Position Description

The Global Security Operations Center (GSOC) is seeking a SIEM & Log Management Administrator to support its Log Analytics Team. This role will serve as a key enabler for security observability, responsible for administering, maintaining and optimizing our log management and SIEM solutions, while ensuring high data quality, completeness, and integrity across the security telemetry pipeline.

This is a highly technical, hands-on role requiring deep expertise in log ingestion, normalization, transformation, and the health of distributed data systems that support threat detection, response, and security analytics at scale.

Your future duties and responsibilities

The SIEM & Log Management Administrator is responsible for many of the following activities:

SIEM Administration

• Administer and maintain Splunk environments including forwarders, indexes, ingestion pipelines, and knowledge objects.
• Tune and optimize ES correlation searches, risk-based alerting (RBA), and data models to support efficient threat detection.
• Ensure Splunk Common Information Model (CIM) compliance and coordinate with detection engineers to map new log sources to existing or custom data models.
• Manage user roles, RBAC, and app configurations in Splunk Cloud and ES environments.

Log Management Administration

• Deploy and manage Cribl pipelines for ingestion, enrichment, reduction, and routing of telemetry data from cloud and on-prem environments.
• Leverage Cribl Functions, Packs, and Replay features to maintain data integrity and reprocess missed or misconfigured logs.
• Collaborate with log source owners to define parsing and transformation logic to meet CIM and use case needs.

Security Data Quality Engineering

• Build automated checks and dashboards to monitor log source onboarding, field completeness, parsing errors, and CIM conformance.
• Define and implement KPIs for data health (e.g., time delay, field presence, event volume anomalies).
• Identify and remediate ingestion gaps, stale feeds, duplicate data, or parsing failures impacting detection efficacy.
• Work with threat detection and IR teams to validate log fidelity against detection requirements and incident investigations.

Operational Support & Automation

• Act as a escalation point for ingestion issues, data loss, and SIEM platform anomalies.
• Automate deployment and validation of data pipeline changes using CI/CD pipelines and infrastructure-as-code tools (e.g., Terraform, Git).
• Create & maintain documentation, runbooks, and support knowledge sharing across SOC and engineering teams.
• Document all custom configurations not covered by vendor documentation.
• Ensure all configuration changes are managed using Change Management best practices.
• Ensure OS and application upgrades and patches are applied as required.
• Participate in an on-call rotation to support GSOC 24/7 mission requirements.

Monitoring, Security Application Incident Reporting

• Define, implement & monitor operational and performance objectives for each security application (e.g. Mean Time Between Failure, Mean Time to Recover, Availability, Disk space usage, CPU usage) as defined in the Operations Model.
• Monitor security applications for availability, performance and usage using monitoring tools.
• When applications fall below operational and performance objectives, report Incidents using the appropriate method & work towards problem resolution.
• When application Incidents are reported, troubleshoot and determine root cause and required corrective action in a timely manner.
• If required, work with application SMEs and CGI internal and external service providers to resolve Incidents.
• Ensure lessons learned through root cause analysis and troubleshooting are documented.

Collaboration and Continuous Improvement

• Continuously look for opportunities to share knowledge with teammates using oral and written communication skills.
• Help project teams achieve their cost, schedule and quality goals by completing tasks on time and with quality.

Required Qualifications To Be Successful In This Role The candidate should be passionate about technology & security, love to solve technical challenges and like to learn new modern solutions. This person should also be able to demonstrate a thorough understanding of infrastructure operations and in-depth knowledge and experience around log management, log monitoring and SIEM solutions.

Experience / Expertise

The candidate should have expertise and 4-5 years of experience in at least two (2) of the following areas:

• SIEM Application Administration.
• Security Application Support.
• Security Infrastructure Support.
• IT and/or Security Innovation and automation.
• IT Change Management, Identity & Access Management, Asset Management.

Education and Certifications

• Degree in Software/Systems Engineering, IT Security, or Technology related fields a major plus.
• Relevant certifications are desirable but equivalent experience is acceptable.

