Analyste SOC N3 (f/h), Toulouse

Airbus est un leader mondial de l’aéronautique, de l’espace, de la défense et des services associés. En 2016, l’entreprise a dégagé un chiffre d’affaires de 67,0 milliards d’euros avec un effectif d’environ 134 000 personnes. Airbus propose la gamme d’avions de transport de passagers la plus complète, de 100 à plus de 600 sièges. Airbus est également le fournisseur d’avion de ravitaillement, de combat, de transport et de mission leader en Europe, ainsi que le numéro un européen et le numéro deux mondial de l’industrie spatiale. Sur le marché des hélicoptères, Airbus fournit les voilures tournantes civiles et militaires les plus performantes au monde.

Nos équipes travaillent avec passion et détermination pour faire du monde un endroit plus connecté, plus sûr et plus intelligent. Fiers de notre travail, nous nous appuyons sur l’expertise et l’expérience de chacun pour atteindre l’excellence. Notre diversité et culture du travail en équipe nous poussent à accomplir l’extraordinaire - sur terre, dans le ciel et dans l’espace

Job Description

• Au sein d’Airbus Protect, l’équipe Opérations recherche un analyste SOC N3 ou senior.
• Notre équipe a deux missions : armer les SOC du groupe Airbus, et protéger nos clients externes en tant que MSSP : supply chain d’Airbus, médias, industries, finances, institutions étatiques, opérateurs d’importance vitale…
• Nous assurons les opérations selon 3 temps : veille temps réel (SOC), threat hunting, et réponse à incident. La veille temps réel correspond aux menaces détectées par les capteurs déployées sur les périmètres du SOC. Les campagnes de threat hunting ont pour but de couvrir les angles morts laissés par nos capteurs (y compris par des déploiements ponctuels type ORC / Velociraptor ou similaire).
• Nous engageons en réponse à incident sur sollicitation, ou quand le SOC n’est plus en mesure d'endiguer un adversaire par les moyens courants.
• Ces 3 temps sont perméables entre eux. Nous utilisons l’activité de Threat Hunting de façon mixte (dominantes SOC, IR, CTI) pour permettre le développement des compétences et rendre plus fluides les transitions d’un temps à l’autre. Hors engagement, les analystes IR participent aux opérations courantes (hunting et SOC). Les analystes SOC et CTI viennent renforcer les analystes IR pour augmenter notre capacité d’engagement lors d’un incident.
• La fiche de poste qui suit est à dominante SOC. Les compétences listées infra sont données à titre indicatif, nous acceptons une couverture partielle.
• Nous attendons que vous soyez force de proposition dans vos domaines de compétences. Nous sommes ouverts à des domaines non listés ici tant qu’ils apportent à l’équipe ; s'ils sont apparents dans votre CV ou votre lettre de motivation nous vous recevrons en entretien avec plaisir.

Le fonctionnement du SOC repose sur la fédération de l’ensemble des capteurs au sein d’un SOAR. Les capteurs principaux sont des EDR et des SIEM. Nous employons des sondes réseau (NIDS et NDR) ainsi que des consoles cloud. L’écosystème héberge une sandbox dédiée et des capacités de rétro-ingénierie. Le suivi des menaces et les observations d’adversaires sur nos périmètres sont tracés au sein d’une plateforme CTI. Nous disposons d’environnements type “bac-à-sable”, notamment pour implémenter les techniques d’attaques qui feront l’objet de campagnes de hunting.

• Nous souhaitons renforcer nos compétences dans les domaines du forensic système, de la rétro-ingénierie, et de l’investigation cloud.
• Ce poste est conçu pour pouvoir s’adapter au profil du candidat. Les exigences sont l’apport d’expertise et une volonté de mentorat au profit de l’équipe.
• Ce poste inclut la possibilité d’être appelé en réponse à incident pour constituer une équipe mixte (IR / CTI / SOC), ou dans le rôle d’incident handler (selon votre profil). Dans ce dernier cas, des déplacements non planifiés surviennent.

Compétences obligatoires

• Environnement international: bonne maîtrise de l’anglais (écrit et oral). Un niveau de négociation est nécessaire. L’allemand ou l’espagnol sont appréciés
• Forte autonomie, leadership, bon esprit de synthèse, qualités de rigueur et de méthode

Compétences souhaitables

• Développement. Langage Python ou scripting. Algorithmie
• Infrastructure as code. CI/CD
• EDR : Microsoft Defender, Palo Alto Cortex, HarfangLab, autres
• Langages de requêtage : KQL, XQL, SPL, AQL
• SIEM : QRadar, Splunk, Sentinel
• Sondes réseau : Vectra, Firepower, autres
• Orchestration : Palo Alto XSOAR
• Forensic : Velociraptor, DFIR-Iris, ORC, IDA,
• CTI : OpenCTI, MISP, outillage interne
• Cloud : Azure, AWS, GCP
• Un bon niveau de connaissance sur les MOA et leurs TTP est attendu
• Des compétences en pentest ou red team

Ce poste est ouvert dans les Yvelines (Elancourt) ou à Toulouse.

Airbus Protect c’est…

• Un management de proximité et bienveillant
• Un environnement de travail dynamique et des projets innovants
• Un parcours de carrière adapté à vos aspirations
• Une communauté d’experts reconnus
• Une possibilité de s’engager dans des projets de R.S.E.
• Un catalogue de formations complet
• Du télétravail possible

D’autres avantages à découvrir lors de nos futurs échanges…