Trouvez votre prochaine offre d’emploi ou de mission freelance Endpoint detection and response (EDR)

MISSIONS : Définir et mettre en œuvre les mesures techniques de réduction du risque cyber sur système informatique industriel. Analyser les exigences cybersécurité (cahiers des charges, réglementations & normes). Démontrer la bonne réalisation des livrables par tests et procédures de validation. Rédiger la documentation associée (études, schémas techniques, procédures, matrices de conformité...). Animer des réunions techniques (interne/client) et interfacer avec les équipes métiers pluridisciplinaires. Dérouler des audits, diagnostics ou pentests. Participer à la rédaction d'offres techniques et estimer les coûts/charges. Piloter la réalisation des tâches (ingénieurs, techniciens), contrôler les réalisations et planifier le reste à faire. Agir en tant qu’adjoint au chef de projet sur les aspects techniques (vue d’ensemble). Former et transmettre les savoir-faire à l’équipe ou au client interne. Assurer le reporting interne. COMPÉTENCES REQUISES : Informatique (Système & Réseau) : Très bonne connaissance système (Windows, Linux, VMware, Proxmox, SQL Server...) et réseau (switch, firewall, VLAN, datadiode...). Sécurité Opérationnelle : Durcissement OS selon référentiel CIS, configuration switch/firewall (Stormshield, etc.), installation ESXi, Active Directory redondé, scripting Powershell, architecture industrielle sécurisée, HIPS/EDR, gestion des logs (Syslog), durcissement terminaux. Systèmes Industriels : Connaissance des automates industriels, supervision SCADA, réseaux et équipements de terrain. Cybersécurité & Normes : ANSSI, NIS2, CIS, Homologation LPM, IEC 62443, ISO 27001, Analyse de risque EBIOS RM. Savoir-être : Bonnes capacités relationnelles, rédactionnelle et de synthèse technique. Profil orienté recherche de solution. 3. PARTICULARITÉS DU PROFIL Expérience : 5 ans minimum en Système, Réseau et Cybersécurité opérationnelle. Responsabilité : Avoir déjà exercé des responsabilités techniques (pilotage de tâches/équipe). Formation : Diplôme d’ingénieur reconnu. Habilitation : Être habilitable Secret ou Très Secret Défense (Impératif).

Contexte de la mission Dans le cadre du maintien en conditions opérationnelles et de l’amélioration continue de son système de sécurité, le client recherche un Architecte Cybersécurité RUN chargé de piloter, faire évoluer et sécuriser les architectures existantes en environnement de production. Objectifs de la mission Garantir la disponibilité, la performance et la sécurité des systèmes en RUN, tout en assurant la cohérence globale de l’architecture cybersécurité et le respect des exigences réglementaires et opérationnelles. Missions principales Piloter l’architecture cybersécurité en phase RUN (on-premise, cloud, hybride). Assurer le maintien en conditions de sécurité (MCS) des solutions : SIEM, EDR, IAM, PAM, firewalls, proxies, WAF, outils de chiffrement. Gérer les évolutions, mises à jour, correctifs de sécurité et plans de remédiation. Être le référent sécurité pour les équipes RUN, exploitation et production. Analyser les incidents de sécurité complexes et coordonner leur résolution. Garantir la conformité aux normes et politiques de sécurité (ISO 27001, NIS2, RGPD selon contexte). Rédiger et maintenir la documentation d’architecture et les procédures RUN. Participer aux comités techniques et de gouvernance sécurité.

