Analyste, Cybersécurité (Automatisation)

Sommaire du poste

Le titulaire du poste contribue directement au déploiement et à l’évolution des capacités de cybersécurité de l’entreprise en développant, optimisant et automatisant les mécanismes de détection et de réponse au niveau des plateformes SIEM et SOAR. Il travaille en étroite collaboration avec les équipes d’infrastructure TI ainsi qu’avec les analystes de sécurité afin d’améliorer l’efficacité opérationnelle et la qualité des alertes traitées par le centre de sécurité. Ce rôle exige une solide expertise en corrélation d’événements, en normalisation de données et en automatisation des processus de sécurité. Le spécialiste est responsable de concevoir, ajuster et maintenir les règles de détection, les intégrations de sources de journalisation et les scénarios automatisés visant à réduire les tâches manuelles, accélérer la réponse aux incidents et améliorer la visibilité sur l’ensemble des environnements de l’entreprise, incluant les magasins, les entrepôts, le centre de distribution et le siège social.

Responsabilités

• Contribuer à l’évolution des capacités de détection et d’automatisation en développant, ajustant et maintenant les règles, corrélations et automatisations dans les plateformes SIEM et SOAR.
• Intégrer et normaliser de nouvelles sources de journalisation, en assurant la qualité, la cohérence et la disponibilité des données utilisées pour la détection.
• Optimiser la performance du SIEM en gérant sa configuration, ses connecteurs, ses pipelines de données et la pertinence des alertes générées.
• Collaborer avec les analystes SOC pour améliorer la fidélité des alertes, réduire les faux positifs et soutenir l’analyse des événements de sécurité.
• Surveiller les tendances, identifier les lacunes de visibilité et recommander des améliorations aux mécanismes de détection et d’automatisation.
• Effectuer une veille sur les tactiques et techniques d’attaque (ex. MITRE ATT&CK) afin d’enrichir les cas de détection et d’anticiper les menaces émergentes.
• Documenter les règles de détection, les intégrations, les automatisations et les processus techniques, et contribuer à établir des normes et bonnes pratiques pour la gestion des journaux et la surveillance de sécurité.
• Participer à l’évaluation de nouveaux outils ou systèmes TI pour définir les journaux et contrôles nécessaires à leur intégration dans le SIEM.
• Administrer les plateformes SIEM/SOAR, incluant l’installation, la configuration, les mises à jour et la gestion des modules et intégrations.

Surveillance, Détection et Réponse (au besoin)

• Effectuer la surveillance du réseau et l’analyse des intrusions à l’aide des outils de défense (IDS/IPS, pare-feu, EDR, sécurité des courriels).
• Corréler l’activité entre les actifs (terminaux, réseau, applications), les environnements (sur site, cloud) et les identités afin d’identifier les schémas anormaux.
• Examiner les alertes et les données provenant des capteurs, documenter les rapports d’incidents techniques formels.
• Participer aux workflows de triage, confinement et investigation des incidents.
• Prendre le lead dans les investigations des incidents majeurs.
• Fournir un support de niveau II et assurer la résolution complète des incidents.
• Rechercher les menaces et vulnérabilités émergentes et être actif dans les communautés de sécurité.

Exigences du poste

• Diplôme en informatique, cybersécurité ou discipline connexe.
• Minimum de sept (7) ans d’expérience en informatique, dont une partie significative en ingénierie de détection, administration SIEM ou automatisation SOAR.
• Excellente maîtrise de Splunk Enterprise, incluant la conception de requêtes SPL, la création de règles de corrélation, de tableaux de bord et de data models.
• Expérience pratique avec Splunk SOAR, incluant le développement, l’optimisation et le déploiement de playbooks automatisés.
• Très bonne connaissance des écosystèmes Microsoft, incluant Windows Server, Windows 10+, Azure AD/Entra ID et Office 365.
• Connaissance générale de Linux (RHEL ou équivalent), notamment pour l’ingestion et l’analyse de journaux.
• Solide compréhension d’Active Directory et des concepts de sécurité associés (GPO, ACL, Kerberos, durcissement, authentification).
• Bonne connaissance des outils de sécurité tels que EDR, firewalls, IDS/IPS, solutions anti‑spam, proxies et services cloud.
• Capacité à analyser et interpréter les journaux provenant de systèmes variés (Windows, Linux, Unix, cloud, applications, équipements réseau).
• Connaissance des concepts de threat hunting, MITRE ATT&CK, réponse aux incidents et analyse comportementale — appliqués à l’ingénierie de détection.
• Connaissance des environnements cloud (Azure, GCP) et de leurs modèles de journalisation — un atout important.
• Excellentes compétences techniques en résolution de problèmes, diagnostic et optimisation.
• Capacité à travailler de façon autonome tout en collaborant efficacement avec des équipes TI et sécurité.
• Rigueur, sens des responsabilités, attention au détail et approche orientée service.
• Certifications techniques en sécurité ou Splunk (ex. Splunk Core Certified Power User, Splunk Enterprise Security Admin, CISSP) — un atout.
• Bilinguisme français/anglais, tant à l’oral qu’à l’écrit.