Expert en cybersécurité (MS)

Analyse des besoins en sécurité informatique de l'entreprise : * Identification et qualification des risques (matrices d’impact et de probabilité, mise en œuvre de méthodologies reconnues) * Audits et pentesting (tests d’intrusion, conformité, robustesse) * Préconisations en matière de prévention et de sécurité (mesures techniques et organisationnelles) Pilotage de projets de sécurité du SI : * Planification et management des projets et gestion des interdépendances au sein et entre les projets (plannings, livrables, jalons critiques). * Management et animation de l'équipe (attribution des rôles et responsabilités, supervision des activités) * Reporting de l'avancement des chantiers (rédaction de rapports, participation aux comités de pilotage) * Exploitation des CDC technique ou fonctionnel (analyse des besoins exprimés, déclinaison des spécifications) Déploiement et administration des solutions de sécurité des SI : * Choix et configuration des paramètres du SI * Maintenance des systèmes de sécurité SI (mises à jour, patch management, journaux de sécurité) * Gestion et exploitation des droits d'accès * Mise à jour de la documentation (documentation des incidents, maintien des procédures opérationnelles) * Vérification de l'application des règles de sécurité (audits internes, identification des écarts, mesures correctives) * Identification des vulnérabilités (analyses automatisées, simulations d’attaque) Gestion des incidents et des crises cyber: * Création et déploiement d'un PCRA * Pilotage du SOC (Security Operations Center) : coordination des analystes, exploitation des solutions SIEM * Détection des incidents, intrusions et anomalies réseau (outils IDS/IPS, analyse comportementale UEBA) * Mesures d'impact (matrices) des incidents et qualification des incidents (classification par gravité et criticité) * Communication interne et externe (dissémination et reporting, déclarations d'incidents) * Post-mortem des incidents (analyse des causes racines RCA) Soutien et conseil à la construction d'une architecture informatique fonctionnelle sécurisée : * Veille sur les évolutions techniques, technologiques et réglementaires en matière de cybersécurité * Sensibilisation et formation sur les sujets de sécurité des SI * Conseil stratégique sur la qualité en matière de robustesse et résilience du système (analyse des tendances et préconisations) * Vérification de la conformité réglementaire

Auditer l'infrastructure du SI en matière de cybersécurité (infra réseau, système d'exploitation, serveurs, données et applications), en mesurant la conformité (méthodologie EBIOS RM) par rapport aux standards organisationnels (PSSI et procédures internes), technologiques (ISO 27001, NIST) et réglementaires (RGPD), afin d'identifier et qualifier les failles, les risques et les vulnérabilités. Définir le périmètre de sécurité du SI (par classification des actifs et matrice de criticité), en s'appuyant sur des normes et/ou des méthodes de référence (exemple : NIS2, ISO 2700X…), afin de recenser les éléments à surveiller (données sensibles, infra, applications, logiciels, hardware, facteur humain). Analyser par comparaison critique diverses solutions technologiques (pour la gestion des endpoints, des identités, la détection, la surveillance...), en réalisant un benchmark détaillé des solutions possibles (fonctionnalités clés, compatibilité, ergonomie, fréquence de mise à jour), selon des critères de sélection identifiés (performance technique, évolutivité, intégration, coût), afin de réaliser les choix adaptés aux besoins métiers de l’entreprise. Définir des paramètres techniques et opérationnels (architecture réseau, politique d'accès, chiffrement des données), en priorisant selon la criticité de la menace (en utilisant par exemple un tableau de bord de priorisation de la menace, ou en calculant le ROI de résolution), la vulnérabilité des systèmes d’information et les critères CID (confidentialité, intégrité, disponibilité), afin de gérer les priorités des projets SI et les interdépendances de l’ensemble des projets en cours ou à venir. Gérer l'encadrement d'une équipe, en affectant les tâches accessibles relatives aux compétences des membres de l’équipe (par le biais d'un matrice type Skill Matrix ou