Analyste SOC / MDR (H/F)

Le rôle consiste à mener des investigations avancées sur les incidents de sécurité, à assurer la gestion et la coordination des réponses à incident, ainsi qu'à contribuer à l'amélioration continue des dispositifs de surveillance et de détection du SOC / MDR OT.

L'analyste agit également comme point d'escalade pour les analystes de niveau 1 et participe activement au renforcement des capacités opérationnelles de l'équipe.

Les principales missions incluent :

• Investigations et gestion des incidents
• Réaliser des analyses approfondies sur les incidents OT/ICS escaladés à partir de journaux, captures réseau (PCAP), outils forensiques et analyses comportementales.
• Piloter les actions de confinement, d'éradication et de rétablissement en coordination avec les équipes techniques.
• Corréler des données issues de multiples sources (SIEM, NIDS, EDR, journaux de pare-feu, outils OT) afin d'identifier les schémas d'attaque et déterminer les causes racines.
• Gérer les incidents critiques en garantissant le respect des engagements opérationnels.
• Threat hunting et amélioration des capacités de détection :
• Développer et améliorer les règles de détection, les requêtes de chasse et les mécanismes de corrélation adaptés aux environnements industriels.
• Analyser les renseignements sur les menaces et les tendances émergentes afin de proposer des mesures de prévention.
• Maintenir et enrichir les playbooks de réponse à incident en fonction des nouveaux scénarios d'attaque.
• Collaboration et accompagnement des équipes :
• Assurer un rôle de point d'escalade technique pour les analystes SOC de niveau 1.
• Accompagner les équipes dans leur montée en compétence.
• Collaborer avec les équipes OT, les experts cybersécurité et les parties prenantes opérationnelles.
• Participer à la préparation et à l'animation de formations internes.
• Identifier les axes d'amélioration et proposer des évolutions des processus SOC.

Documentation et reporting :

• Produire des rapports détaillés d'investigation et des analyses post-incident.
• Rédiger et maintenir la documentation opérationnelle (SOP, runbooks, guides, retours d'expérience).
• Mettre en place et suivre des tableaux de bord et indicateurs de sécurité destinés aux équipes internes ou aux clients.
• Alimenter et maintenir une base documentaire permettant la capitalisation des connaissances.

Compétences techniques :

• Maîtrise des principes de sécurité OT et des architectures industrielles.

• Connaissance des protocoles industriels tels que Modbus, DNP3, OPC ou Profinet.

• Expérience avec des solutions SIEM (ex. Sentinel, Splunk).

• Utilisation de plateformes de sécurité OT/ICS (ex. Claroty, Nozomi).

• Maîtrise d'outils de détection et de protection tels que NIDS/IPS, EDR et pare-feu.

• Compétences avancées en analyse de journaux, analyse PCAP et forensic réseau ou hôte.

• Bonne compréhension des environnements cloud (Azure, AWS, GCP) et des architectures hybrides.

• Expérience avec des outils de gestion des vulnérabilités.

• Connaissance des pratiques SOC et des principes de défense en profondeur dans des environnements industriels.

• Capacité à rédiger de la documentation opérationnelle (SOP, runbooks, playbooks, rapports)., 4 à 8 ans d'expérience en cybersécurité, idéalement dans des environnements OT / ICS ou dans la protection de systèmes industriels. Qualités (non techniques) :

• Excellentes capacités d'analyse et de résolution de problèmes.

• Capacité à gérer des situations critiques et à travailler sous pression.

• Flexibilité pour évoluer dans un environnement opérationnel en 24/7.