Stage – Automatisation de la détection d'attaques (IA & Cyber Threat Intelligence) F/H
Stage Cesson-Sévigné (Ille-et-Vilaine)
Description de l'offre
votre rôle
Le stage consiste à automatiser toute la chaîne de veille, notamment la Cyber Threat Intelligence (CTI), jusqu’à la détection, aujourd’hui réalisée semi-manuellement par les analystes du SOC. L’objectif est de transformer des données (articles, rapports techniques, indicateurs de compromission) en un système alimentant automatiquement les outils du SOC (SIEM, SOAR, playbooks, EDR) afin d’accélérer la détection des menaces et d’améliorer les analyses. Le stagiaire travaillera sur trois volets complémentaires.
1. Automatisation de la collecte et de l’analyse des informations sur les menaces
Le SOC consulte articles spécialisés, rapports techniques, CTI interne, flux RSS, alertes ou échanges avec d’autres équipes cyber. Aujourd’hui, ces contenus sont lus et traités pseudo-manuellement. Le stagiaire devra référencer et collecter automatiquement des puits de données (PDF, API, pages web, réseaux sociaux), développer un traitement pour synthétiser les articles via un LLM, extraire les indicateurs techniques (IP, domaines, hash, techniques, outils) et classer les informations selon les technologies ou acteurs décrits. Exemple : lorsqu’un article décrit une attaque visant un réseau télécom, le script identifie les éléments techniques et produit une synthèse exploitable.
2. Intégration des données dans les outils du SOC pour déclencher des détections
Le SOC utilise une plateforme centralisée pour corréler des millions d’événements et repérer des comportements suspects.
L’enjeu est d’y injecter automatiquement les indicateurs collectés. Le stagiaire devra alimenter la plateforme en données issues de la veille, créer ou adapter des règles permettant de repérer dans les logs les indicateurs extraits et mettre en place des tableaux de bord hebdomadaires indiquant tendances et alertes récentes. Exemple : si un domaine utilisé par un groupe d’attaquants apparaît dans les journaux d’un équipement, une alerte doit se déclencher automatiquement.
3. Mise en place ou amélioration d’une plateforme de partage d’informations sur les menaces
Les équipes cyber d’Orange partagent leurs analyses pour améliorer la détection globale. Le stagiaire contribuera à déployer ou améliorer une plateforme de type MISP, synchroniser les données issues de la veille avec celles partagées par d’autres équipes, automatiser les échanges entre la veille, la CTI et la supervision et documenter les usages. Exemple : lorsqu’un incident est analysé ailleurs, ses indicateurs doivent être automatiquement intégrés au SOC.
Interactions avec les équipes
Le stagiaire travaillera avec analystes SOC, expert vulnérabilités, pentesters internes et ingénierie sécurité. Il participera aussi aux échanges avec des équipes transverses du Groupe Orange. L’ensemble de la mission réduit le temps d’analyse, accélère la détection des ciblages d’infrastructures critiques et structure une base partagée de renseignements sur les menaces.
votre profil
Formation et niveau requis
Stage destiné à un étudiant Bac+5 (Master ou école d’ingénieur) en informatique, cybersécurité, développement, systèmes/réseaux ou domaine technique équivalent. Une appétence pour la cyberdéfense et l’automatisation est un atout.
Compétences et qualités attendues
Compétences techniques
Python
Utilisé pour automatiser la collecte, analyser des articles et extraire des indicateurs.
Exemple : récupérer un flux d’articles et identifier automatiquement des IP suspectes.
Connaissances générales en cybersécurité
Comprendre ce qu’est un indicateur de compromission (IOC : IP, domaine, hash, TTP MITRE ATT&CK), une vulnérabilité ou une technique d’attaque aide à interpréter les données.
Exemple : repérer dans un rapport une IP malveillante puis vérifier sa présence dans les logs du SIEM.
Notions en IA ou traitement automatique du texte
Utile pour résumer des articles techniques et extraire les éléments clés.
Exemple : générer une synthèse courte d’un long rapport de threat intelligence.
Bases en Linux et containerisation (Docker ou K8s)
Ces environnements servent à déployer collecteurs, scripts et plateformes CTI.
