Missions principales** - Mener des activités de **Digital Forensics et de réponse aux incidents (DFIR)**, incluant l'évaluation, l'analyse, la catégorisation, la classification et l'investigation des incidents de cybersécurité. - Gérer les incidents de cybersécurité afin d'assurer leur **confinement rapide** et la **réduction des risques**, en collaboration avec les équipes opérationnelles et les responsables, conformément aux processus de gestion des incidents de sécurité. - Gérer de manière autonome les incidents potentiellement graves en dehors des heures de travail (rotation d'astreinte). - Collecter, documenter et analyser les preuves dans le cadre des capacités de **cyberdéfense et du CERT AXA**. - Assurer le suivi de la résolution des incidents de sécurité et mettre à jour les informations dans l'outil de ticketing. - Informer et communiquer avec les parties prenantes concernées, y compris les CISO/CSO du Groupe et des entités. - Soutenir les analystes SOC et le réseau international de gestionnaires d'incidents de sécurité des entités AXA. - Réaliser des activités de retour d'expérience (revue d'incidents, documentation post-mortem). - Contribuer à l'amélioration des capacités DFIR, notamment par le développement et l'intégration d'outils open source et commerciaux dans un laboratoire dédié. - Participer à des activités de **threat hunting**, de manière proactive ou dans le cadre d'incidents graves. - Participer au développement des cas d'usage et à l'ajustement des seuils des règles SIEM. - Agir en tant que **mentor** pour les spécialistes juniors en réponse aux incidents, les soutenir, les superviser et assurer le transfert de connaissances au sein de l'équipe. - Assurer une communication professionnelle et des rapports à destination des parties prenantes SOC et des clients. - Participer aux échanges avec les communautés CERT/CSIRT nationales et internationales. ### **Formation** - Diplôme de niveau licence en informatique ou en sécurité de l'information souhaité (non obligatoire). ### **Certifications** - **Fortement souhaitées** : GIAC GCIH (SANS SEC504), GIAC GCFA (SANS FOR508) - **Très appréciées** : GIAC GDAT (SANS SEC599), GIAC GNFA (SANS FOR572), GIAC GCFE (SANS FOR408), GIAC GCIA (SANS SEC503), GIAC GREM (SANS FOR610) - **Souhaitées** : Certifications en infrastructures de sécurité, ITIL Foundation, certifications en sécurité offensive (OSCP, SEC560, CEH) ### **Expérience professionnelle** - Expérience démontrée en analyse et réponse aux incidents de sécurité de l'information : **> 4 ans** - Expérience démontrée en SOC/CSIRT : **> 3 ans** - Expérience en administration d'infrastructures réseau/sécurité : **> 2 ans** - Expérience en administration Linux/Windows : **> 1 an** - Expérience dans des organisations grandes et complexes : **> 3 ans** - Expérience dans l'utilisation d'outils de ticketing - Expérience pratique avec des outils SIEM commerciaux standards ## **Compétences personnelles** - Organisé(e), capable de prioriser les tâches, respecter les délais et gérer efficacement son temps - Bonnes compétences interpersonnelles et en communication, esprit d'équipe - Bon sens pour prendre des décisions efficaces et acceptables - Volonté de se former en continu, passion pour l'IT et la sécurité de l'information - Capacité à travailler sous pression - Capacité à rechercher des informations et résoudre des problèmes inconnus - Diplomatie dans les interactions avec les autres parties - Capacité à travailler efficacement dans une structure matricielle - Sensibilité interculturelle, flexibilité - Maîtrise de l'anglais