Analyste CSIRT : fiche métier avec les missions, la formation...
CONSULTANT EN CYBERSÉCURITÉ Consultant en Cybersécurité
Métiers

Analyste CSIRT

Vous souhaitez vous engager au plus près de la lutte pour la cyberdéfense ? Appréciez résoudre des problèmes complexes et proposer des solutions sur-mesure ? Aimeriez développer des outils d’investigation visant à améliorer la performance et la sécurité des systèmes d’information ? Vous savez rester efficace, même en situation de stress et de forte pression ?  Et si vous deveniez expert réponse aux incidents de sécurité ?

Fiche métier mise à jour le
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Bonne
Salaire débutant : 3 300€
Salaire confirmé : 6 200 €
Mobilité : Faible
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Autres intitulés du métier : Analyste CERT ; Expert réponse aux incidents de sécurité ; Spécialiste en investigation numérique ; Analyste traitement d’incidents.

Métier

L’analyse des menaces et des failles de sécurité devient une prérogative pour l’ensemble des entreprises qui se voient dans l’obligation de protéger leurs données et leur patrimoine numérique face à des attaques de plus en plus sophistiquées et sournoises.

En cas de soupçons sur une activité malveillante ou d’attaque au sein du système d’information, l’expert réponse aux incidents de sécurité analyse les symptômes et réalise les analyses techniques sur le système d’information.

Il identifie le mode opératoire de l’attaquant et qualifie l’étendue de la compromission. Il fournit des recommandations de remédiation pour assurer l’assainissement et le durcissement des systèmes attaqués.

En cas de soupçons sur une activité malveillante ou d’attaque au sein du système d’information, l’expert réponse aux incidents de sécurité analyse les symptômes et réalise les analyses techniques sur le système d’information

En cas de soupçons sur une activité malveillante ou d’attaque au sein du système d’information, l’expert réponse aux incidents de sécurité analyse les symptômes et réalise les analyses techniques sur le système d’information

Rôle et missions d’un CSIRT ou CERT

L’expert réponse aux incidents de sécurité intervient généralement au sein d’un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team).

L’équipe CSIRT ou CERT est une regroupement de personnel expérimenté, technique et non technique qui travaillent ensemble pour comprendre l’étendue de l’incident, comment il peut être atténué et, au final, comment y remédier.

Les tâches prioritaires d’un CSIRT ou CERT sont les suivantes :

  • Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
  • Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CERT, contribution à des études techniques spécifiques ;
  • Établissement et maintenance d’une base de donnée des vulnérabilités ;
  • Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;
  • Coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet, CERT nationaux et internationaux.

Missions de l’expert réponse aux incidents de sécurité

Dans un monde où les réseaux globaux prennent toujours plus d’expansion et une importance stratégique qui ne se dément pas, les systèmes d’information d’une organisation doivent pouvoir résister aux différentes menaces qui pèsent sur eux.

Pour sécuriser leurs systèmes et leurs réseaux, les organisations doivent pouvoir compter sur des gestionnaires capables de reconnaître les menaces et les vulnérabilités des systèmes existants.

C’est le propre de la mission de l’expert réponse aux incidents de sécurité.

Au quotidien, l’expert réponse aux incidents de sécurité met en œuvre des actions afin d’anticiper les incidents, les analyse, puis préconise des mesures d’amélioration visant à limiter les incidents futurs .

L’expert réponse aux incidents de sécurité préconise des mesures d’amélioration visant à limiter les incidents futurs

L’expert réponse aux incidents de sécurité préconise des mesures d’amélioration visant à limiter les incidents futurs

Voici en détail les missions quotidiennes de l’expert réponse aux incidents de sécurité :

Anticipation des incidents :

  • Réalise une veille sur les nouvelles vulnérabilités, sur les nouvelles technologies et sur les méthodes des attaques relatives aux différents composants du système d’information
  • Alimente les bases de renseignement sur les menaces (threat intelligence)
  • Maintient et développe des outils d’investigation

Analyse des incidents :

  • Collecte les informations techniques d’un large ensemble de systèmes d’information, réalise la recherche d’indicateurs de compromission
  • Analyse les relevés techniques réalisés afin d’identifier le mode opératoire et l’objectif de l’attaquant et de qualifier l’étendue de la compromission
  • Rédige des rapports d’investigation

Conseil :

  • Préconise des mesures de contournement et de remédiation de l’incident (assainissement et durcissement)
  • Préconise des mesures d’amélioration des capacités d’analyse (extraction des indicateurs de compromission)
  • Prépare des rapports

Il est entendu, compte-tenu de la nature sensible des missions inhérentes à son métier, que l’expert réponse aux incidents de sécurité occupera des responsabilités qui évolueront progressivement selon son niveau d’expérience et de maturité professionnelle.

Technicien I ou Débutant :

  • Assume un rôle de soutien technique général en effectuant des activités, conformément aux procédures et politiques établies
  • Assiste les techniciens plus expérimentés de son domaine d’activités.

Détient généralement 0 à 2 ans d’expérience pertinente.

Technicien II ou Intermédiaire :

  • Assume un rôle de collaborateur dans la réalisation d’activités techniques et participe à la résolution de problèmes techniques
  • Contribue au développement et à l’amélioration de méthodes et procédures de travail. Peut contribuer au transfert des connaissances par l’encadrement et le coaching des employés moins expérimentés de son équipe.

Détient généralement 3 à 5 ans d’expérience pertinente.

