Expert Threat Intelligence/Cybersécurité (F/H)

Objet de la prestation

Le SOC (Security Operation Center) de notre client au sein de la direction sécurité du Groupe, est l’entité en charge de l’analyse des menaces cybersécurité, du traitement des vulnérabilités, de la détection et qualification des comportements dangereux cyber ainsi que du traitement des incidents de sécurité pour le Groupe.

Le SOC a un périmètre de responsabilité sur tout le groupe et couvre ainsi les périmètres IS/IT, Usines, Véhicules Connectés, réseaux de concessions et interagit avec les filiales Mobilize Financial Services (ex RCI) et Alpine.

Dans le cadre de ses activités, le SOC souhaite implémenter une TIP OpenCTI, afin d’accélérer la prise en compte des ménaces cybersécurité, dans son eco-système d’outils.

L’objectif de la prestation est donc de mettre en œuvre une plateforme de Threat Intelligence (TIP) basée sur OpenCTI afin de centraliser, structurer et exploiter les renseignements sur les menaces pour améliorer la détection, la réponse et la prévention des incidents de sécurité.

Le projet couvre l'installation, la configuration, la sécurisation et l'intégration de la plateforme OpenCTI dans l'environnement de l'entreprise. Il inclut également la formation des utilisateurs, la structuration des données et la mise en place de connecteurs avec les outils existants.

L’expertise devra réaliser les actions suivantes, sur la base d’un pilotage de l’activité :

Mise en œuvre d’une TIP Open-CTI sur les infrastructure du Groupe.

• Préparer le LLD et le faire valider.

Le LLD prend en compte les besoins et contraintes ci-dessous :

• TIP installée sur les infrastructures managées par le Groupe

• Architecture TIP distribuée permettant d’augmenter ses capacités de traitement (CPU, RAM) et de stockage

• Architecture TIP sécurisée garantissant une protection des données en terme de confidentialité et d’intégrité

• Architecture TIP robuste garantissant la haute disponibilité du service et la récupération des données en cas de crash

• Architecture TIP permettant l’interaction de la TIP avec des solutions externes

• Collecte de données CTI provenant de fournisseurs externes (API, STIX/TAXII)

• Dissémination d’indicateurs de compromission (IoC) vers les produits de sécurité Renault (entre autre SaaS SIEM & SOAR SecOps, SaaS Crowdstrike, SaaS ZScaler Internet proxy, On-Prem Broadcom Internet proxy)

Préparer l’infrastructure :

• Serveur(s) Linux (Ubuntu recommandé)

• Docker / Docker Compose

• Accès réseau sécurisé (VPN, reverse proxy, etc.)

• Stockage suffisant (base de données, fichiers)

• Réaliser la documentation associée

Installation d’OpenCTI

• Lancer l’installation

• Vérifier les services : Elasticsearch, MinIO, Redis, RabbitMQ, PostgreSQL, OpenCTI

• Réaliser la documentation associée

Sécurisation de la plateforme

• Mettre en place un reverse proxy avec HTTPS

• Restreindre les accès par IP ou VPN ( selon LLD)

• Créer des rôles et permissions adaptés aux utilisateurs

• Activer l’authentification forte (OKTA)

• Réaliser la documentation associée

Intégration des connecteurs

• Installer les connecteurs officiels (MISP, MITRE ATT&CK, etc.)

• Configurer les flux entrants (sources CTI, OSINT, partenaires)

• Configurer les flux sortants (SIEM, SOAR, EDR, etc.)

• Planifier la synchronisation automatique des données

Structuration de la donnée

• Définir les modèles de données (STIX2.1)

• Créer des workflows d’analyse (enrichissement, validation, diffusion)

• Mettre en place des taxonomies (TLP, Kill Chain, etc.)

• Définir les règles de corrélation et de détection

• Réaliser la documentation associée

Utilisation et exploitation

• Former les analystes SOC/CTI à l’interface OpenCTI

• Créer des tableaux de bord personnalisés

• Mettre en place des alertes et des rapports automatisés

• Intégrer OpenCTI dans les playbooks SOAR

• Rédiger les documents neccessaire à l’exploitation

Livrables

- Document d’architecture LLD

- Plateforme OpenCTI opérationnelle

- Documentation technique et d’exploitation (procedures Confluence)

- Connecteurs configurés et fonctionnels

- Tableaux de bord et workflows d’analyse

- Formation des utilisateurs

- Plan de maintenance et de mise à jour

Savoir-faire du prestataire

Expertise Cybersécurite en particulier dans les activités de Threat Intelligence.

Domaines d’expertise

- Bonne connaissance des systèmes d’information d’entreprise, notamment IT et Cloud

- Systèmes et réseaux, administration & intégration

- Bonne maitrise de l’anglais écrit et oral

- Connaissance en cybersécurité

- Compréhension des menaces (TTP, IOC, Kill Chain, MITRE ATT&CK)

- Analyse CTI

- Capacité à structurer et corréler les données STIX

- Maitrise des taxonomies (TLP, MISP, etc.)

- Gestion de projet

- Cadrage, planification, suivi

2 jours de présentiel