement une situation, y compris lorsque les procédures existantes ne couvrent pas précisément le cas rencontré.Qualités attenduesPour réussir dans ce poste, vous devrez faire preuve de :sang-froid et lucidité en situation de crise ;rigueur dans les investigations ;curiosité technique ;capacité d'analyse et de synthèse ;créativité dans la recherche d'éléments de preuve ;autonomie dans la gestion du run quotidien ;capacité à vous approprier rapidement les processus existants ;esprit d'équipe ;aisance dans la coordination de multiples interlocuteurs ;capacité à évoluer dans un environnement international.Le poste ne repose pas uniquement sur l'application de procédures figées. Une forte capacité d'adaptation, de compréhension et d'investigation est attendue.AstreintesUne participation au dispositif d'astreinte de réponse à incident est prévue.La capacité à gérer des événements sous pression, à prioriser les actions et à conserver une vision claire de la situation est essentielle.Modalités de travailLe poste peut être exercé en full remote avec déplacements ponctuels dans le mois en IDF.Des interactions régulières avec les équipes SOC, le MSSP, les équipes IT, les experts métiers et les équipes internationales sont à prévoir.