Trouvez votre prochaine offre d’emploi ou de mission freelance MITRE ATT&CK à Paris

Missions principales 🔍 Détection & Threat Hunting Élaboration et optimisation des use cases dans le SIEM. Réalisation d’activités de threat hunting en s’appuyant sur le framework MITRE ATT&CK. Analyse des signaux faibles et mise en place de détections avancées. 🚨 Réponse aux incidents (Niveau 3) Pilotage des incidents critiques (ransomware, compromission Active Directory, exfiltration de données). Coordination des actions de containment et de remédiation. Support technique avancé aux équipes SOC L1/L2. ⚙️ Engineering & amélioration continue Optimisation des règles de détection pour réduire les faux positifs. Contribution à l’automatisation via SOAR et playbooks. Amélioration continue de la couverture et de l’efficacité des détections. 👥 Leadership & coordination Référent technique au sein du SOC. Encadrement et mentoring des analystes. Interface avec le CERT, les équipes IT, cloud et métiers.

MISSIONS PRINCIPALES Réponse à Incident (DFIR) Prendre en charge des incidents de bout en bout : qualification, investigation forensique, containment, éradication, remédiation Collecter et analyser les artefacts forensiques sur endpoints Windows et Linux : journaux EVTX, persistance (registry, prefetch, MFT), analyse mémoire Utiliser les EDR en investigation avancée (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) — pas uniquement consommer des alertes Produire des rapports d'investigation exploitables : volet technique détaillé ET synthèse managériale Coordonner les actions de réponse avec les équipes IT/OT des entités impactées et des filiales Réponse à Incident en Environnement OT Adapter la démarche d'investigation aux contraintes industrielles : disponibilité avant tout, pas de patch à chaud, protocoles spécifiques (Modbus, DNP3, OPC-UA) Intervenir sur des incidents impliquant des systèmes SCADA, ICS ou automates sans déstabiliser la production Collaborer avec les équipes OT locales qui connaissent le terrain industriel mais pas les réflexes cyber Threat Hunting & CTI Opérationnelle Conduire des campagnes de threat hunting proactif sur le SI du groupe — sur hypothèse TTPs, pas uniquement sur alertes Rédiger des requêtes de chasse avancées en SPL (Splunk) ou KQL (Microsoft Sentinel) Effectuer une veille active sur la menace : rapports threat intel, suivi des acteurs menaçants pertinents pour le secteur Alimenter et maintenir le Threat Model du groupe depuis les investigations et la veille CTI Utiliser les plateformes CTI de façon opérationnelle : MISP, OpenCTI, VirusTotal Enterprise Amélioration Continue de la Détection Proposer et implémenter de nouvelles règles de détection SIEM issues des incidents traités et de la veille CTI Assurer le tuning des règles existantes pour réduire le bruit sans dégrader la couverture Traduire les TTPs MITRE ATT&CK (IT et ICS) en règles de détection concrètes Documentation & Capitalisation Rédiger et maintenir les SOP, IRP et IRG Produire des retours d'expérience après chaque incident significatif Contribuer à la montée en compétence de l'équipe via le partage de méthodes et d'outils

Dans le cadre du renforcement d’un centre opérationnel de sécurité (SOC) au sein d’un grand groupe international, nous recherchons un(e) Expert(e) SOC en prestation. Rattaché(e) à l’équipe Cybersecurity, vous intervenez sur la détection, l’investigation et la réponse aux incidents de sécurité sur une infrastructure globale. Missions principales Réponse à incident & gestion des cas Prise en charge complète des incidents de sécurité : qualification, investigation, analyse des causes racines et pilotage de la remédiation. Coordination des actions de confinement, d’éradication et de restauration avec les équipes concernées. Gestion et tri des signalements utilisateurs (emails suspects, compromission de comptes, problématiques d’outillage sécurité). Mise à jour et amélioration continue des playbooks de réponse à incident. Suivi des indicateurs SOC (MTTD, MTTR, taux de faux positifs, couverture de détection). Administration des outils SOC Administration et maintien en conditions opérationnelles des plateformes de sécurité : SIEM, SOAR, outils de gestion d’incidents, vulnérabilités et conformité. Déploiement de mises à jour, contrôles de santé, optimisation des performances et gestion des configurations. Detection engineering & amélioration du monitoring Intégration de nouvelles sources de logs et flux de données dans le SIEM. Création et optimisation de règles de détection avancées (corrélation, détection comportementale, réduction des faux positifs). Conception de dashboards et reporting sécurité. Cartographie des cas d’usage de détection selon le framework MITRE ATT&CK. Automatisation (SOAR) Conception et implémentation de playbooks automatisés. Intégration inter-outils (isolation endpoint, blocage IP, désactivation de comptes, scans post-incident). Réduction du temps de réponse et de la charge opérationnelle via l’automatisation. Organisation Environnement international. Télétravail partiel possible (jusqu’à 2 jours par semaine). Astreintes à prévoir.

