DFIR
Analyste en réponse aux incidents (DFIR)
Description du poste
La mission principale du CSIRT Synacktiv est de répondre aux demandes de traitement d'incident de sécurité auprès des clients et des entreprises sollicitant Synacktiv. Dédié à cette activité, le CSIRT Synacktiv est composé de passionnés en investigation numérique et réponse à incident.
En nous rejoignant, vous interviendrez sur des demandes variées :
- levée de doute sur des comportements suspects ou incidents avérés sur un poste de travail/système d'information ;
- accompagner les clients dans leur capacité à gérer un incident de sécurité ou encore au travers des formations liées à cette activité (cf. catalogue de formation de Synacktiv) ;
- rechercher des compromissions passées ou en cours (hunting) ;
- améliorer le niveau d'expertise de l'équipe (R&D): enrichir les méthodologies, partager votre veille (outils/articles/drama), développer/tester des outils, innover sur de nouveaux périmètres ;
- participer à des conférences de sécurité ;
- faire connaître l'activité CSIRT par des publications.
Profil recherché
Synacktiv recherche une personne avec une première expérience professionnelle en réponse à incident. Réactive, polyvalente et organisée, vous avez des connaissances/affinités pour certains des éléments décrits ci-dessous :
- vous avez été 3 ans ou plus dans un CERT et/ou avez déjà traité des APT, des ransomwares, des BEC, etc.
- vous avez des connaissances en Windows : principaux artefacts, administration, win32 api, mémoire, NTFS, Active Directory - la plupart des environnements rencontrés sont sous Windows, il est nécessaire de connaître cet environnement ;
- vous devez savoir utiliser Linux au quotidien ;
- vous comprenez le fonctionnement des outils que vous utilisez lors de réponse aux incidents ;
- vous avez déjà fait de la rétroconception ou débogué un programme malveillant ou plus généralement vous vous êtes intéressé aux fonctionnements des systèmes d'exploitation (internals) ;
- vous aimez construire et donner des formations en école ou dans le milieu professionnel ;
- vous avez déjà conduit des réunions de lancement et présenté votre analyse à un client (français principalement ou anglais). Les aptitudes de communication sont indispensables dans la composante réponse aux incidents du poste (orale ou rédaction de synthèse) ;
- vous aimez rechercher et proposer des recommandations pragmatiques (ex: comment se prémunir d'une attaque). En cas de crise majeure, vous serez amené à gérer la constitution de plans de reconstruction ;
- vous avez des compétences en développement pour automatiser des tâches répétitives comme des scénarios de recherche d'intrusion ;
- vous connaissez le monde MacOS ou le forensic mobile (Android/iOS) ou les clouds publics (Azure/AWS/GCP)... ou ces sujets vous intéressent.
Il est indispensable de pouvoir travailler en équipe, avoir un esprit de partage et de l'empathie pour ses collègues qui galèrent à faire fonctionner un outil en PowerShell. Vous serez appelé à travailler en collaboration avec nos équipes Pentest/Reverse/Commerce. Télétravail possible (2 jours par semaine).
Rémunération
À discuter en fonction de l'expérience. Prime sur performance et publication.
Localisation
Le poste est à pourvoir en priorité dans les bureaux de Synacktiv Paris. Le poste peut être pourvu en région Toulouse, Lyon ou Rennes selon expérience et autonomie. Des déplacements en métropole sont à prévoir train/avion/taxi en cas d'incident. Poste soumis à des astreintes ou des pics d'activité.
Postuler
Merci d'envoyer votre demande à apply+incident@synacktiv.com.