Required:

• 3+ years of experience in log analytics, SIEM engineering, or observability platform administration.
• Hands-on experience with Cribl Edge, Cribl Stream, Splunk ES, Microsoft Sentinel, Crowdstrike Logscale.
• Deep understanding of log formats (JSON, CEF, Syslog), normalization standards (CIM), and parsing techniques (regex, SPL).
• Strong scripting or coding skills (e.g., Python, PowerShell, or Bash) for automation and data validation.
• Experience working with endpoint devices (e.g. servers, network firewalls, switches, DNS servers, Active Directory Domain Controllers, Intrusion Detection/Prevention Systems (IDS/IPS), business critical systems).
• Familiarity with security operations workflows including detection, IR, threat hunting, and compliance.

Preferred:

• Certification : Cribl Certified Admin or Engineer and Splunk Certified Admin/Architect/ES Content Manager.
• Exposure to data quality tools or frameworks for monitoring and alerting on structured data quality issues.
• Working knowledge of MITRE ATT&CK framework and how it maps to data sources and detection logic.
• Strong understanding of Linux operating system.
• Troubleshooting and resolving application-layer issues and errors.
• Understanding of scripting (e.g. bash shell scripting, python).
• Communication (Oral/Written) (English and French a major plus).

Together, as owners, let’s turn meaningful insights into action. Life at CGI is rooted in ownership, teamwork, respect and belonging. Here, you’ll reach your full potential because…

You are invited to be an owner from day 1 as we work together to bring our Dream to life. That’s why we call ourselves CGI Partners rather than employees. We benefit from our collective success and actively shape our company’s strategy and direction.

Your work creates value. You’ll develop innovative solutions and build relationships with teammates and clients while accessing global capabilities to scale your ideas, embrace new opportunities, and benefit from expansive industry and technology expertise.

You’ll shape your career by joining a company built to grow and last. You’ll be supported by leaders who care about your health and well-being and provide you with opportunities to deepen your skills and broaden your horizons.

At CGI, we value the strength that diversity brings and are committed to fostering a workplace where everyone belongs. We collaborate with our clients to build more inclusive communities and empower all CGI partners to thrive. As an equal-opportunity employer, being able to perform your best during the recruitment process is important to us. If you require an accommodation, please inform your recruiter.

To learn more about accessibility at CGI, contact us via email. Please note that this email is strictly for accessibility requests and cannot be used for application status inquiries.

Come join our team—one of the largest IT and business consulting services firms in the world.

Administrateur ou administratrice SIEM et de gestion des journaux

Job Description Le centre mondial de gestion de la sécurité (GSOC) est à la recherche d’un administrateur ou d’une administratrice pour la gestion de l’information et des événements de sécurité (SIEM) et des journaux pour soutenir son équipe d’analyse des journaux. Cette personne jouera un rôle clé dans la visibilité de la sécurité et sera responsable de la gestion, de la maintenance et de l’optimisation des solutions de gestion des journaux et de SIEM. Elle veillera également à la qualité, l’intégralité et l’intégrité des données dans l’ensemble du flux de télémétrie de sécurité.

Ce rôle hautement technique exige une expertise approfondie en ingestion de journaux, normalisation, transformation et santé de systèmes de données répartis qui soutiennent la détection des menaces, l’intervention et l’analyse de sécurité à grande échelle.

Your future duties and responsibilities

L’administrateur ou administratrice SIEM et de gestion des journaux est responsable des activités suivantes :

Gestion de l’information et des événements de sécurité (SIEM)

• gérer et tenir à jour les environnements Splunk, y compris les collecteurs, les index, les pipelines d’ingestion et les objets de connaissance;
• ajuster et optimiser les recherches de corrélation de sécurité, les alertes axées sur les risques et les modèles de données afin d’accroître l’efficacité de la détection de menaces;
• s’assurer de la conformité du modèle d’information commun (CIM) de Splunk et coordonner avec les responsables de la détection pour cartographier de nouvelles sources de journaux pour les modèles de données (standards ou personnalisés);
• gérer les rôles d’utilisation, le contrôle d’accès basé sur les rôles (RBAC) et les configurations d’applications dans les environnements infonuagiques et ES de Splunk;

