Votre rôle
Le stage consiste à automatiser toute la chaîne de veille, notamment la Cyber Threat Intelligence (CTI), jusqu’à la détection, aujourd’hui réalisée semi-manuellement par les analystes du SOC. L’objectif est de transformer des données (articles, rapports techniques, indicateurs de compromission) en un système alimentant automatiquement les outils du SOC (SIEM, SOAR, playbooks, EDR) afin d’accélérer la détection des menaces et d’améliorer les analyses. Le stagiaire travaillera sur trois volets complémentaires.
1. Automatisation de la collecte et de l’analyse des informations sur les menaces
Le SOC consulte articles spécialisés, rapports techniques, CTI interne, flux RSS, alertes ou échanges avec d’autres équipes cyber. Aujourd’hui, ces contenus sont lus et traités pseudo-manuellement. Le stagiaire devra référencer et collecter automatiquement des puits de données (PDF, API, pages web, réseaux sociaux), développer un traitement pour synthétiser les articles via un LLM, extraire les indicateurs techniques (IP, domaines, hash, techniques, outils) et classer les informations selon les technologies ou acteurs décrits. Exemple : lorsqu’un article décrit une attaque visant un réseau télécom, le script identifie les éléments techniques et produit une synthèse exploitable.
2. Intégration des données dans les outils du SOC pour déclencher des détections
Le SOC utilise une plateforme centralisée pour corréler des millions d’événements et repérer des comportements suspects.
L’enjeu est d’y injecter automatiquement les indicateurs collectés. Le stagiaire devra alimenter la plateforme en données issues de la veille, créer ou adapter des règles permettant de repérer dans les logs les indicateurs extraits et mettre en place des tableaux de bord hebdomadaires indiquant tendances et alertes récentes. Exemple : si un domaine utilisé par un groupe d’attaquants apparaît dans les journaux d’un équipement, une alerte doit se déclencher automatiquement.
3. Mise en place ou amélioration d’une plateforme de partage d’informations sur les menaces
Les équipes cyber d’Orange partagent leurs analyses pour améliorer la détection globale. Le stagiaire contribuera à déployer ou améliorer une plateforme de type MISP, synchroniser les données issues de la veille avec celles partagées par d’autres équipes, automatiser les échanges entre la veille, la CTI et la supervision et documenter les usages. Exemple : lorsqu’un incident est analysé ailleurs, ses indicateurs doivent être automatiquement intégrés au SOC.
Interactions avec les équipes
Le stagiaire travaillera avec analystes SOC, expert vulnérabilités, pentesters internes et ingénierie sécurité. Il participera aussi aux échanges avec des équipes transverses du Groupe Orange. L’ensemble de la mission réduit le temps d’analyse, accélère la détection des ciblages d’infrastructures critiques et structure une base partagée de renseignements sur les menaces.
En cliquant sur "JE DÉPOSE MON CV", vous acceptez nos CGU et déclarez avoir pris connaissance de la politique de protection des données du site jobijoba.com.