Exemple : lancer un collecteur ou une base dans un conteneur.
Lecture technique en anglais
La plupart des alertes, rapports et bulletins de sécurité sont en anglais.
Exemple : analyser un rapport d’éditeur et en extraire les IOC pertinents.
Qualités personnelles
Curiosité technique
Nécessaire pour comprendre comment une attaque fonctionne et comment l’automatiser.
Exemple : traduire un comportement décrit dans un article en traces observables dans les logs.
Autonomie raisonnable
L’environnement est large : logs, réseaux, outils internes. Le stagiaire devra tester, chercher et questionner.
Exemple : consulter un analyste réseau pour comprendre un flux particulier.
Capacité à demander de l’aide
Indispensable pour valider des résultats ou éviter des interprétations erronées.
Exemple : vérifier auprès d’un analyste une extraction automatique qui semble incohérente.
Rigueur
La qualité des détections repose sur la précision des données injectées.
Exemple : s’assurer qu’un domaine identifié automatiquement n’est pas un faux positif.
Esprit de synthèse
Utile pour structurer résultats, tableaux de bord et avancées.
Exemple : résumer en quelques points les tendances d’une semaine.
Aisance à expliquer son travail
L’équipe échange régulièrement sur les résultats et choix techniques.
Exemple : présenter une règle de détection ou un pipeline d’analyse.
le plus de l'offre
Ce stage offre une immersion unique dans la cybersécurité opérateur, sur un périmètre rarement accessible à un étudiant et essentiel pour comprendre comment se détectent réellement les attaques dans un environnement critique.
· Une immersion complète dans un SOC opérateur international.
· Une expérience rare en Cyber Threat Intelligence appliquée à des réseaux télécom critiques.
· La pratique concrète de l’automatisation, de l’IA appliquée à la cyber et de la détection d’attaques.
· Des échanges réguliers avec les analystes SOC, l’expert vulnérabilités, les pentesters internes, l’ingénierie sécurité et le CERT.
· La réalisation d’un outil réellement utilisé pour accélérer la détection des menaces.
Stage de 6 mois
à Cesson Sévigné (35)
entité
Orange Wholesale construit et exploite les réseaux internationaux du Groupe Orange. Ces infrastructures transportent des volumes majeurs de données pour des opérateurs et entreprises dans le monde entier. Leur protection est essentielle : une attaque pourrait toucher des services télécom critiques, comme les backbones Internet ou les réseaux satellitaires.
Le Centre de Sécurité Opérationnelle (SOC) surveille ces infrastructures en collectant et analysant les journaux d’événements, en définissant des règles de détection, en corrélant les signaux suspects et en investiguant les incidents. Une partie clé de la mission s’appuie sur une veille cybersécurité proactive et collaborative. Aujourd’hui, celle-ci est encore faiblement automatisée : analyse de sources spécialisées, lecture d’articles, extraction d’indicateurs de compromission (IP, hash, domaines, TTP, Tools), corrélation des évènements de sécurité, partage et synthèses.
Ce travail est indispensable et constitue un fort levier pour le SOC dans la détection rapide des attaques. La mission du stage consiste à automatiser cette chaîne afin d’identifier plus vite les menaces émergentes, réagir plus tôt lorsqu’un acteur cible les infrastructures d’Orange Wholesale et télécom, libérer du temps pour les analystes et structurer une base commune de renseignements utilisée par plusieurs équipes (Gouvernance, VOC, SOC et équipes transverses). Cette automatisation renforcera la rapidité et l’efficacité de la détection.
contrat
Stage
Durée : 6 mois
Date souhaitée de prise de poste : 01 mars 2026
Niveau d’études préparé pendant le stage
Indemnité brute selon école
Bac+5
de 1621 € à 2162 € / mois
Seules vos compétences comptent
Quel que soit votre âge, genre, origine, religion, orientation sexuelle, neuroatypie, handicap ou apparence, nous encourageons la diversité au sein de nos équipes car c’est une force pour le collectif et un vecteur d’innovation
Orange est une entreprise handi-accueillante : n'hésitez pas à nous faire part de vos besoins spécifiques.