Analyste CTI / OSINT (H/F)

Lexfo, filiale du groupe Forward Global, est un cabinet d’audit délivrant une expertise technique complète sur les sujets de Cybersécurité. Avec une centaine de collaborateurs experts et passionnés à son bord, Lexfo intervient auprès de nombreux clients afin d'assurer la détection et l'exploitation de vulnérabilités, la recherche de fuites de données, la réponse à incident de sécurité ainsi que la formation.

Dans le cadre du renforcement de l’équipe de renseignement sur la menace cyber, chargée d’accompagner nos clients dans le suivi et l’anticipation des menaces ciblant leur secteur et leur périmètre, nous recrutons un Analyste CTI / OSINT. En collaboration avec les équipes offensives (red team, pentest) et défensives (CSIRT), vous interviendrez sur les activités de veille, d’investigation et d’analyse de la menace sur les périmètres de notre clientèle. Vous contribuerez également au développement de l’outillage interne.

Missions

Veille et suivi des périmètres clients

• Assurer la veille sur les menaces, les vulnérabilités et les campagnes pouvant impacter les clients existants.

• Surveiller l’exposition externe des clients (fuites de données, identifiants compromis, mentions sur forums et canaux underground, exposition d’actifs, etc.).

• Qualifier les alertes et adapter leur niveau de criticité au contexte de chaque client.

• Maintenir à jour les périmètres de surveillance, les sources et les règles associées.

Investigations OSINT et CTI

• Conduire des investigations sur l’infrastructure adverse (pivoting réseau, fingerprinting, suivi de domaines, certificats, ASN).

• Suivre et profiler les groupes d’attaquants pertinents pour les clients (cybercriminalité, hacktivisme, menaces étatiques) et cartographier leurs TTPs (MITRE ATT&CK).

• Collecter, qualifier et diffuser des indicateurs de compromission (IOCs) vers les équipes de détection.

• Appuyer les missions offensives en phase de reconnaissance externe, notamment dans des phases CTI dans le cadre de tests TLPT/TIBER-EU (surface d’attaque, leaks, OSINT cible).

Tooling et scripting

• Développer et maintenir des scripts et outils internes pour automatiser la collecte, l’enrichissement et le traitement de données (Python, Go ou équivalent).

• Contribuer à l’intégration et à l’exploitation des plateformes CTI internes (type MISP / OpenCTI).

• Identifier des axes d’industrialisation et participer à leur mise en œuvre.

Production et restitution

• Produire des livrables clairs et structurés : bulletins de veille, fiches d’alerte, rapports d’investigation, profils d’acteurs, analyses de campagnes.

• Adapter le niveau de discours selon l’audience (équipes techniques, RSSI).

• Participer aux points périodiques avec les clients sur le suivi de la menace.

Qualité et amélioration continue

• Documenter les méthodologies, les sources et les investigations pour garantir traçabilité et reproductibilité.

• Enrichir les bases de connaissances internes (acteurs, infrastructures, IOCs, TTPs).

Votre Profil

• Vous êtes diplômé d’un Bac+3 / Bac+5 en cybersécurité, informatique ou équivalent.

• Vous avez entre 1 et 3 ans d’expérience en CTI, OSINT, SOC, CERT/CSIRT ou pentest (y compris en stage / alternance).

• Vous avez de bonnes connaissances du paysage de la menace cyber : groupes d’attaquants (APT, cybercriminalité, hacktivisme), écosystème ransomware, fuites de données…

• Vous êtes familier avec les référentiels d’analyse (MITRE ATT&CK, Cyber Kill Chain) et les formats de partage (STIX, MISP).

• Vous êtes à l’aise avec les outils d’OSINT courants : moteurs de recherche d’infrastructure (Shodan, Censys, urlscan), analyse de domaines et certificats, pivoting, analyse de leaks...

• Vous avez idéalement une première expérience avec une plateforme CTI (OpenCTI, MISP ou équivalent).

• Vous maîtrisez les scripts en Python ou en Go pour automatiser des tâches récurrentes (collecte, parsing, enrichissement).

• Vous êtes reconnu pour vos compétences techniques, vos qualités relationnelles et rédactionnelles.

• Vous faites preuve de rigueur méthodologique, d’esprit critique et d'exigence sur la qualité et la traçabilité des sources.

• Vous parlez français et anglais couramment .

Poste à pourvoir à Lyon (20 rue de la Villette, 69003) ou Paris (43 Avenue de Clichy, 75017).

Pour en savoir plus sur Lexfo et Forward Global :

Chez Forward Global toutes les candidatures qualifiées sont les bienvenues. En tant qu'employeur garantissant l'égalité des chances, le Groupe promeut la diversité et l'inclusion au sein de l'environnement de travail.