d'un framework NIST NICE ou ESCF) et en utilisant les outils de gestion de projet accessibles et adaptés au contexte (en cascade ou en agilité), pour optimiser la réalisation des projets de cybersécurité tant en responsabilité hiérarchique (développement des compétences de l'équipe) que fonctionnelle (à l'aide d'une matrice RACI). Concevoir des rapports synthétiques (de type état d'avancement, analyse des choix opérationnels, format ISO pour les audits), en justifiant les choix opérés en fonction du contexte (grâce à des Weighted Scoring Models), afin d'informer la hiérarchie et les parties prenantes de l’état d'avancement des projets informatiques. Analyser les cahiers des charges technique et fonctionnel des projets du SI, en tenant compte des objectifs, des contraintes (temporelles, budgétaires, réglementaires) et des moyens disponibles (compatibilité de l'existant, limitations de la legacy), pour la réalisation du projet, afin de garantir la sécurité informatique du produit final (adossé par exemple au modèle STRIDE). Mettre en œuvre les règles de filtrage appropriées (comme le principe du moindre privilège, le blocage par défaut, l'inspection profonde des paquets, l'inspection des protocoles courants), en déployant des solutions de sécurité adaptées au contexte (pare-feu, IDS/IPS, WAF, Proxy sécurisé, système anti-DDoS...), afin de bloquer des attaques sans entraver ou ralentir le fonctionnement du SI ou l’activité de l’entreprise. Définir les éléments techniques de sécurité et les outils à mettre en œuvre, en déployant et maintenant les protocoles de sécurité (exemple : chiffrement, certificats, cloisonnement, filtrage, détection et protection contre les intrusions, authentification forte et contrôle d'accès), la sécurité physique (par sécurisation des équipements) et les outils de contrôle, afin d’entretenir la sécurité des systèmes et des réseaux en fonction du contexte de l’entreprise. Sélectionner des solutions de gestion des accès et d'identité adaptées au contexte et besoins (intégration de mécanismes SSO, MFA, RBAC et ABAC), en identifiant tous les accès internes et externes existants et en implémentant et gérant les mécanismes d’autorisation (portail SSO), afin de mettre en place des architectures IAM (Identity Access Management). Rédiger des rapports d’analyse et des documents de référence standardisés (exemple: rapport de faille critique) en utilisant des templates, des scanners ou des outils de type Nessus, Qualys ou Burp Suite, afin d'informer les différents métiers des vulnérabilités découvertes, et de préconiser des mesures correctives ou préventives, de rendre compte et documenter. Superviser la mise en œuvre des solutions de cybersécurité respectant les principes du DevSecOps, en définissant des indicateurs de suivis appropriés (tableaux de bord pour mesurer les indicateurs comme MTTR, taux d’alerte fausse/négative) et des outils de surveillance (exemple : SIEM4), pour mesurer leur efficacité et garantir le niveau de sécurité requis. Identifier les différents types d’attaques réseau (détection des attaques DDoS, phishing, exploitation de failles), ainsi que les mécanismes de sécurité permettant d’y faire face, en utilisant des méthodes adaptées (UEBA, surveillance des adresses IP, monitoring des terminaux et des réseaux, détection de trafic inhabituel...) pour implémenter les mécanismes de sécurité les plus efficaces face aux menaces identifiées. Etablir un plan de continuité et de reprise d'activités (PCRA), en définissant les processus (redondance des serveurs), en identifiant les ressources techniques (backups réguliers) et humaines ainsi que les moyens disponibles ou nécessaires et en simulant des scénarios de test (ex: panne simulée de data center), afin de rétablir le bon fonctionnement du SI et de l’activité de l’entreprise. Animer la capitalisation de l'expérience au sein des équipes projet IT (debriefs, gestion des connaissances, méthodes de débriefing telles que 5 whys, Ishikawa) en analysant régulièrement les indicateurs de performance et les incidents (intrusions réseau, coût des downtime, MTTD, MTTR, MTTC...) et en créant un espace de documentation partagée (type Notion, Confluence ou Sharepoint) dans un objectif d’amélioration continue. Classifier les incidents détectés, en