CONTEXTE Equipe Sécurité Opérationnelle : L’équipe doit assurer la sécurité du système d’information à travers ses outils et process, en respect des directives et procédures existantes et à venir. L’expert sécurité WAF aura en charge des activités et opérations sur le WAF UBIKA en collaboration avec un coordinateur sécurité, l’équipe sécurité opérationnelle, plusieurs experts IT et dans le respect de nos méthodes et procédures : MISSIONS Activités principales : - Gestion de la solution (comptes, rôles, logs…) - Intégration de nouveaux sites (réalisation et gestion de configuration) - Maintien en condition opérationnelle (veille journalière, maintien de scripts, ajustement de configuration…) - Maintien en condition de sécurité (veille sur les alertes et incidents…) - Gestion des incidents de production sur le WAF et des incidents de sécurité sur le périmètre - Contrôle de configuration (dont habilitations) - Participation à la rédaction de la documentation et des procédures Activités secondaires : - Traitement d’alertes & incidents de CyberSécurité, en lien avec notre SOC, le CERT, les équipes IT - Participation à l’amélioration continue du fonctionnement du service et de la sécurité du groupe (amélioration des processus etc…) PROFIL Expert CyberSécurité 1 Domaines d’expertise De formation Bac + 5, le/la candidat(e) doit avoir une expérience significative de la cybersécurité d’au moins 5 ans et une expérience d’au minimum 1 an sur le WAF UBIKA. Compétences générales : Savoir-faire attendu : Maîtrise de la sécurité des sites WEB (expérience en pentests) Maîtrise des processus standards de CyberSécurité (veille et suivi des vulnérabilités, détection et traitement d’incidents, gestion des droits etc…) Maîtrise Capacités d’analyse et de synthèse Capacités rédactionnelles Capacité d’organisation et de planification Force de propositions Savoir-être attendu : Rigueur Sens relationnel et diplomatie Sens de l’écoute Goût du travail en équipe Capacité à résister à la pression Un bon relationnel est impératif. Compétences techniques : Générales : - Sites web et sécurisation via un WAF, et plus particulièrement sur la technologie UBIKA - Réseau / serveur / poste de travail / cloud / site internet - Scripting en python La connaissance de plusieurs solutions de sécurité est un + (passerelle mail, scan de vulnérabilités, EDR, CASB, sécurisation du cloud…) ainsi que la maitrise de la suite Elastic.

Contexte Nous recherchons un Responsable Sécurité Opérationnelle Confirmé pour accompagner une DSI dans le secteur de l’assurance sur le pilotage et la montée en maturité de la sécurité opérationnelle. La mission s’inscrit dans une démarche d’industrialisation, d’automatisation et de structuration des dispositifs de détection, de gestion des vulnérabilités et de tests offensifs. Missions principales 1. Pilotage de la sécurité opérationnelle Encadrer et coordonner les activités de supervision de la sécurité (SOC) intégrant ressources internes et prestataires externes. Améliorer la capacité de détection et de réponse aux incidents via l’optimisation des processus, la standardisation des procédures et le threat hunting. Mettre en œuvre des mécanismes de traitement des incidents complexes (exfiltration, fuites de données, attaques ciblées). 2. Industrialisation et automatisation Définir et déployer une stratégie d’automatisation des opérations de sécurité (SOAR) afin de réduire les tâches à faible valeur ajoutée. Rationaliser les chaînes de traitement liées aux alertes, incidents et vulnérabilités. Piloter l’amélioration continue des workflows de sécurité (outillage, intégration, reporting). 3. Gestion des vulnérabilités (VOC) Structurer et animer le dispositif de gestion des vulnérabilités à l’échelle du SI. Coordonner la qualification, la priorisation et le suivi des remédiations avec les équipes techniques. Produire des indicateurs, tableaux de bord et reporting à destination de la DSI et du RSSI. 4. Activités offensives et Purple Team Piloter les campagnes de tests d’intrusion et de bug bounty en lien avec les partenaires spécialisés. Mettre en place et coordonner des exercices Purple Team pour renforcer la posture défensive. Apporter un appui ponctuel aux audits de sécurité et aux analyses techniques. 