Stage - Automatisation de la détection d'attaques (IA & Cyber Threat Intelligence) F/H

Le stage consiste à automatiser toute la chaîne de veille, notamment la Cyber Threat Intelligence (CTI), jusqu'à la détection, aujourd'hui réalisée semi-manuellement par les analystes du SOC. L'objectif est de transformer des données (articles, rapports techniques, indicateurs de compromission) en un système alimentant automatiquement les outils du SOC (SIEM, SOAR, playbooks, EDR) afin d'accélérer la détection des menaces et d'améliorer les analyses. Le stagiaire travaillera sur trois volets complémentaires.

1. Automatisation de la collecte et de l'analyse des informations sur les menaces

   Le SOC consulte articles spécialisés, rapports techniques, CTI interne, flux RSS, alertes ou échanges avec d'autres équipes cyber. Aujourd'hui, ces contenus sont lus et traités pseudo-manuellement. Le stagiaire devra référencer et collecter automatiquement des puits de données (PDF, API, pages web, réseaux sociaux), développer un traitement pour synthétiser les articles via un LLM, extraire les indicateurs techniques (IP, domaines, hash, techniques, outils) et classer les informations selon les technologies ou acteurs décrits. Exemple : lorsqu'un article décrit une attaque visant un réseau télécom, le script identifie les éléments techniques et produit une synthèse exploitable.

2. Intégration des données dans les outils du SOC pour déclencher des détections

   Le SOC utilise une plateforme centralisée pour corréler des millions d'événements et repérer des comportements suspects. L'enjeu est d'y injecter automatiquement les indicateurs collectés. Le stagiaire devra alimenter la plateforme en données issues de la veille, créer ou adapter des règles permettant de repérer dans les logs les indicateurs extraits et mettre en place des tableaux de bord hebdomadaires indiquant tendances et alertes récentes. Exemple : si un domaine utilisé par un groupe d'attaquants apparaît dans les journaux d'un équipement, une alerte doit se déclencher automatiquement.

3. Mise en place ou amélioration d'une plateforme de partage d'informations sur les menaces

   Les équipes cyber d'Orange partagent leurs analyses pour améliorer la détection globale. Le stagiaire contribuera à déployer ou améliorer une plateforme de type MISP, synchroniser les données issues de la veille avec celles partagées par d'autres équipes, automatiser les échanges entre la veille, la CTI et la supervision et documenter les usages. Exemple : lorsqu'un incident est analysé ailleurs, ses indicateurs doivent être automatiquement intégrés au SOC.

Le stagiaire travaillera avec analystes SOC, expert vulnérabilités, pentesters internes et ingénierie sécurité. Il participera aussi aux échanges avec des équipes transverses du Groupe Orange. L'ensemble de la mission réduit le temps d'analyse, accélère la détection des ciblages d'infrastructures critiques et structure une base partagée de renseignements sur les menaces.

Stage destiné à un étudiant Bac+5 (Master ou école d'ingénieur) en informatique, cybersécurité, développement, systèmes/réseaux ou domaine technique équivalent. Une appétence pour la cyberdéfense et l'automatisation est un atout.

• Python – Utilisé pour automatiser la collecte, analyser des articles et extraire des indicateurs. Exemple : récupérer un flux d'articles et identifier automatiquement des IP suspectes.

Comprendre ce qu'est un indicateur de compromission (IOC : IP, domaine, hash, TTP MITRE ATT&CK), une vulnérabilité ou une technique d'attaque aide à interpréter les données. Exemple : repérer dans un rapport une IP malveillante puis vérifier sa présence dans les logs du SIEM.

Utile pour résumer des articles techniques et extraire les éléments clés. Exemple : générer une synthèse courte d'un long rapport de threat intelligence.

Ces environnements servent à déployer collecteurs, scripts et plateformes CTI. Exemple : lancer un collecteur ou une base dans un conteneur.

La plupart des alertes, rapports et bulletins de sécurité sont en anglais. Exemple : analyser un rapport d'éditeur et en extraire les IOC pertinents.

• Curiosité technique – Nécessaire pour comprendre comment une attaque fonctionne et comment l'automatiser. Exemple : traduire un comportement décrit dans un article en traces observables dans les logs.
• Autonomie raisonnable – L'environnement est large : logs, réseaux, outils internes. Le stagiaire devra tester, chercher et questionner. Exemple : consulter un analyste réseau pour comprendre un flux particulier.
• Capacité à demander de l'aide – Indispensable pour valider des résultats ou éviter des interprétations erronées. Exemple : vérifier auprès d'un analyste une extraction automatique qui semble incohérente.
• Rigueur – La qualité des détections repose sur la précision des données injectées. Exemple : s'assurer qu'un domaine identifié automatiquement n'est pas un faux positif.
• Esprit de synthèse – Utile pour structurer résultats, tableaux de bord et avancées. Exemple : résumer en quelques points les tendances d'une semaine.
• Aisance à expliquer son travail – L'équipe échange régulièrement sur les résultats et choix techniques. Exemple : présenter une règle de détection ou un pipeline d'analyse.

• Une immersion complète dans un SOC opérateur international.
• Une expérience rare en Cyber Threat Intelligence appliquée à des réseaux télécom critiques.
• La pratique concrète de l'automatisation, de l'IA appliquée à la cyber et de la détection d'attaques.
• Des échanges réguliers avec les analystes SOC, l'expert vulnérabilités, les pentesters internes, l'ingénierie sécurité et le CERT.
• La réalisation d'un outil réellement utilisé pour accélérer la détection des menaces.

Stage de 6 mois à Cesson Sévigné (35)

Orange Wholesale construit et exploite les réseaux internationaux du Groupe Orange. Ces infrastructures transportent des volumes majeurs de données pour des opérateurs et entreprises dans le monde entier. Leur protection est essentielle : une attaque pourrait toucher des services télécom critiques, comme les backbones Internet ou les réseaux satellitaires.

Le Centre de Sécurité Opérationnelle (SOC) surveille ces infrastructures en collectant et analysant les journaux d'événements, en définissant des règles de détection, en corrélant les signaux suspects et en investiguant les incidents. Une partie clé de la mission s'appuie sur une veille cybersécurité proactive et collaborative. Aujourd'hui, celle-ci est encore faiblement automatisée : analyse de sources spécialisées, lecture d'articles, extraction d'indicateurs de compromission (IP, hash, domaines, TTP, Tools), corrélation des évènements de sécurité, partage et synthèses.

Ce travail est indispensable et constitue un fort levier pour le SOC dans la détection rapide des attaques. La mission du stage consiste à automatiser cette chaîne afin d'identifier plus vite les menaces émergentes, réagir plus tôt lorsqu'un acteur cible les infrastructures d'Orange Wholesale et télécom, libérer du temps pour les analystes et structurer une base commune de renseignements utilisée par plusieurs équipes (Gouvernance, VOC, SOC et équipes transverses). Cette automatisation renforcera la rapidité et l'efficacité de la détection.

Stage

Durée : 6 mois

Date souhaitée de prise de poste : 01 mars 2026

Niveau d'études préparé pendant le stage Indemnité brute selon école Bac+5 de 1621 € à 2162 € / mois