Dans le cadre du renforcement de la sécurité des systèmes d'information, un projet SIEM est en cours de déploiement. L'Expert SIEM sera responsable de la conception, de l'implémentation et de l'optimisation de la solution SIEM afin d'assurer une surveillance 24/7, d'améliorer la détection des menaces et de garantir la conformité réglementaire. Ce rôle intervient dans un environnement exigeant, avec des infrastructures critiques, une gestion volumétrique importante des logs et des impératifs de confidentialité des données. Missions principales : Conception et déploiement du SIEM : - Définir l'architecture du SIEM en fonction des besoins de surveillance et des contraintes techniques spécifiques. - Mettre en œuvre l'intégration des solutions logicielles sélectionnées (Splunk et HarfangLab), tout en assurant leur interopérabilité avec les infrastructures existantes. - Élaborer les stratégies de collecte, d'agrégation et de normalisation des logs à partir de diverses sources (firewall, IDS/IPS, IAM, Active Directory, applications métier, bases de données, etc.). - Installer et configurer les dispositifs de collecte de logs (puit de logs) et les dispositifs IPS/IDS. - Assurer la mise en œuvre progressive du projet : phases MVP, pilote, et extensions itératives. Détection et analyse des menaces : - Définir et affiner les règles de corrélation pour détecter les menaces et anomalies en temps réel. - Mettre en place un système d'alertes prioritaires pour optimiser la gestion des incidents de sécurité. - Participer aux scénarios de simulation d'attaques et effectuer des tests de charge pour valider la robustesse du SIEM. - Améliorer en continu la pertinence des règles et réduire les faux positifs. Exploitation et administration du SIEM : - Assurer la maintenance et l'évolution du SIEM : veille technologique, mise à jour des règles de détection et gestion des alertes. - Collaborer avec les équipes de réponse aux incidents pour l'analyse des alertes critiques et le traitement des incidents de sécurité. - Automatiser les réponses aux incidents de sécurité à travers des playbooks et workflows de remédiation. - Développer des tableaux de bord et rapports pour le suivi des incidents et garantir la conformité réglementaire. - Optimiser les coûts de fonctionnement en mode RUN. Collaboration et support aux équipes de cybersécurité : - Collaborer étroitement avec les analystes SOC et les équipes SSI internes pour assurer une gestion efficace des alertes et incidents. - Former et sensibiliser les utilisateurs clés à l'utilisation du SIEM et aux bonnes pratiques de cybersécurité. - Contribuer aux échanges avec des partenaires externes pour mutualiser les règles de détection et partager des indicateurs de compromission (IOC). Compétences techniques : - Expertise avancée en solutions SIEM (idéalement Splunk et HarfangLab). - Connaissance approfondie des standards de gestion des logs (Syslog, CEF, JSON, etc.). - Maîtrise des concepts de corrélation d'événements et de détection des menaces. - Solide compréhension des infrastructures IT et de la sécurité des réseaux (firewalls, IDS/IPS, IAM, Active Directory, bases de données, etc.). - Expérience en scripting et automatisation (Python, PowerShell, Bash) pour optimiser les workflows SIEM. - Capacité à concevoir et à optimiser des tableaux de bord et des rapports au sein du SIEM. - Compétence en gestion de projet et en coordination des équipes. Expérience et formation : - Formation : Bac+5 en informatique, cybersécurité ou domaine équivalent. - Expérience : Minimum 5 ans d'expérience significative dans la sécurité des systèmes d'information, avec une spécialisation en SIEM. - Certifications appréciées : Splunk Certified Architect, GIAC SIEM, CISSP, CEH