5. Gouvernance et conformité technique Assurer la cohérence et l’efficacité des outils de sécurité (EDR, SIEM, scanners, plateformes de pentest, etc.). Contribuer au maintien et à l’application du cadre ISO 27001 sur le périmètre opérationnel. Gérer les relations fournisseurs et le suivi contractuel des solutions de sécurité. Environnement technique & sécurité SOC / SIEM / SOAR EDR, outils de détection et d’analyse Scanners de vulnérabilités, outils de gestion de tickets (Jira) Pentest, BugBounty, Purple Team Environnements : infrastructure hybride, cloud, architectures modernes Référentiels et normes : ISO 27001 Informations complémentaires Localisation : Bordeaux (présence requise 3 jours/semaine) Charge : 4 à 5 jours/semaine Durée : Mission transitoire (8 mois) TJM : selon profil Démarrage : dès que possible

Mission : Les prestations du Prestataire consisteront notamment en (non exhaustif) : Opérations & Sécurité quotidienne (Business As Usual) § Assurer le fonctionnement opérationnel des services de sécurité conformément aux politiques internes. § Administrer et maintenir les règles de firewalls, analyser les flux, valider la conformité et optimiser les configurations § Gérer les comptes à privilèges et les accès sensibles via les solutions de PAM, avec application du principe du moindre privilège. § Traiter les demandes d’accès logiques et s’assurer de leur conformité avec les rôles et responsabilités établis. § Modéliser les applications et les rôles métiers. § Superviser le cycle de vie des certificats : inventaire, renouvellements, génération CSR, coordination des déploiements. § Gérer les demandes d’accès à Internet selon les exigences de sécurité. § Analyser et traiter les emails bloqués ou suspects en appliquant les règles de détection. § Participer à la revue périodique des droits et produire les justificatifs requis. Gestion des vulnérabilités & Remédiation § Piloter les campagnes d’analyse de vulnérabilités, assurer la bonne configuration des scans et la qualité des résultats. § Prioriser et analyser les vulnérabilités selon les référentiels et les politiques internes de gestion de risques. § Produire des rapports consolidés destinés aux équipes IT et à la gouvernance. § Coordonner, planifier et suivre la remédiation avec les équipes IT. § Vérifier la correction effective des vulnérabilités et maintenir un tableau de bord de suivi. § Identifier les récurrences et proposer des améliorations de fond (hardening, configuration management). Ge stion des incidents & Surveillance • Assurer une analyse de premier et second niveau sur les alertes issues du SIEM, du SOC ou des outils EDR/NDR. • Qualifier les incidents, contribuer au containment, analyser les indicateurs d’intrusion et proposer les actions correctives. • Documenter les incidents (chronologie, impacts, IOC, recommandations) et participer au processus de post-mortem. • Escalader les incidents critiques vers les équipes CERT ou expertises internes lorsque nécessaire. • Contribuer à la mise à jour du cadre documentaire de gestion d’incidents et des runbooks sécurité. • Participer à la surveillance continue et à l’optimisation des règles de détection. • Sécurité, conformité & amélioration continue • Appliquer les politiques, standards et procédures sécurité (ISO 27001, directives internes, exigences d’audit). • Contribuer à la remédiation issue des évaluations de conformité (audit interne/externe, régulateur, contrôles thématiques). • Participer aux projets de renforcement de la posture sécurité (PAM, IAM, segmentation réseau, SIEM, Data Governance, Hardening, MFA) • Élaborer et maintenir les tableaux de bord sécurité (KPIs, KRIs, SLAs). • Identifier les opportunités d’automatisation des tâches répétitives via scripts ou outils internes. • Suivre la veille cybersécurité, identifier nouvelles menaces et recommander des mesures adaptées.

