| Niveau d’études : | Bac+5 |
| Bac conseillé : | Scientifique |
| Employabilité : | Bonne |
| Salaire débutant : | 3 300€ |
| Salaire confirmé : | 6 200 € |
| Mobilité : | Faible |
| Code ROME : | M1802, Expertise et support en systèmes d’information |
| Code FAP : | M2Z, Informatique et Télécommunications |
Autres intitulés du métier : Analyste CERT ; Expert réponse aux incidents de sécurité ; Spécialiste en investigation numérique ; Analyste traitement d’incidents.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110Métier
Il identifie le mode opératoire de l’attaquant et qualifie l’étendue de la compromission. Il fournit des recommandations de remédiation pour assurer l’assainissement et le durcissement des systèmes attaqués.
Rôle et missions d’un CSIRT ou CERT
L’expert réponse aux incidents de sécurité intervient généralement au sein d’un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team).
L’équipe CSIRT ou CERT est une regroupement de personnel expérimenté, technique et non technique qui travaillent ensemble pour comprendre l’étendue de l’incident, comment il peut être atténué et, au final, comment y remédier.
Les tâches prioritaires d’un CSIRT ou CERT sont les suivantes :
- Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
- Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CERT, contribution à des études techniques spécifiques ;
- Établissement et maintenance d’une base de donnée des vulnérabilités ;
- Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;
- Coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet, CERT nationaux et internationaux.
En cas de soupçons sur une activité malveillante ou d’attaque au sein du système d’information, l’expert réponse aux incidents de sécurité analyse les symptômes et réalise les analyses techniques sur le système d’information
Missions de l’expert réponse aux incidents de sécurité
Dans un monde où les réseaux globaux prennent toujours plus d’expansion et une importance stratégique qui ne se dément pas, les systèmes d’information d’une organisation doivent pouvoir résister aux différentes menaces qui pèsent sur eux.
Pour sécuriser leurs systèmes et leurs réseaux, les organisations doivent pouvoir compter sur des gestionnaires capables de reconnaître les menaces et les vulnérabilités des systèmes existants.
C’est le propre de la mission de l’expert réponse aux incidents de sécurité.
Au quotidien, l’expert réponse aux incidents de sécurité met en œuvre des actions afin d’anticiper les incidents, les analyse, puis préconise des mesures d’amélioration visant à limiter les incidents futurs.
L’expert réponse aux incidents de sécurité préconise des mesures d’amélioration visant à limiter les incidents futurs
Voici en détail les missions quotidiennes de l’expert réponse aux incidents de sécurité :
Anticipation des incidents :
- Réalise une veille sur les nouvelles vulnérabilités, sur les nouvelles technologies et sur les méthodes des attaques relatives aux différents composants du système d’information
- Alimente les bases de renseignement sur les menaces (threat intelligence)
- Maintient et développe des outils d’investigation
Analyse des incidents :
- Collecte les informations techniques d’un large ensemble de systèmes d’information, réalise la recherche d’indicateurs de compromission
- Analyse les relevés techniques réalisés afin d’identifier le mode opératoire et l’objectif de l’attaquant et de qualifier l’étendue de la compromission
- Rédige des rapports d’investigation
Conseil :
- Préconise des mesures de contournement et de remédiation de l’incident (assainissement et durcissement)
- Préconise des mesures d’amélioration des capacités d’analyse (extraction des indicateurs de compromission)
- Prépare des rapports
Il est entendu, compte-tenu de la nature sensible des missions inhérentes à son métier, que l’expert réponse aux incidents de sécurité occupera des responsabilités qui évolueront progressivement selon son niveau d’expérience et de maturité professionnelle.
Technicien I ou Débutant :
- Assume un rôle de soutien technique général en effectuant des activités, conformément aux procédures et politiques établies
- Assiste les techniciens plus expérimentés de son domaine d’activités.
- Détient généralement 0 à 2 ans d’expérience pertinente.
Technicien II ou Intermédiaire :
- Assume un rôle de collaborateur dans la réalisation d’activités techniques et participe à la résolution de problèmes techniques
- Contribue au développement et à l’amélioration de méthodes et procédures de travail. Peut contribuer au transfert des connaissances par l’encadrement et le coaching des employés moins expérimentés de son équipe.