Contexte de la mission Dans le cadre du renforcement de son dispositif de cybersécurité, un acteur majeur du secteur financier recherche un SOC Expert afin de renforcer les capacités de détection, d’investigation et d’automatisation de son Security Operations Center. L’objectif est d’améliorer la posture de sécurité globale, réduire les délais de détection et de remédiation (MTTD / MTTR), diminuer les faux positifs et renforcer la couverture des menaces. La mission s’inscrit dans un environnement international avec des infrastructures hybrides (on-premise et cloud). Objectifs de la mission Le consultant interviendra sur quatre axes principaux : Incident Response & Case Management Gestion complète des incidents de sécurité (analyse, qualification, remédiation) Coordination des actions de containment, eradication et recovery Documentation rigoureuse dans l’outil de gestion des incidents Traitement des demandes sécurité remontées par les utilisateurs Amélioration continue des playbooks d’intervention SOC Tooling & Platform Operations Administration des outils SOC : SIEM SOAR Outils de vulnérabilité / compliance Mise à jour des plateformes Tests de performance et health checks Déploiement des évolutions de configuration Detection Engineering Intégration de nouvelles sources de logs dans le SIEM Création et tuning de règles de détection avancées Réduction des faux positifs Mise en place de dashboards de suivi Mapping des détections vers le framework MITRE ATT&CK Automatisation (SOAR) Conception de playbooks dynamiques Automatisation des réponses : Isolation endpoint Blocage IP Désactivation comptes Scans post-incident Intégration cross-tools

Le Security Operations Center (SOC) capacités suivantes : détection d’incidents de sécurité, chasse aux menaces, réponse aux incidents et renseignement sur les menaces. La philosophie fondamentale Nous croyons que le meilleur service pour élaborer une règle de détection est celui qui connaît parfaitement comment la contourner. Nous recherchons un Red Teamer souhaitant évoluer vers notre Stratégiste principal en détection. Vous serez responsable de la qualité et de l’orientation de notre logique de détection : évaluer notre posture en matière de télémétrie et de journalisation, identifier les lacunes de visibilité, définir les besoins en détection et rédiger des contenus de détection précis et résistant aux techniques de contournement du monde réel. Vous ferez le lien entre les techniques offensives et les résultats du SOC, en traduisant le comportement des attaquants en détections durables et exploitables. Objectifs et livrables Focus principal : Ingénierie de la détection Responsabilité principale : Garantir que chaque mouvement d’adversaire soit détecté. Vous passerez la majorité de votre temps dans notre SIEM, en élaborant des alertes de haute précision basées sur votre analyse des tactiques, techniques et procédures (TTP) offensives. Création de logique : Rédiger des requêtes KQL complexes pour repérer des comportements avancés (par exemple, manipulation de tokens, jitter C2, etc.), plutôt que de simples correspondances d’indicateurs de compromission (IOC). Analyse de la télémétrie : Examiner en profondeur les logs bruts provenant de l’EDR, des fournisseurs d’identités et de l’infrastructure cloud pour identifier les données manquantes et définir les politiques de journalisation adéquates. Réduction des faux positifs : Utiliser votre connaissance des comportements normaux versus malveillants pour ajuster et affiner les règles existantes, afin d’éviter une surcharge d’alertes pour le SOC. Focus secondaire : Emulation ciblée d’adversaires Vous continuerez à réaliser des attaques, mais avec un objectif différent : générer des données. Vous exécuterez des séquences d’attaque manuelles pour vérifier le déclenchement des nouvelles règles, puis analyserez et simulerez des techniques spécifiques (cadrées selon le cadre MITRE ATT&CK) afin d’identifier et de combler les lacunes de notre détection. Responsabilités clés du service : Traduire le renseignement sur les menaces complexes et les techniques de Red Team en logique de détection exploitable (KQL). Revoir et optimiser la bibliothèque de règles de détection existante pour garantir leur précision et leur couverture. Collaborer avec l’équipe de réponse aux incidents pour comprendre pourquoi certaines attaques ont été manquées, et concevoir des règles pour empêcher leur récidive.

Contexte et objectif La Direction des Systèmes d'Information (DSI) recherche un consultant senior spécialisé en solutions Akamai pour renforcer la sécurité applicative et la résilience des plateformes numériques. La mission vise à sécuriser, industrialiser et exploiter efficacement les solutions Akamai (WAF, Anti-DDoS, Anti-Bot, App & API Protector) dans un contexte stratégique à enjeux élevés. Rôles du consultant Expert technique N3 Akamai : Support avancé, investigation des attaques, optimisation des règles WAF, corrélation des alertes, relation avec Akamai. Product Owner Sécurité Akamai : Déploiement des solutions, étude de faisabilité, gouvernance, coordination des équipes, suivi en mode Agile/SAFe. Incident Manager Cybersécurité : Pilotage des incidents majeurs, remédiation, communication, organisation de retours d’expérience, suivi des plans d’actions. Enjeux et standards Protection des applications exposées (portails clients, outils métiers) Prévention des attaques DDoS et applicatives Assurer disponibilité et performance des services critiques Respect des standards et référentiels (PSSI, ISO 27001, NIST, MITRE ATT&CK, OWASP) Livrables attendus Le consultant doit fournir : Livrables opérationnels : Rapports d’incidents détaillés (analyse, impact, mitigation) Playbooks de mitigation (deny, rate limit, challenge) Documentation des règles WAF et stratégies Anti-DDoS Procédures d’exploitation N3 Akamai Livrables de pilotage : Roadmap de déploiement Akamai RACI projet Comptes rendus et reporting d’avancement Indicateurs de performance et sécurité (KPI/KRI) Livrables d’amélioration continue : Rapports de post-mortem et retours d’expérience Plan d’optimisation continue de la posture sécurité Capitalisation documentaire pour montée en compétence interne