Pour un client dans le secteur bancaire, et pour une longue durée. Assurer l’investigation avancée, la mitigation et l’optimisation des protections WAF, Anti DDOS et Anti BOT de la solution AKAMAI en garantissant la sécurité applicative et la continuité de service face aux menaces cyber . Analyse et investigation avancée Prendre en charge les escalades issues du SOC N1/N2. Analyser en profondeur les logs et événements générés par les modules Akamai (App & API Protector, Bot Manager). Corréler les alertes Akamai avec d’autres sources (SIEM, IDS/IPS, EDR) Gestion des incidents de sécurité Identifier, qualifier et contenir les attaques web et DDoS détectées via la plateforme Akamai. Déclencher et piloter les actions de mitigation avancée (activation de règles spécifiques, bascule en mode challenge/deny, blocage IP). Optimisation et tuning de la solution Ajuster les règles WAF pour réduire les faux positifs / faux négatifs. Maintenir les politiques de sécurité en cohérence avec les évolutions des applications et des menaces. Veille et expertise technique Suivre l’évolution des menaces applicatives et DDoS. Tester et valider les nouvelles fonctionnalités de la solution Akamai. Reporting et capitalisation Produire des rapports d’incident détaillés Participer aux revues de sécurité et aux exercices de post-mortem. Documenter les playbooks et bonnes pratiques spécifiques à Akamai. Support avancé et relation éditeur Assurer le lien technique avec l’éditeur Akamai en cas d’incidents majeurs. Escalader et suivre les tickets complexes auprès du support Akamai. Compétences techniques Bonne connaissance des types de Vulnérabilités (TOP10 OWASP) et de leurs traitements. Paramétrages des régles de filtrage pour éviter des faux positifs, compréhensions des typologies d’attaques DDOS Intégration d’outils de cybersécurité Maitrise des méthodologie Agile et framework SAFe et des outils associés (+ expériences pratiques) Maitrise des méthodologies d’analyse de risque (EBIOS RM) Compétences en gestion de projet et coordination multi-équipes Connaissance des normes et standard de sécurité (ISO27001, NIST, MITRE ATTACK, Etc.) Bonne connaissance des différentes technologies utilisées dans le cadre de chaîne de liaisons applicatives (Firewalls, Proxy authentifiant)

Les Missions : Intégrer une équipe d'experts dédiée à la création de produits de sécurité opérationnelle et de solutions pour anticiper les menaces. Le rôle sera crucial dans la transformation de notre capacité de réponse aux incidents. Evoluerer en tant qu’expertise sur la plateforme SOAR (Security Orchestration, Automation, and Response) et le moteur de l'automatisation. Le profil recherché a une expérience de minimum 3 à 5 ans dans le domaine de la Sécurité Opérationnelle, avec une expérience significative dans le déploiement et l'exploitation d'une solution SOAR. Construire et faire évoluer notre plateforme SOAR : • Conception et Déploiement : Participer au choix, à la conception et au déploiement de notre solution SOAR (ex: Shuffle.io, Cortex XSOAR, Splunk Phantom, D3 Security, etc.). • Intégration : Réaliser l'intégration technique de la plateforme SOAR avec les autres outils de sécurité (SIEM, EDR, Threat Intelligence, pare-feux, solutions IAM, etc.). • Maintenance : Assurer la haute disponibilité, la résilience et l'évolution technique de la plateforme SOAR. Automatiser et Optimiser la Réponse aux Incidents : • Automatisation de Playbooks : Proposer, développer et maintenir des playbooks d'automatisation pour les cas d'usage sécurité (triage des alertes, enrichissement des données, confinement, réponse aux menaces courantes). • Orchestration : Orchestrer les actions entre les différents outils de sécurité pour réduire les délais de détection et de réponse. • Pilotage de la performance : Mesurer et optimiser le taux d'automatisation et l'efficacité des playbooks pour libérer du temps aux analystes du SOC. • Culture de l'Innovation et IA/DevOps • Intelligence Artificielle : Explorer et proposer l'intégration de capacités basées sur l'IA (Machine Learning, LLM) pour améliorer la classification des alertes, la chasse aux menaces (Threat Hunting) et l'aide à la décision des analystes. • Pratiques DevOps SecDevOps : Appliquer les meilleures