Détient généralement 3 à 5 ans d’expérience pertinente.
Technicien III ou Titre Principal :
- Assume un rôle d’expert technique et contribue à la résolution de problèmes techniquement complexes
- Influence les pratiques, méthodes de travail et procédures d’un point de vue technique et participe à leur développement afin d’en optimiser la qualité et l’efficacité
- Collabore avec différents intervenants internes et externes
- Contribue au transfert des connaissances par l’encadrement et le coaching des employés moins expérimentés de son équipe
- Détient généralement 6 à 9 ans d’expérience pertinente.
Qu’est-ce qu’un incident de sécurité et comment l’expert réponse aux incidents de sécurité peut y remédier ?
Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien.
Cet événement porte atteinte aux valeurs essentielles de l’entreprise avec un niveau d’impact plus ou moins élevé en fonction de l’incident en question.
Un événement peut être qualifié d’incident de sécurité lorsqu’il perturbe le bon déroulement des activités et des missions de l’entreprise qu’il provoque un risque d’ordre juridique pour l’établissement ou ses personnels, ou encore, s’il porte atteinte à l’image de l’établissement.
Tout événement allant de la dégradation de la qualité du réseau à la saturation de l’espace disque en passant par une cyberattaque peut être considéré comme un incident. Les incidents de sécurité les plus fréquents au sein des organisations peuvent être par exemple l’utilisation illégale d’identifiants et mots de passe d’un ou plusieurs membres du personnel, l’utilisation d’une ressource informatique non autorisée, une tentative d’intrusion dans un fichier ou une application, la divulgation de données sensibles, la perte ou le vol d’un équipement informatique, etc.
La gestion des incidents consiste à identifier et à corriger les incidents IT qui menacent ou interrompent les services d’une entreprise. En cas d’interruption de service, il s’agit de pouvoir les restaurer le plus rapidement possible, tout en minimisant l’impact sur l’entreprise.
Face à un incident de sécurité, le temps de réponse est essentiel. Stopper la propagation et minimiser l’exposition correspondent au premier objectif de tout exercice de réponse en cas d’incident.
L’expert réponse aux incidents de sécurité est celui qui pourra diagnostiquer correctement la brèche de sécurité et mettre en œuvre la réponse appropriée par la suite.
Qu’est-ce qu’un incident de sécurité et comment l’expert réponse aux incidents de sécurité peut y remédier ?
En résumé, l’expert réponse aux incidents de sécurité analyse les activités malveillantes ou d’attaques au sein du système d’information de l’entreprise et préconise des mesures de réponse appropriées afin d’améliorer les actions de cyberdéfense du système.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Compétences
Devenir expert réponse aux incidents de sécurité nécessite de posséder de solides compétences informatiques et des connaissances pointues en cybersécurité telles que :
- Maîtrise du système d’information, de l’urbanisation et de l’architecture du SI
- Analyse post-mortem (forensic) : connaissance des outils d’analyse
- Analyse post-mortem (forensic) : connaissance des procédures légales
- Cyberdéfense : pratique de l’analyse de flux réseaux
- Cyberdéfense : connaissance des techniques d’attaques et d’intrusions
- Cyberdéfense : connaissance des vulnérabilités des environnements
- Scripting
Qualités
- Capacité de restitution et de vulgarisation pour des publics non techniques
- Rédaction de rapports adaptés à différents niveaux d’interlocuteurs
- Travail en équipe
- Capacité à résister à la pression
- Sens éthique
Études et formations
Pour devenir expert réponse aux incidents de sécurité, vous devrez justifier d’un diplôme en informatique de niveau Bac + 5 avec une spécialisation en cybersécurité.
Salaire
La rémunération d’un expert réponse aux incidents de sécurité varie selon le CSIRT au sein duquel il intervient.
Le salaire médian pour les experts réponse aux incidents de sécurité en France est de minimum 40 000 euros par an.
Un profil senior ou expert pourra prétendre à un salaire allant jusqu’à 75 000 euros annuels.
