Identifier les événements de sécurité en temps réel, les analyser et les
qualifier (QRADAR SIEM ,Resilient )
Évaluer la gravité des incidents de sécurité (Priorisation , Ticket Chapeau)
Notifier les incidents de sécurité, escalader le cas échéant
Réaction face aux menaces :
Transmettre les plans d’action aux entités en charge du traitement et
apporter un support concernant les correctifs ou palliatifs à mettre en
œuvre
Faire des recommandations sur les mesures immédiates
Accompagner le traitement des incidents par les équipes d’investigation
N1/N2
Mise en place des d’usages et des outils :
Contribuer à la mise en place du service de détection (SIEM, etc.)
Contribuer à la définition de la stratégie de collecte des journaux
d’évènements
Participer au développement et au maintien des règles de corrélation
d’événements (Build de regle)
Veille et amélioration :
Collaborer à l’amélioration continue des procédures ; construire les
procédures pour les nouveaux types d’incidents (Fiche Reflexe et
playbook)
Contribuer à la veille permanente sur les menaces, les vulnérabilités et les
méthodes d’attaques afin d’enrichir les règles de corrélation d’événements
CybelAngel , Ambionics ,Cert ..
Reporting et documentation :
Renseigner les tableaux de bord rendant compte de l’activité
opérationnelle
Maintenir à jour la documentation
Activités de recherche de compromissions (threat hunting)
Supervision des logs et incidents de SIEM RSA.
Traitement et analyse des incidents comportementaux : Varonis,
datAdvantage (Téléchargement massif, suppression de compte,
changement de mot de passe, etc.)
Analyse et investigation des malwares : Symantec EDR, SEPM (Scan et
isolement des machines infectées, mitigation de risque, etc.)
Protection de système contre la divulgation des données : SymantecDLP.
Traitement des incidents de phishings (Analyse header, pièces jointes,
liens malicieux, réaction des victimes, contamination des machines, etc.)
Gestion des vulnérabilités : Qualys.
Threat Intelligence sur les nouvelles menaces, blocage des IOCs et
recherche sur ses hits.
Traitements des incidents relatifs au Web (Cookies poisoning, SQLi, XSS,
buffer overflow, crawling, etc.)
Fiabilisation des outils de sécurité : Minimisation des faux-positifs,
élaboration des nouvelles politiques de détection et de réaction,
automatisation des taches et des rapports, interaction avec le support, etc.
Développement des scripts Java pour automatiser certaines tâches de
gestion de sécurité informatique.
Reporting sur le statut de sécurité, les incidents traités, l’évolution de
protection, mise en évidence des faits marquants, développement des
scripts VBA pour programmer Excel à bien extraire et présenter les
informations nécessaires.
Formation et accompagnement des analystes SOC 1&2.
Français :Bon Niveau
Arabe : Maternelle
Anglais : Technique
Compétences Techniques
Supervision et analyse des logs, événements et incidents : Arcsight(HP)
,Siemplify (SOAR).
Elaboration des procédures SOC : procédure de notification, d’escalade, de
traitement des incidents.
Analyse des phishings (Header, corps, pièces jointes, hyperliens,
extraction des collaborateurs qui ont reçu le mail, purge de l’email
malicieux, etc.
Protection de système contre les malwares : Analyses des événements de
Symantec Endpoint Protection, SEP
Traitements des alertes O365 (téléchargement massif, connexions externes,
comportements anormaux, etc.)
Classification des attaques, notification des clients, et évaluation de risque.
Automatisation des rapports et dashboards.
Développement des applications Java pour l’analyse locale et automatique
des attaques phishing (Header and body analysis, collecte, investigation).
Analyse automatique des malwares, etc.
Gestion des vulnérabilités (Nessus pro,Nexpose, OpenVas).
Créer des rapports et fournir des analyses sur les vulnérabilités pour les
équipes techniques et la direction
Expérience de l'évaluation des vulnérabilités et des correctifs
Identifier des actions techniques de remédiation des vulnérabilités
Etablissement du plan d’action
Suivie du plan d’action
Implémentation de plateforme MISP au sein SOC (Importation de
plusieurs Sources de feed via API)
Analyste SOC:SIEM QRADAR d’IBM, Alienvault , IDS
Supervision et analyse des incidents et vulnérabilités des clients avec le
SIEM QRADARselon les outils : Symantec (EDR ,Gateway de
messagerie, DLP, etc.)
Raccordement des équipements au SIEM :DLP, firewall, DNS, AD,
stations Windows, et Linux au SIEM (Nxlog, winlogbeat, rsyslog, etc.)
Firewall Fortigate (VPN, règles de filtrage, etc.).
Analyse des logs, des événements, et des alertes.
Distinction entre les faux positifs et cas réels d’intrusion ou des
comportements suspicieux.
Elaboration des règles de corrélation personnalisées et règles de décodage.
Etude et test de plusieurs scénarios d’attaque : ARP Poisoning, XSS, SQL
injection, DDOS, attaque par malwares, etc.
Systèmes d’exploitation Windows, GNU/Linux.
Développement Web HTML5/CSS3, MySQL, JEE, XML, JSTL.
Programmation C, Java, Python, PL/SQL, Bash, Oracle, UML.
Sécurité de l'information
IPS/IDS (Suricata, snort),SIEM (IBM-QRADAR,Netwitness-RSA,HP-Arcsight) DLP
(Symantec DLP, Forcepoint DLP), Firewall (Fortigate), Antivirus (SEP,Microsoft
EDR), PKI (OpenPKI) Proxy, Reverse Proxy, WAF (F5).
Outils d’Analyse Sandboxie, MXtoolBox, VirusTotal, VirusShare, Loki, Hybrid, Wireshark, tcpdump,
regex101, eicar virus simulator, nmap, etc.
Réseaux et Systèmes
TCP/IP, OSI, IPv4/IPv6, VPN, IPsec, Packet Tracer, GNS3, QoS, Ntop, Nagios,
PRTG, réseau mobile. Virtualisation (VirtualBox, ESXi, Docker, etc.)