pratiques DevOps (CI/CD, Infrastructure as Code) pour la gestion des playbooks et des connecteurs (versioning, tests automatisés, déploiement continu). Compétences Techniques : • SOAR : Expertise Impérative. Expérience avec au moins une plateforme (Shuffle.io, Cortex XSOAR, Splunk Phantom, Swimlane, etc.). • Scripting / Code : Développement de playbooks, scripts d'intégration et connecteurs. • DevOps / CI/CD : Bonnes connaissances de Git, GitLab (CI/CD), Kubernetes (un plus), Docker, Ansible. • Sécurité Opérationnelle : Solides connaissance du domaine et notamment autour du SOC, du VOC et de la réponse sur incidents. Compétences Comportementales : • Capacité d'Innovation : Forte appétence pour les nouvelles technologies, notamment l'Intelligence Artificielle appliquée à la sécurité. Type de projet (support / maintenance / implementation /…) : Build & Run Type de prestation (Client / Hybrid / Remote) : Hybrid ombre de jours/semaine ou par mois (à préciser : /s ou /m) chez le client : 3j consécutifs toutes les 3 semaines sur Montpellier

Le Groupe (banque/assurance, SI multi‑entités, haute criticité) renforce son dispositif de sécurité pour couvrir : la modernisation multi‑cloud (Azure pivot, AWS et GCP ponctuels), la sécurisation des workloads conteneurisés (Kubernetes / OpenShift), la réduction de la surface d’attaque (EASM/ASM), la conformité DORA / NIS2 , et l’ excellence en détection & réponse (SOC L2/L3, IR, Purple Team). Missions principales Architecture & Hardening sécurité (Infra / Cloud / DevSecOps) Définir HLD/LLD sécurité pour Azure/AWS/GCP , Kubernetes/OpenShift , bases de données (SQL/NoSQL), poste de travail , réseau (SASE/SD‑WAN) et exposition internet . Mettre en œuvre CNAPP/CSPM (Wiz, Prisma Cloud, Microsoft Defender for Cloud), EASM/ASM , secret mgmt (Vault), PKI/HSM , SBOM/SSCS (supply chain applicative). Politiques ZTNA/SASE (Zscaler/Netskope), PAM (CyberArk), IAM/IAG (SailPoint/ForgeRock), DLP (Microsoft Purview/Zscaler/Netskope). Détection & Réponse / SOC avancé Opérer/optimiser EDR/XDR (CrowdStrike/SentinelOne/Microsoft Defender), SIEM (Splunk / Microsoft Sentinel), SOAR (Cortex/XSOAR, Sentinel playbooks). Chasse aux menaces (Threat Hunting), MITRE ATT&CK , Purple Team (Atomic Red Team, Caldera), Use Cases & règles détection , UEBA . IR : triage, forensic (Volatility, Kape), containment & remédiation, post‑mortem. Gouvernance, Risques & Conformité Alignement DORA , NIS2 , ISO 27001 , EBA , GDPR , PCI DSS ; contribution aux audits & contrôles (interne/régulés). Élaboration Politiques & Standards (durcissement, « security baselines », contrôle de conformité as‑code). Threat modeling (STRIDE, LINDDUN), Risk Assessment (méthodo mesurable), TPRM (fournisseurs critiques). Automatisation & Observabilité « Security as Code » : Terraform (policy as code/OPA), Ansible , GitLab/GitHub Actions , CI/CD (gates SAST/DAST/SCA, IaC scan). Compliance as Code (Azure Policy, Sentinel KQL, Regole CSPM), Monitoring (Datadog/Prometheus/Grafana), Chaos Security (test de résilience sécu). Coordination et accompagnement Guidance des équipes projets , DevOps , réseau , poste de travail , applicatif , SOC . Animation de CR de sécu , comités risques , runbooks & playbooks , transfert de compétences. Livrables clés HLD/LLD sécurité (Cloud/K8s/Reseau/Workplace), Matrice de flux , Cartographie exposition internet/ASM . Standards & baselines (durcissement OS/DB/K8s, policy SASE/ZTNA), RACI . Use cases SIEM/XDR , playbooks SOAR , KQL/Correlations , Dashboards KPIs SOC . Plan de remédiation (vuln/priorisation), plan DORA/NIS2 , dossiers d’architecture & RA . Rapports d’incidents (post‑mortem), Plans de tests Purple Team , Tableaux d’efficacité (MTTD/MTTR, coverage MITRE) . Profil & Expérience 8–12+ ans en cybersécurité, dont 4–6 ans sur cloud/containers et SOC/IR ou PAM/IAM dans un environnement bancaire /régulé. Maîtrise architecture sécurité , durcissement K8s/OS , réseau (segmentation, TLS mTLS), CI/CD sécurisé , gestion secrets . Solide culture menaces (TTPs, MITRE), forensic , use cases SIEM/XDR , SOAR . Connaissance des cadres DORA/NIS2/ISO 27001/EBA/GDPR et des process ITIL/Change/Incident . Soft skills : pédagogie , orientation delivery , prise de décision , communication exécutive .

