Soc manager / analyste l2 confirme fondateur du soc gbs - Casablanca

Dans le cadre de la création d’un SOC (Security Operations Center) au sein de notre entreprise, acteur majeur dans le secteur de la Distribution, un poste unique est à pourvoir à Casablanca. Une opportunité exceptionnelle s’offre à vous pour être un pilier fondateur de cette nouvelle entité. Rejoignez-nous et participez activement à la construction et à la réussite de notre stratégie de cybersécurité.

Votre mission principale sera d'établir et de faire évoluer le SOC, en assurant une surveillance continue des menaces, une analyse approfondie des incidents de sécurité et une réponse rapide et efficace pour protéger notre infrastructure et nos données. Vous serez le garant de la robustesse de nos défenses numériques.

Vos responsabilités engloberont la supervision des opérations de sécurité, l'investigation des alertes de sécurité, la gestion des incidents, la mise en place et l'optimisation des outils de détection et de prévention, ainsi que la contribution à l'amélioration continue des processus du SOC. Cela implique:

Analyse et investigation des événements de sécurité de niveau 2. Gestion des incidents de sécurité de leur détection à leur résolution. Surveillance proactive de l'infrastructure IT et des systèmes d'information. Rédaction de rapports d'analyse et de recommandations. Contribution à la veille sur les menaces et les vulnérabilités. Participation à la définition et à l'amélioration des procédures et des règles de détection.
Pour exceller dans ce rôle, un bagage académique solide est requis, idéalement un diplôme de niveau Bac +5 et plus, dans les domaines de l'Informatique ou de l'Électronique, avec une forte orientation vers la cybersécurité.

Fort d'une expérience comprise entre 5 et 10 ans dans le domaine de la cybersécurité, vous avez déjà une expertise reconnue dans la gestion et l'opération d'un SOC, idéalement acquise dans le secteur de la distribution ou dans des environnements complexes similaires.

