Offre d'emploi Architecte Cybersécurité plateforme Threat Intelligence

Nous recherchons pour notre client grand compte un Architecte Cybersécurité – plateforme Threat Intelligence, chargé de mettre en œuvre une TIP (Threat Intelligence Platform) OpenCTI.
L’objectif de la mission est d’accélérer la prise en compte des menaces cybersécurité au sein de l’écosystème d’outils existant, en centralisant, structurant et exploitant les renseignements sur les menaces afin d’améliorer la détection, la réponse et la prévention des incidents de sécurité.

Périmètre de la mission
Le projet couvre :

• l’installation, la configuration et la sécurisation de la plateforme OpenCTI,

• son intégration dans l’environnement de l’entreprise,

• la formation des utilisateurs,

• la structuration des données,

• ainsi que la mise en place de connecteurs avec les outils déjà déployés.

Activités attendues
Sous pilotage, l’expertise devra réaliser les actions suivantes dans le cadre de la mise en œuvre d’une TIP OpenCTI :

1. Préparation du LLD (Low Level Design)

   • Rédaction et validation du LLD, prenant en compte les besoins et contraintes :

     • TIP installée sur une infrastructure managée,

     • Architecture distribuée permettant d’augmenter les capacités de traitement (CPU, RAM) et de stockage,

     • Architecture sécurisée garantissant la confidentialité et l’intégrité des données,

     • Haute disponibilité et mécanismes de reprise après incident,

     • Capacité d’interaction avec des solutions externes,

     • Collecte de données CTI de fournisseurs externes (API, STIX/TAXII),

     • Diffusion d’IoC (Indicateurs de compromission) vers des produits de sécurité (SaaS SIEM & SOAR SecOps, SaaS CrowdStrike, SaaS Zscaler Internet Proxy, On-Prem Broadcom Internet Proxy).

2. Préparation de l’infrastructure

   • Mise en place de serveurs Linux (Ubuntu recommandé),

   • Installation de Docker / Docker Compose,

   • Configuration des accès réseau sécurisés (VPN, reverse proxy, etc.),

   • Dimensionnement du stockage (base de données, fichiers),

   • Documentation associée.

3. Installation d’OpenCTI

   • Lancement et validation de l’installation,

   • Vérification des services (Elasticsearch, MinIO, Redis, RabbitMQ, PostgreSQL, OpenCTI),

   • Documentation associée.

4. Sécurisation de la plateforme

   • Mise en place d’un reverse proxy avec HTTPS,

   • Restriction des accès par IP ou VPN (selon LLD),

   • Création de rôles et permissions adaptés,

   • Activation de l’authentification forte (Okta),

   • Documentation associée.

5. Intégration des connecteurs

   • Installation des connecteurs officiels (MISP, MITRE ATT&CK, etc.),

   • Configuration des flux entrants (sources CTI, OSINT, partenaires),

   • Configuration des flux sortants (SIEM, SOAR, EDR, etc.),

   • Planification de la synchronisation automatique des données.

6. Structuration des données

   • Définition des modèles de données (STIX 2.1),

   • Mise en place de workflows d’analyse (enrichissement, validation, diffusion),

   • Définition des taxonomies (TLP, Kill Chain, etc.),

   • Règles de corrélation et de détection,

   • Documentation associée.

7. Utilisation et exploitation

   • Formation des analystes SOC/CTI à l’interface OpenCTI,

   • Création de tableaux de bord personnalisés,

   • Mise en place d’alertes et de rapports automatisés,

   • Intégration d’OpenCTI dans les playbooks SOAR,

   • Rédaction de la documentation d’exploitation.

Livrables attendus

• Document d’architecture LLD,

• Plateforme OpenCTI opérationnelle,

• Documentation technique et d’exploitation (procédures Confluence),

• Connecteurs configurés et opérationnels,

• Tableaux de bord et workflows d’analyse,

• Formation des utilisateurs,

• Plan de maintenance et de mise à jour.