mobilisant les outils de surveillance adaptés au contexte (classification selon matrices de gravité, vraisemblance, niveaux de menace, création de workflows automatisés pour la gestion des incidents…) et des méthodes telles que EBIOS ou une cartographie des risques, pour anticiper ou réagir à une cyberattaque du SI et en gérer les conséquences. Analyser les incidents de sécurité détectés (identification de patterns malveillants dans les logs, corrélation des événements), en mobilisant les outils adaptés de surveillance (l'analyse de risque, le monitorage en direct, ou au travers d'un CERT, débogueurs réseau), afin de réagir efficacement à une cyberattaque du système. Communiquer auprès des parties prenantes, y compris en situation de handicap, en utilisant les supports adéquats (communication visuelle, infographies telles que conseillées par l'ANSSI et adaptés à l'entreprise), et en expliquant les enjeux du projet ou de la stratégie, afin de mobiliser les acteurs pour atteindre les objectifs fixés. Réaliser des analyses "forensics", en déployant différentes méthodes (analyse à froid, à chaud, en temps réel, analyse mémoire, carving de données) , afin d’adapter la campagne de tests et la stratégie future en matière de cybersécurité et de permettre d'autres types d’investigation (administratives, criminelles, civiles, règlementaires). Organiser l'animation d'un système de veille active, en s’informant auprès des éditeurs, prestataires et organismes de référence tels que l’ANSSI (agrégation de flux RSS, gestion collaborative, participation à des collectifs, abonnements à une TIP) et en diffusant ces informations de manière accessible et régulière (par exemple par le biais d'un rapport mensuel sur les menaces émergentes), afin d'être toujours à la pointe en matière de menaces cyber et de réglementations en vigueur ou à venir. Définir une charte de sécurité au sein de l'organisation, en rédigeant le ou les documents relatifs à l'application des bonnes pratiques en entreprise à destination des collaborateurs (voire par le biais d'audits internes périodiques) et en organisant des sessions d'information et de formation à l'hygiène cyber, afin d'ancrer les réflexes de sécurité dans l'entreprise et d'informer sur l'importance de la responsabilité individuelle et collective. Conseiller la direction sur les projets et investissements à conduire (par le biais d'études de rentabilité: ROI, TCO), en présentant des indicateurs formalisés (sous forme de tableaux de bord stratégiques, d'analyse SWOT), des possibles conséquences des réglementations à venir, des risques et impacts sur l 'activité de l'entreprise en cas d'attaque cyber, afin d'aider à la prise de décision et à la gouvernance du SI. Identifier les droits, les obligations et normes applicables en matière de sécurité des SI, par le biais d'un registre de conformité, en s’appuyant sur les standards et normes relatives à la cybersécurité (exemples : RGPD, ISO27001, NIS 2, etc.) et en les comparant à l'état des lieux du SI de l'entreprise (en utilisant par exemple un logiciel GRC), afin de garantir leur conformité réglementaire et normative.

L'expert en cybersécurité (MS) peut exercer dans de grandes entreprises tout comme dans des PME. En fonction du secteur, l'expert en cybersécurité (MS) peut intervenir soit pour le compte d’un prestataire de service (par exemple une ESN) auprès d’une entreprise ou être interne à l’entreprise. Ce métier est présent dans tous les secteurs, y compris la banque, le commerce, l'industrie, la défense, les services.

Les différents emplois visés (attendu que les termes « cybersécurité » et « sécurité informatique » recouvrent la même réalité) : Expert en cybersécurité - Consultant en cybersécurité - Responsable cybersécurité Les autres intitulés métiers mobilisant la sécurité informatique dans leur pratique (ici encore, les intitulés anglophones sont nombreux, même au sein du marché de l’emploi français) : Architecte sécurité et réseaux - Chief Information Security Officer (CISO) - Manager de la Sécurité et des Risques de l'Information (MSRI) - Responsable risque sécurité réseaux informatiques - Responsable Sécurité de l'information - Responsable sécurité des réseaux informatiques - Responsable sécurité des systèmes d'information (RSSI)