L'agence nationale de la sécurité des systèmes d'information (ANSSI) est rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale.
L'ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d'information. Elle a pour principales missions d'assurer la sécurité des systèmes d'information de l'État et de veiller à celle des opérateurs nationaux d'importance vitale, de coordonner les actions de défense des systèmes d'information, de concevoir et déployer les réseaux sécurisés répondant aux besoins des plus hautes autorités de l'État et aux besoins interministériels, et de créer les conditions d'un environnement de confiance et de sécurité propice au développement de la société de l'information en France et en Europe.
Le centre opérationnel de la sécurité des systèmes d'information (COSSI) sert la mission de défense des systèmes d'information dévolue à l'ANSSI. Il est ainsi chargé de détecter et d'entraver les attaques visant notamment les systèmes d'information de l'État et des opérateurs d'importance vitale.
Au sein du COSSI, le bureau Réponse aux incidents (BRI) est chargé d'assister les organismes gouvernementaux et opérateurs d'importance vitale en cas d'agression informatique. Ses missions principales sont d'analyser la nature des incidents de sécurité et le fonctionnement des attaques qu'ils subissent, afin de définir leur état de compromission et de proposer les contre-mesures nécessaires.
Activités principales
Au sein du bureau, le titulaire a pour missions principales :
- de recueillir les éléments techniques nécessaires aux investigations numériques des incidents pour en évaluer la gravité, en relation avec la victime ou le service référent ;
- de qualifier et analyser ces éléments pour déterminer la cause de l’incident, le mode opératoire de l’attaque (vulnérabilités utilisées…), l’étendue et le périmètre de compromission ;
- de préconiser des mesures de remédiation pour limiter la compromission, enrayer l'activité de l'attaquant et assurer le durcissement de la sécurité du SI de la victime
- de consigner les connaissances acquises dans les outils de capitalisation et par la production de rapports.
Le titulaire a comme activité principale l’analyse forensique de systèmes compromis : analyse de relevés techniques, d'images disques, d'images mémoires, de journaux d’événements et de traces système, réseau et applicatives, ainsi que l'analyse statique et dynamique de codes et documents malveillants.
Selon son expérience, le titulaire est amené à procéder aux investigations en base arrière ou, dans le cadre de missions projetées, à piloter une équipe forensique sur des incidents complexes et/ou d’envergures et à être responsable d’un domaine d’expertise (Windows, Unix, ordiphone, réseaux, etc.).
En dehors des activités de traitement des incidents qui lui sont confiées, le titulaire :
- entretient et développe son expertise en techniques et outils d’investigation numérique, exploitation de vulnérabilités, méthodes et outils d’analyse (veille, formation, conférences internationales…);
- conçoit et réalise des utilitaires et outils pour améliorer les opérations d’investigation numérique ;
- transmet ses compétences en interne via des sessions de formation et réalisations de documentations ;
- participe aux différentes publications de l'ANSSI.
Compétences requises
Le titulaire doit être diplômé d'une école d'ingénieur ou être détenteur d’un titre ou diplôme reconnu de niveau équivalent dans le domaine des technologies de l'information et de la communication.
Il doit avoir des connaissances approfondies dans la plupart des domaines techniques suivants :
- systèmes d’exploitation ;
- applications et leurs vulnérabilités : application bureautique, navigateur internet, serveur Web, base de données, etc. ;
- attaques et activités malveillantes : exploitation de vulnérabilités, backdoor, rootkit, botnet, C&C, APT, etc. ;
- outils d’investigation numérique : analyse statique et dynamique de programmes (ollyDBG, IDA Pro, etc.), analyse de système de fichiers (FTK, Sleuthkit, etc.), analyse de journaux (système, applicatif ou réseau), etc. ;
- protocoles et architectures réseau, leurs vulnérabilités et leur sécurisation ;
- langages de programmation de bas niveau et langages de scripts.
Il doit également avoir un niveau suffisant en anglais pour l'analyse et la rédaction de documentation technique, et le cas échéant pour des échanges internationaux.
Qualités requises
- savoir synthétiser et restituer l’information utile pour du personnel non technique ;
- savoir rédiger des rapports et des documentations ;
- savoir respecter les procédures et être force de proposition pour les améliorer ;
- faire preuve de rigueur, de disponibilité et de discrétion ;
- savoir travailler en équipe (partage de connaissances, collaboration technique et entraide) ;
- faire preuve d’autonomie, de curiosité et d’initiative.
Habilitation
Le poste nécessitant d'accéder à des informations relevant du secret de la défense nationale, le titulaire fera l'objet d'une procédure d'habilitation, au niveau Secret Défense, conformément aux dispositions des articles R.2311-1 et suivants du Code de la défense et de l'IGI 1300/SGDSN/PSE du 30 novembre 2011
Le poste est un CDD de 3 ans renouvelable.