IDENTIFICATION DU POSTE Intitulé du poste SOC Manager / Analyste L2 Confirmé — Fondateur du SOC GBS Nature du poste Technique et managériale — Construction et opération du SOC IDENTITÉ DE L'AGENT Nom-prénom Statut, corps, catégorie, grade Cadre confirmé / Manager PRÉSENTATION DU SERVICE Mission principale du service Construire, déployer et opérer le Security Operations Center (SOC) de GAM Business Solutions, destiné à fournir des services de supervision et de réponse aux incidents de cybersécurité aux clients (banques, opérateurs télécoms, grandes entreprises marocaines). Composition du service Activité SOC en démarrage (cible 6 à 8 personnes à 18 mois) Rattachement Directeur BU Cybersécurité LES MISSIONS DU POSTE Mission principale, raison d'être ou finalité du poste Poste hybride de fondateur, le SOC Manager / Analyste L2 Confirmé porte la double responsabilité de bâtir le SOC GBS de zéro (architecture, processus, équipe, plateforme) tout en restant opérationnel au démarrage en tant qu'analyste L2 senior. Il définit l'offre de services, recrute et structure l'équipe, choisit et déploie la plateforme technique (SIEM, SOAR, threat intel), industrialise les processus de détection et de réponse, et accompagne les premiers clients dans une logique de service managé (MSSP) à forte valeur ajoutée et orientation souveraine. Missions et activités du poste Mission 1 : Construction du SOC et définition de l'offre de services À ce titre il doit : • Concevoir l'architecture technique du SOC : plateforme SIEM, SOAR, sources de logs, threat intelligence, automatisation. • Sélectionner et déployer les outils (Wazuh, ELK, Splunk, Microsoft Sentinel ou équivalent) selon une approche progressive et maîtrisée. • Définir le catalogue de services SOC (supervision, détection, qualification, réponse, threat hunting, reporting) et les niveaux de service (SLA, KPI). • Établir les processus opérationnels (runbooks, playbooks, procédures d'escalade) et la documentation associée. • Préparer la roadmap d'industrialisation (MVP à 6 mois, premiers clients à 9-12 mois, montée en charge à 18 mois). Mission 2 : Recrutement et structuration de l'équipe À ce titre il doit : • Définir l'organisation cible du SOC (L1, L2, L3, threat intel, ingénierie SIEM) et les profils nécessaires. • Conduire le recrutement des premiers analystes (acqui-hiring de profils expérimentés + intégration de juniors à former). • Mettre en place les programmes d'onboarding, de formation continue et de certification de l'équipe. • Encadrer et faire monter en compétences les analystes L1 et L2 juniors recrutés. Mission 3 : Onboarding et opération des clients À ce titre il doit : • Conduire les phases d'onboarding des nouveaux clients : recueil des assets, intégration des sources de logs, calibrage des règles de détection. • Définir avec chaque client le périmètre supervisé, les cas d'usage prioritaires, les politiques d'escalade et les modalités de reporting. • Assurer la qualité du service rendu : respect des SLA, qualification des alertes, taux de faux positifs maîtrisé. • Conduire les comités de service périodiques avec les clients (mensuels et trimestriels). Mission 4 : Analyse, détection et réponse aux incidents (rôle L2 opérationnel) À ce titre il doit : • Investiguer les alertes complexes remontées par le L1 et qualifier les incidents (vrais positifs, faux positifs, escalades). • Conduire les analyses de menace, le threat hunting et l'enquête forensique sur les incidents avérés. • Coordonner la réponse aux incidents avec les équipes client (containment, éradication, recovery) et les éditeurs. • Maintenir et faire évoluer les règles de détection (use cases, corrélations, signatures), les playbooks et les workflows SOAR. Mission 5 : Threat Intelligence et amélioration continue À ce titre il doit : • Mettre en place les flux de threat intelligence et leur intégration dans la plateforme SOC (IoC, TTPs, MITRE ATT&CK). • Conduire la veille active sur les menaces ciblant les secteurs banque et télécoms au Maroc. • Capitaliser sur les incidents traités pour enrichir les détections et les playbooks. • Conduire les exercices de simulation (Red Team / Purple Team) et les revues post-incident. Mission 6 : Pilotage et reporting À ce titre il doit : • Piloter l'activité opérationnelle du SOC : tableaux de bord, indicateurs de performance, suivi des SLA contractuels. • Produire les rapports mensuels et trimestriels destinés aux clients et à la Direction de GBS. • Contribuer à la dimension commerciale : soutenir les avant-ventes SOC, participer aux soutenances clients, valoriser les retours d'expérience. • Assurer la conformité de l'activité SOC aux exigences réglementaires applicables (DGSSI, secret bancaire, protection des données personnelles). COMPÉTENCES REQUISES Compétences techniques Plateformes SIEM : Expertise sur au moins deux solutions : Splunk, IBM QRadar, Microsoft Sentinel, Elastic Security, Wazuh, ArcSight. Plateformes SOAR : Bonne maîtrise d'au moins une solution (Cortex XSOAR, Splunk SOAR, Tines, Shuffle ou équivalent). Analyse et investigation : Threat hunting, forensique réseau et endpoint, analyse de logs, corrélation multi-sources. EDR et endpoint security : Connaissance des solutions EDR/XDR (CrowdStrike, SentinelOne, Cortex XDR, Microsoft Defender). Frameworks et méthodologies : MITRE ATT&CK, Cyber Kill Chain, Diamond Model, NIST CSF, ISO 27035. Threat Intelligence : Intégration et exploitation de flux CTI, plateformes TIP (MISP, OpenCTI). Réseau et sécurité périmétrique : Solide compréhension des pare-feu, IPS, segmentation et logs associés (Fortinet, Palo Alto, Check Point). Cloud (volet light) : Notions de supervision sécurité dans les environnements Cloud (AWS GuardDuty, Azure Sentinel). Automatisation et scripting : Python, PowerShell, Bash, requêtes KQL/SPL/EQL. Compétences comportementales • Leadership et capacité avérée à construire et faire grandir une équipe en partant de zéro. • Sens du service client et capacité à porter la dimension commerciale et contractuelle du SOC. • Capacité à arbitrer entre le stratégique (architecture, vision) et l'opérationnel (analyse, réponse incident). • Communication exécutive et capacité à animer des comités de service avec des interlocuteurs clients de haut niveau. • Rigueur, sang-froid et gestion de crise en situation d'incident majeur. • Discrétion absolue sur les données et incidents clients. • Maîtrise du français et de l'anglais technique. FORMATION ET EXPÉRIENCE Formation Bac +5 en cybersécurité, informatique ou diplôme d'ingénieur équivalent. Certifications appréciées SOC et défense : GIAC GCIH, GCIA, GCFA, GMON ; EC-Council CSA (Certified SOC Analyst) ou CTIA. SIEM/SOAR : Splunk Core Certified Power User / Admin, Microsoft SC-200, Elastic Certified Analyst. Cybersécurité transverse : CISSP, CISM, ISO 27001 Lead Implementer. Cloud (apprécié) : AWS Security Specialty, Microsoft AZ-500. Expérience Minimum 8 à 12 ans d'expérience en cybersécurité, dont au moins 5 ans en environnement SOC (analyste L2/L3, lead analyste, ou SOC Manager) chez un MSSP, un opérateur télécom, une grande banque ou un grand groupe. Expérience d'un démarrage ou d'une refonte de SOC fortement appréciée.