Nos offres d'emploi


Expert en investigation numérique

  • Référence :
    P2053

Activités principales

Le bureau INM développe l’expertise de la sous-direction en matière de traitement d’incident et d’analyse de systèmes d’information compromis : logiciels, parc informatique, matériels, équipement réseau, SCADA, téléphonie, etc…

L’activité du bureau sera progressivement structurée autour de quatre pôles :

  • investigation logicielle ;
  • investigation matérielle ;
  • investigation de systèmes téléphoniques ;
  • investigation des équipements réseaux.

Les missions et activités du titulaire seront les suivantes :

  • de recueillir les éléments techniques nécessaires aux investigations numériques des incidents pour en évaluer la gravité, en relation avec la victime ou le service référent ;
  • de qualifier et analyser ces éléments pour déterminer la cause de l’incident, le mode opératoire de l’attaque (vulnérabilités utilisées…), l’étendue et le périmètre de compromission ;
  • de préconiser des mesures de remédiation pour limiter la compromission, enrayer l’activité de l’attaquant et assurer le durcissement de la sécurité du SI de la victime ;
  • de consigner les connaissances acquises dans les outils de capitalisation et par la production de rapports.

Le titulaire a comme activité principale l’analyse forensique de systèmes compromis : analyse de relevés techniques, d’images disques, d’images mémoires, de journaux d’événements et de traces système, réseau et applicatives, ainsi que l’analyse statique et dynamique de codes et documents malveillants. Selon son expérience et centres d’intérêts, le titulaire peut être amené à développer au profit du bureau une expertise sur des domaines spécifiques de l’investigation numérique (recherche de compromission à l’échelle d’un parc, équipement réseau, téléphone mobile, analyse matérielle, etc…)

Dans le cadre de ses missions et activités, le titulaire participe aux opérations de cyberdéfense du COSSI en base arrière ou dans des missions projetées.

En dehors des activités de traitement des incidents qui lui sont confiées, le titulaire :

  • entretient et développe son expertise en techniques et outils d’investigation numérique, exploitation de vulnérabilités, méthodes et outils d’analyse (veille, formation, conférences internationales…);
  • conçoit et réalise des outils pour améliorer les opérations d’investigation numérique ;
  • transmet ses compétences en interne via des sessions de formation et réalisations de documentations ;
  • participe aux différentes publications de l’ANSSI.

 

Compétences requises

  • savoir s’organiser et gérer les priorités ;
  • savoir prendre des décisions dans des situations où la réactivité est primordiale ;
  • savoir anticiper les difficultés et conduire le changement ;
  • savoir diriger et organiser une équipe pluridisciplinaire ;
  • savoir faire preuve d’une grande disponibilité face aux impératifs opérationnels ;
  • avoir une bonne capacité de synthèse et de communication orale et écrite ;
  • avoir le sens du relationnel ;
  • avoir une bonne maîtrise de l’anglais, de façon à pouvoir participer à des échanges internationaux.

 

Qualités requises

  • dynamisme, réactivité ;
  • savoir synthétiser et restituer l’information utile pour du personnel non technique ;
  • savoir rédiger des rapports et des documentations ;
  • savoir respecter les procédures et être force de proposition pour les améliorer ;
  • faire preuve de rigueur, de disponibilité et de discrétion ;
  • savoir travailler en équipe (partage de connaissances, collaboration technique et entraide) ;
  • faire preuve d’autonomie, de curiosité et d’initiative.

 

Formation et expérience

Le titulaire doit disposer d’un diplôme de niveau BAC+5 minimum (ingénieur ou cursus universitaire, civil ou militaire) et démontrer un intérêt prononcé pour les sujets liés à la cyberdéfense et à la cyber menace.

Il est souhaitable que le titulaire possède au moins 2 ans d’expérience dans le domaine de la sécurité des systèmes d’information.

Des connaissances et une expérience avérées des domaines suivants seront recherchées :

  • systèmes d’exploitation ;
  • applications et leurs vulnérabilités : application bureautique, navigateur internet, serveur Web, base de données, etc. ;
  • attaques et activités malveillantes : exploitation de vulnérabilités, backdoor, rootkit, botnet, C&C, APT, etc. ;
  • outils d’investigation numérique : analyse statique et dynamique de programmes (ollyDBG, IDA Pro, etc.), analyse de système de fichiers (FTK, Sleuthkit, etc.), analyse de journaux (système, applicatif ou réseau), etc. ;
  • protocoles et architectures réseau, leurs vulnérabilités et leur sécurisation ;
  • langages de programmation de bas niveau et langages de scripts.

Des connaissances dans les domaines suivants seraient un plus :

  • téléphones mobiles (architecture logicielle et matérielle, extraction de données techniques, etc…) ;
  • équipements réseaux (systèmes d’exploitation embarqués, protocoles de routage, etc…)
  • analyse matérielle (JTAG, ISP, Chip-off, etc…) ;
  • SCADA (architecture, protocole, etc…).

 

Contraintes et difficultés du poste

  • contexte opérationnel exigeant et qui nécessite une forte réactivité et disponibilité ;
  • en cas d’incident de cyberdéfense, le titulaire du poste sera amené à occuper ses fonctions en astreinte, voire en permanence administrative.