Expert SOC - F/H

Contexte

La présente prestation a pour objet de mettre à disposition une experte spécialiste SOC (Security Operations Center) afin de renforcer la capacité opérationnelle du Global SOC (GSOC) d’un grand groupe industriel automobile.
Le GSOC couvre l'ensemble des entités du groupe ainsi que tous les périmètres IS/IT. Ce besoin s'inscrit dans une démarche globale d'augmentation de la capacité d'onboarding applicatif et d'amélioration de la couverture des menaces cyber.
La prestation couvre l'ensemble du cycle de vie des activités SOC, depuis la définition des besoins jusqu'à l'exploitation opérationnelle, en passant par l'implémentation technique.

Missions

• Contribution à la définition et au maintien de la stratégie de détection et de réaction du GSOC, en cohérence avec l'évolution des menaces et des architectures du groupe.
• Intégration technique des systèmes et applications du groupe dans le service de monitoring du GSOC, comprenant :
  • l'identification et la documentation des scénarios de menaces pour les applications et technologies à onboarder (basées sur l'expertise des menaces, les données CTI et les analyses de risques) ;
  • l'identification des données nécessaires à la détection (logs, listes blanches/noires) et la mise en place de la chaîne de collecte, du parsing et de l'intégration SIEM ;
  • la création et la maintenance des règles de détection et des playbooks de réaction (SOAR).
• Participation à la définition et au maintien en condition de sécurité des technologies de détection et de protection déployées dans le groupe (gestion des politiques de sécurité des équipements).
• Participation à l'évaluation et au déploiement des solutions techniques du SOC, et accompagnement du déploiement des solutions de sécurité sur l'infrastructure du groupe.
• Élaboration et maintien des exigences techniques, lignes directrices, normes et recommandations du GSOC applicables aux entités du groupe.
• Collaboration et support technique au réseau de correspondants sécurité des entités du groupe, à l'échelle mondiale.

Livrables

1. Dossier d'analyse des besoins de couverture de la menace : document structuré recensant les scénarios de menaces identifiés pour chaque système ou application à onboarder dans le GSOC, incluant les sources de logs nécessaires, les critères de détection et les priorités. Ce livrable est soumis à la validation du responsable technique.
2. Spécifications techniques et fonctionnelles des mécanismes de détection et de réaction : document décrivant les règles de détection (cas d'usage SIEM) et les playbooks de réaction (SOAR) associés, avec critères d'acceptation définis en accord avec le responsable technique.
3. Implémentation des mécanismes de détection et de réaction dans les outils du GSOC (SIEM, SOAR), avec validation fonctionnelle par le responsable technique.
4. Recommandations détaillées et argumentées pour l'amélioration du niveau de détection et de réaction de l'existant, remises selon une fréquence à convenir avec le responsable technique.
5. Documentation technique maintenue à jour dans l'outil de gestion documentaire du SOC.
6. Activités mises à jour régulièrement dans l'outil de suivi des activités du SOC.
7. Participation active à l'ensemble des réunions techniques et de suivi d'avancement.

Savoir-faire du prestataire

Le prestataire devra justifier du savoir-faire propre suivant sur son périmètre distinct :

• Expertise technique et opérationnelle confirmée en cybersécurité, et plus particulièrement en cyberdéfense opérationnelle.
• Expertise dans l'intégration de solutions au sein d'un SOC, incluant des activités d'onboarding applicatif et de mise en place de chaînes de collecte de logs.
• Expertise technique sur les environnements systèmes d'exploitation (Windows, Linux), réseaux et cloud (Azure, GCP, AWS ou équivalent).
• Maîtrise des technologies de sécurité suivantes : SIEM Chronicle, SOAR Chronicle, EDR CrowdStrike, IDS/IPS, proxy, WAF.
• Très bonne connaissance des techniques d'attaques cyber : threat actors, TTPs (framework MITRE ATT&CK), outils offensifs, et phases d'attaque sur les environnements réseau, cloud et systèmes d'exploitation.

Domaines d’expertise

• Connaissance des concepts de ML, de Generative AI, de RAG, de Corpus, de LLM, d’agent, d’assistant, de prompt, d’hallucination, d’AI model…
• Savoir formuler des requêtes efficaces pour interagir avec les IA génératives et obtenir les résultats souhaités.
• Usage critique de l’IA en prenant en compte ses limites et ses biais.
• Connaissance des exigences RGPD et des aspects éthiques en lien avec l’IA.

1. Expertise technique et opérationnelle confirmée en cybersécurité, et plus particulièrement en cyberdéfense opérationnelle
2. Expertise dans l'intégration de solutions au sein d'un SOC, incluant des activités d'onboarding applicatif et de mise en place de chaînes de collecte de logs
3. Expertise technique sur les environnements systèmes d'exploitation (Windows, Linux), réseaux et cloud (Azure, GCP, AWS ou équivalent)
4. Maîtrise des technologies de sécurité suivantes : SIEM Chronicle, SOAR Chronicle, EDR CrowdStrike, IDS/IPS, proxy, WAF
5. Très bonne connaissance des techniques d'attaques cyber : threat actors, TTPs (framework MITRE ATT&CK), outils offensifs, et phases d'attaque sur les environnements réseau, cloud et systèmes d'exploitation
6. Connaissance des concepts de ML, de Generative AI, de RAG, de Corpus, de LLM, d’agent, d’assistant, de prompt, d’hallucination, d’AI model
7. Savoir formuler des requêtes efficaces pour interagir avec les IA génératives et obtenir les résultats souhaités
8. Usage critique de l’IA en prenant en compte ses limites et ses biais
9. Connaissance des exigences RGPD et des aspects éthiques en lien avec l’IA