Gestion de journaux

• déployer et gérer les pipelines Crible pour l’ingestion, l’enrichissement, la réduction et le routage des données de télémétrie à partir d’environnements sur le nuage et locaux;
• tirer parti des fonctionnalités « Functions », « Packs » et « Replay » de Crible pour maintenir l’intégrité des données et traiter à nouveau des journaux manquants ou mal configurés;
• collaborer avec les responsables des sources des journaux pour définir la logique d’analyse syntaxique et de transformation pour répondre aux besoins du CIM et des cas d’utilisation;

Ingénierie de la qualité des données de sécurité

• bâtir des contrôles et des tableaux de bord automatisés pour la surveillance de l’intégration des sources de journaux, l’intégralité des champs, des erreurs d’analyse syntaxique et de conformité du CIM;
• définir et mettre en place des indicateurs de performance pour la santé des données (p. ex. retard, présence d’un champ, anomalies dans le volume d’un événement);
• détecter et corriger les failles d’ingestion, les flux périmés, les données en double et les échecs d’analyse syntaxique nuisant à l’efficacité de la détection;
• travailler avec les équipes de détection des menaces et d’intervention en cas d’incident pour valider la fidélité des journaux par rapport aux exigences de détection et des analyses d’incidents;

Soutien à l’exploitation et automatisation

• agir à titre de point d’escalade pour le problème d’ingestion, la perte de données et les anomalies de la plateforme SIEM;
• automatiser le déploiement et la validation des modifications au pipeline de données au moyen de pipelines d’intégration et développement continus et d’outils d’infrastructure en tant que code (p. ex. Terraform et Git);
• créer et gérer la documentation et les guides d’exploitation (runbooks) et favoriser le partage de connaissances entre les équipes de centres de gestion de la sécurité et d’ingénierie;
• documenter toutes les configurations personnalisées non couvertes par la documentation du fournisseur;
• s’assurer que les changements de configuration sont effectués dans le respect des bonnes pratiques en matière de gestion des changements;
• veiller à ce que les mises à niveau et les correctifs des systèmes d’exploitation et des applications soient effectués le moment venu;
• participer à la rotation sur appel dans le cadre des activités de soutien continu (24/7) du GSOC;

Surveillance et rapports sur les incidents de sécurité dans des applications

• définir, mettre en place et surveiller les objectifs opérationnels et de performance pour chaque application de sécurité (p. ex. temps moyen entre les défaillances, temps moyen pour la reprise, disponibilité, utilisation de l’espace du disque, utilisation de l’unité centrale) comme indiqué dans le modèle d’exploitation;
• surveiller la disponibilité, la performance et l’utilisation des applications de sécurité à l’aide des outils de surveillance;
• lorsque les applications ne respectent pas les objectifs opérationnels et de performance, signaler l’incident en utilisant la méthode appropriée et résoudre le problème;
• lorsque des incidents d’application sont signalés, résoudre les problèmes, déterminer la cause fondamentale et appliquer les correctifs nécessaires en temps opportun;
• si nécessaire, travailler avec les spécialistes des applications et les fournisseurs de service internes et externes de CGI pour résoudre les problèmes;
• documenter les leçons tirées de l’analyse de la cause fondamentale et du dépannage;

Collaboration et amélioration continue

• chercher continuellement des occasions de partager ses connaissances avec son équipe en utilisant ses compétences en communication orale et écrite;
• aider les équipes de projet à atteindre leurs objectifs en matière de coût, d’échéancier et de qualité en effectuant ses tâches à temps et avec qualité.

Required Qualifications To Be Successful In This Role La personne choisie doit être passionnée par la technologie et la sécurité, et aimer relever des défis techniques et découvrir de nouvelles solutions modernes. Elle doit aussi avoir une compréhension approfondie des opérations d’infrastructure et une connaissance et une expérience approfondies de la gestion des journaux, de la surveillance des journaux et des solutions SIEM.