Les entreprises qui recrutent
L’expert réponse aux incidents de sécurité peut intégrer l’un des CSIRT qui constituent ce réseau international, composé d’entreprises et d’institutions de tailles et profils très variés.
Liste des CSIRT ou CERT en France
- CERT gouvernemental : CERT-FR (anciennement CERTA appartenant à l’ANSSI / SGDSN) est le CERT affecté au secteur de l’administration française
- Ai CERT : CERT privé interne du Groupe Airbus
- AlliaCERT : CERT de la société Alliacom ouvert à l’ensemble des entreprises et des institutions
- AXA CERT : CERT privé interne du Groupe AXA
- CERT-AKAOMA : CSIRT de la société AKAOMA proposant des services de cyber-surveillance et de réponse aux incidents de sécurité à l’ensemble des entreprises et institutions
- CERT-AlgoSecure : CSIRT privé de la société AlgoSecure ouvert à l’ensemble des entreprises et des institutions
- CERT-AG : CERT du Groupe Crédit Agricole et des filiales
- CERT-AMOSSYS : CERT de la société AMOSSYS
- CERT-AREVA : CERT privé interne du groupe AREVA
- CERT-BDF : CERT de la Banque de France
Des offres d’emploi pour exercer en tant qu’expert réponse aux incidents de sécurité sont disponibles sur :
- Monster. fr
- Jobrapido.com
- Simplyhired.fr
- Wizbii.com
- Indeed.com
- Jooble.org
- Apec.fr
- Glassdoor.fr
Expert réponse aux incidents de sécurité freelance
L’expert réponse aux incidents de sécurité peut exercer en tant que freelance indépendant. La première option consiste à créer un statut d’auto-entrepreneur ou une société individuelle auprès de la Chambre de Commerce. Il sera ainsi possible de facturer ses prestations à tout type de clients.
Néanmoins, ce choix est encore plutôt rare, dans la mesure où l’expert réponse aux incidents est très souvent rattaché à un CSIRT pour exercer.
Evolution de carrière
L’expert réponse aux incidents de sécurité est un métier en plein développement au sein des organisations qui possèdent une structure de type SOC.
Les avantages et inconvénients
L’expert réponse aux incidents de sécurité convoque quotidiennement l’ensemble des ses connaissances en cybersécurité ( technique, veille, prospective ) dans ses responsabilités. C’est donc un métier riche et complet .
Ce métier est à réserver aux profils qui ne craignent pas le stress et la pression car il faut savoir être réactif afin de pouvoir répondre au plus vite aux incidents de sécurité.
Comment devenir expert réponse aux incidents de sécurité ?
L’expert réponse aux incidents de sécurité analyse les activités malveillantes ou d’attaques au sein du système d’information de l’entreprise. Ce professionnel de la cyberdéfense est titulaire d’un diplôme d’informatique de niveau BAC+5 avec une spécialisation en cybersécurité et sécurité des réseaux informatiques. Le salaire médian d’un expert réponse aux incidents de sécurité en France est de minimum 40 000 euros par an. Ce métier est en plein développement au sein des organisations qui possèdent une structure de type CERT (Computer Emergency Response Team) ou SOC (Security Operation Center).
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110Devenir Analyste CSIRT
En résumé, l’expert réponse aux incidents de sécurité analyse les activités malveillantes ou d’attaques au sein du système d’information de l’entreprise et préconise des mesures de réponse appropriées afin d’améliorer les actions de cyberdéfense du système.
Le salaire médian pour les experts réponse aux incidents de sécurité en France est de minimum 40 000 euros par an. Un profil senior ou expert pourra prétendre à un salaire allant jusqu’à 75 000 euros annuels.
Pour devenir expert réponse aux incidents de sécurité, vous devrez justifier d’un diplôme en informatique de niveau Bac + 5 avec une spécialisation en cybersécurité.
Au lycée, nous vous conseillons de suivre un Bac général ou technologique et d’opter pour l’une des spécialités suivantes , mathématiques, sciences de l’ingénieur ou sciences informatiques.
En vidéo