Dans le cadre du renforcement des capacités de cyberdéfense , nous recherchons un Incident Response Analyst (SOC L3 / Blue Team) capable d’intervenir sur des incidents de sécurité avancés, de mener des investigations techniques et de contribuer à l’amélioration continue des capacités de détection et de réponse aux menaces. Vous interviendrez au sein d’une équipe cyber dédiée à la détection, l’analyse et la remédiation des incidents de sécurité , en collaboration étroite avec les équipes SOC, CERT et infrastructure.

Contexte : Piloter et améliorer les activités de SOC (Security Operation Center) et de VOC (Vulnerability Operation Center) dans une logique d’industrialisation et d’automatisation (SOAR) des processus et procédures de sécurité. Coordonner les opérations offensives et défensives (pentests, audits, Purple Team). Piloter des projets de sécurité opérationnelle et mettre en œuvre des outils techniques Ce pôle est constitué d'une équipe sécurité opérationnelle et d'une équipe de gouvernance de la sécurité. Nous recherchons pour renforcer notre équipe un Responsable Sécurité Opérationnelle - SOC, VOC et Pentest (H/F), rattaché(e) au RSSI pour piloter une équipe technique de 3 personnes (Analystes SOC, Pentesters et Alternants) et la sous-traitance du périmètre. Ce poste est ouvert à un profil lead technique et manageur capable de traiter des sujets transverses de sécurité opérationnelle autour de l'attaque, la défense, l'infrastructure, le cloud, l'architecture et le développement sécurisés. Nous souhaitons automatiser et industrialiser l’activité de sécurité opérationnelle avec un SOAR pour se concentrer sur les tâches à forte valeur ajoutée et nous souhaitons renforcer la gouvernance du VOC pour aboutir à l'adoption de cycles réguliers des mises à jour. Gouvernance technique (20%) Challenger la couverture fonctionnelle et assurer la gouvernance sécurité technique de nos produits : EDR, SIEM, SOAR, Honeypot, Scanners de sécurité, Bloodhound, Platforme de pentest, etc. Mettre en œuvre et opérer des contrôles réguliers liés à l’ISO 27001 Participer à la documentation de notre SMSI (ISO 27001) et contrôler son application Assurer le suivi des contrats et des fournisseurs du périmètre SOC et VOC SOC (20%) Piloter les activités de SOC (2,5 personnes + MSSP externe) Améliorer l'efficacité du SOC (procédure, automatisation SOAR et Threat Hunting) Mettre en œuvre, automatiser et traiter les fuites de données (leaks) VOC (30%) Piloter la mise en place du VOC avec les outils déjà en place (scanners, Jira, SOAR, etc.) et promouvoir son fonctionnement auprès de la DSI (produire le reporting du VOC). Coordonner la qualification, l'attribuer et le suivi des tickets du VOC aux équipes en charge de corriger les vulnérabilités du SI Piloter l’amélioration continue (industrialisation) du traitement des vulnérabilités : critères de qualification, processus d'attribution et de traitement de vulnérabilités, branchements techniques et centralisation des vulnérabilités, etc. Attaque (20%) Piloter et coordonner l'activité de Pentest et de BugBounty (0,5 personnes + prestations externes) Mettre place, piloter et coordonner l'activité Purple Team Participation possible aux audits en renfort de l'équipe Veille (5%) Assurer une activité de veille sur les menaces, les vulnérabilités, les méthodes d’attaque/défense Maintenir des relations avec les fournisseurs pour analyser les évolutions techniques des solutions de sécurité et des tendances et innovations du marché Profil : Compétences transversales Très bonne capacité d'organisation et de cadencement de sujets multiples Bonne capacité à synthétiser les sujets et à communiquer de manière transverse Anglais technique avec la capacité de dialoguer à l'oral et à l'écrit avec nos fournisseurs et nos filiales Compétences spécifiques (plusieurs compétences attendues parmi la liste) Expérience en détection, incident et réaction face aux menaces : SOC, CSIRT, CTI, OSINT, etc. Expérience en gestion des vulnérabilités : CVE, SSVC, compréhension et analyse d'impact • Expérience ou connaissances en audits : pentest, BugBounty, MITRE, etc. Compétences en développement appréciées (idéalement en Python) Expérience en management et leadership technique Compétences comportementales Formation souhaitée Bac +5 en informatique, spécialisation cybersécurité, 10 ans d’expérience minimum