DFIR
Analyste en réponse aux incidents (DFIR)
Description du poste
La mission principale du CSIRT Synacktiv est de répondre aux demandes de traitement d'incident de sécurité auprès des clients et des entreprises sollicitant Synacktiv. Dédié à cette activité, le CSIRT Synacktiv est composé de passionnés en investigation numérique et réponse à incident.
Les missions du poste sont variées :
- levée de doute sur des comportements suspects ou incidents avérés sur un poste de travail/système d'information ;
- accompagner les clients dans leur capacité à gérer un incident de sécurité ou encore au travers des formations liées à cette activité (cf. catalogue de formation de Synacktiv) ;
- rechercher des compromissions passées ou en cours (hunting) ;
- améliorer le niveau d'expertise de l'équipe (R&D): enrichir les méthodologies, partager votre veille (outils/articles/drama), développer/tester des outils, innover sur de nouveaux périmètres ;
- participer à des conférences de sécurité ;
- faire connaître l'activité CSIRT par des publications.
Profil recherché
Synacktiv recherche une personne avec une première expérience professionnelle en réponse à incident. Réactive, polyvalente et organisée, avec des connaissances/affinités pour certains des éléments décrits ci-dessous :
- 3 ans ou plus dans un CERT et/ou une expérience en traitement des APT, des ransomwares, des BEC, etc.
- des connaissances en Windows : principaux artefacts, administration, win32 api, mémoire, NTFS, Active Directory - la plupart des environnements rencontrés sont sous Windows, il est nécessaire de connaître cet environnement ;
- utilisation de Linux au quotidien ;
- compréhension du fonctionnement des outils utilisés lors de réponse aux incidents ;
- connaissance en rétroconception ou plus généralement sur le fonctionnement des systèmes d'exploitation (internals) ;
- construction et participation à des formations en école ou dans le milieu professionnel ;
- capacité à conduire réunions de lancement et présenter une analyse claire à une client (français principalement ou anglais). Les aptitudes de communication sont indispensables dans la composante réponse aux incidents du poste (orale ou rédaction de synthèse) ;
- recherche et proposition de recommandations pragmatiques (constitution de plans de reconstruction) ;
- connaissance en développement pour automatiser des tâches répétitives comme des scénarios de recherche d'intrusion ;
- connaissances MacOS ou le forensic mobile (Android/iOS) ou les clouds publics (Azure/AWS/GCP)... ou ces sujets vous intéressent.
Il est indispensable de pouvoir travailler en équipe, avoir un esprit de partage et de l'empathie pour ses collègues qui galèrent à faire fonctionner un outil en PowerShell. Travail ponctuel en collaboration avec nos équipes Pentest/Reverse/Commerce. Télétravail possible (2 jours par semaine).
Rémunération
À discuter en fonction de l'expérience. Prime sur performance et publication.
Localisation
Le poste est à pourvoir en priorité dans les bureaux de Synacktiv Paris. Le poste peut être pourvu en région Toulouse, Lyon, Rennes ou Lille selon expérience et autonomie. Des déplacements en métropole sont à prévoir train/avion/taxi en cas d'incident. Poste soumis à des astreintes ou des pics d'activité.
Postuler
Merci d'envoyer votre demande à apply+incident@synacktiv.com.