Expérience et savoir-faire

La personne doit posséder des connaissances spécialisées et une expérience de trois à cinq ans dans au moins deux des domaines suivants :

• administration d’applications SIEM;
• soutien d’applications de sécurité;
• soutien d’infrastructures de sécurité;
• innovation et automatisation de sécurité et des TI;
• gestion du changement en TI, gestion des identités et des accès et gestion des actifs.

Formation et certifications

• diplôme en génie logiciel ou de systèmes, sécurité des TI ou dans un domaine technologique connexe, un atout important;
• certifications pertinentes, un atout, mais expérience équivalente acceptée.

Exigences

• au moins trois ans d’expérience en analyse de journaux, ingénierie de SIEM ou en administration de plateforme d’observabilité;
• expérience pratique avec Cribl Edge, Cribl Stream, Splunk ES, Microsoft Sentinel et Crowdstrike Logscale;
• compréhension approfondie des formats de journaux (JSON, CEF et Syslog), des normes d’uniformisation (CIM) et des techniques d’analyse syntaxique (regex et SPL);
• solides compétences en script ou programmation (p. ex. Python, PowerShell ou Bash) pour l’automatisation et la validation de données;
• expérience avec les terminaux (p. ex. serveurs, coupe-feu pour réseau, commutateurs, serveurs DNS, contrôleurs de domaine Active Directory, systèmes de détection et de prévention des intrusions (IDS et IPS), systèmes d’entreprise essentiels);
• connaissance des flux de travail de gestion de la sécurité, y compris la détection, l’intervention en cas d’incident, la chasse aux menaces et la conformité.

Exigences souhaitables

• certification : Cribl Certified Admin ou Engineer et Splunk Certified Admin/Architect/ES Content Manager;
• contact avec des outils et cadres de qualité des données pour la surveillance et les alertes relatives à des problèmes de qualité de données structurées;
• connaissances pratiques du cadre MITRE ATT&CK et de la façon dont il correspond aux sources de données et à la logique de détection;
• bonne compréhension de Linux;
• dépannage et résolution des problèmes et des erreurs liés à la couche d’application;
• compréhension des langages de script (Bash, Python, etc.).
• communication orale et écrite en anglais et en français, un atout important.

Ensemble, en tant que propriétaires, mettons notre savoir-faire à l’œuvre. La vie chez CGI est ancrée dans l’actionnariat, le travail d’équipe, le respect et un sentiment d’appartenance. Chez nous, vous pourrez exploiter votre plein potentiel parce que…

Nous vous invitons à devenir propriétaire dès le jour 1 alors que nous travaillons ensemble à faire de notre rêve une réalité. C’est pourquoi nous nous désignons comme associés de CGI, plutôt que comme employés. Nous tirons profit des retombées de notre succès collectif et contribuons activement à l’orientation et à la stratégie de notre entreprise.

Votre travail crée de la valeur. Vous élaborerez des solutions novatrices et développerez des relations durables avec vos collègues et clients, tout en ayant accès à des capacités mondiales pour concrétiser vos idées, saisir de nouvelles opportunités, et bénéficier d’une expertise sectorielle et technologique de pointe.

Vous ferez évoluer votre carrière en vous joignant à une entreprise bâtie pour croître et durer. Vous serez soutenus par des leaders qui ont votre santé et bien-être à cœur et qui vous permettront de saisir des occasions afin de parfaire vos compétences et élargir les horizons.

Chez CGI, nous valorisons la richesse que la diversité apporte et nous nous engageons à favoriser un environnement de travail où chacun s’épanouit. Nous collaborons avec nos clients pour bâtir des communautés plus inclusives et permettre à tous les associés de CGI de réussir. En tant qu’employeur prônant l’égalité des chances, il est important pour nous que vous puissiez donner le meilleur de vous-même durant le processus de recrutement. Si vous avez besoin d’un accommodement particulier, veuillez en informer votre recruteur.

Pour en savoir plus sur l'accessibilité chez CGI, contactez-nous par courriel. Veuillez noter que ce courriel est strictement réservé aux demandes d'accessibilité et ne peut être utilisé pour vérifier l'état d’une candidature.

Joignez-vous à nous, l’une des plus importantes entreprises de conseil en technologie de l’information (TI) et en management au monde.