Technicien III ou Titre Principal :

  • Assume un rôle d’expert technique et contribue à la résolution de problèmes techniquement complexes
  • Influence les pratiques, méthodes de travail et procédures d’un point de vue technique et participe à leur développement afin d’en optimiser la qualité et l’efficacité
  • Collabore avec différents intervenants internes et externes
  • Contribue au transfert des connaissances par l’encadrement et le coaching des employés moins expérimentés de son équipe

Détient généralement 6 à 9 ans d’expérience pertinente.

Qu’est-ce qu’un incident de sécurité et comment l’expert réponse aux incidents de sécurité peut y remédier ?

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien.

Cet événement porte atteinte aux valeurs essentielles de l’entreprise avec un niveau d’impact plus ou moins élevé en fonction de l’incident en question.

Un événement peut être qualifié d’incident de sécurité lorsqu’il perturbe le bon déroulement des activités et des missions de l’entreprise qu’il provoque un risque d’ordre juridique pour l’établissement ou ses personnels, ou encore, s’il porte atteinte à l’image de l’établissement.

Tout événement allant de la dégradation de la qualité du réseau à la saturation de l’espace disque en passant par une cyberattaque peut être considéré comme un incident. Les incidents de sécurité les plus fréquents au sein des organisations peuvent être par exemple l’utilisation illégale d’identifiants et mots de passe d’un ou plusieurs membres du personnel, l’utilisation d’une ressource informatique non autorisée, une tentative d’intrusion dans un fichier ou une application, la divulgation de données sensibles, la perte ou le vol d’un équipement informatique, etc.

La gestion des incidents consiste à identifier et à corriger les incidents IT qui menacent ou interrompent les services d’une entreprise. En cas d’interruption de service, il s’agit de pouvoir les restaurer le plus rapidement possible, tout en minimisant l’impact sur l’entreprise.

Face à un incident de sécurité, le temps de réponse est essentiel. Stopper la propagation et minimiser l’exposition correspondent au premier objectif de tout exercice de réponse en cas d’incident.

L’expert réponse aux incidents de sécurité est celui qui pourra diagnostiquer correctement la brèche de sécurité et mettre en œuvre la réponse appropriée par la suite.

Compétences

Devenir expert réponse aux incidents de sécurité nécessite de posséder de solides compétences informatiques et des connaissances pointues en cybersécurité telles que :

  • Maîtrise du système d’information, de l’urbanisation et de l’architecture du SI
  • Analyse post-mortem (forensic) : connaissance des outils d’analyse
  • Analyse post-mortem (forensic) : connaissance des procédures légales
  • Cyberdéfense : pratique de l’analyse de flux réseaux
  • Cyberdéfense : connaissance des techniques d’attaques et d’intrusions
  • Cyberdéfense : connaissance des vulnérabilités des environnements
  • Scripting

Qualités

  • Capacité de restitution et de vulgarisation pour des publics non techniques
  • Rédaction de rapports adaptés à différents niveaux d’interlocuteurs
  • Travail en équipe
  • Capacité à résister à la pression
  • Sens éthique

En résumé, l’expert réponse aux incidents de sécurité analyse les activités malveillantes ou d’attaques au sein du système d’information de l’entreprise et préconise des mesures de réponse appropriées afin d’améliorer les actions de cyberdéfense du système.

L’expert réponse aux incidents de sécurité préconise des mesures de réponse appropriées afin d’améliorer les actions de cyberdéfense du système

L’expert réponse aux incidents de sécurité préconise des mesures de réponse appropriées afin d’améliorer les actions de cyberdéfense du système

Études et formations

Pour devenir expert réponse aux incidents de sécurité, vous devrez justifier d’un diplôme en informatique de niveau Bac + 5 avec une spécialisation en cybersécurité.

Salaire

La rémunération d’un expert réponse aux incidents de sécurité varie selon le CSIRT au sein duquel il intervient.

Le salaire médian pour les experts réponse aux incidents de sécurité en France est de minimum 40 000 euros par an.

Un profil senior ou expert pourra prétendre à un salaire allant jusqu’à 75 000 euros annuels.

Dans quelle entreprise travailler ?

L’expert réponse aux incidents de sécurité peut intégrer l’un des CSIRT qui constituent ce réseau international, composé d’entreprises et d’institutions de tailles et profils très variés.

Liste des CSIRT ou CERT en France

CERT gouvernemental : CERT-FR (anciennement CERTA appartenant à l’ANSSI / SGDSN) est le CERT affecté au secteur de l’administration française

Ai CERT : CERT privé interne du Groupe Airbus

AlliaCERT : CERT de la société Alliacom ouvert à l’ensemble des entreprises et des institutions

AXA CERT : CERT privé interne du Groupe AXA

CERT-AKAOMA : CSIRT de la société AKAOMA proposant des services de cyber-surveillance et de réponse aux incidents de sécurité à l’ensemble des entreprises et institutions

CERT-AlgoSecure : CSIRT privé de la société AlgoSecure ouvert à l’ensemble des entreprises et des institutions

CERT-AG : CERT du Groupe Crédit Agricole et des filiales

CERT-AMOSSYS : CERT de la société AMOSSYS

CERT-AREVA : CERT privé interne du groupe AREVA

CERT-BDF : CERT de la Banque de France

Des offres d’emploi pour exercer en tant qu’expert réponse aux incidents de sécurité sont disponibles sur :

Monster. fr

Jobrapido.com

LinkedIn

Simplyhired.fr

Wizbii.com

Indeed.com

Jooble.org

Apec.fr

Glassdoor.fr

Expert réponse aux incidents de sécurité freelance

L’expert réponse aux incidents de sécurité peut exercer en tant que freelance indépendant. La première option consiste à créer un statut d’auto-entrepreneur ou une société individuelle auprès de la Chambre de Commerce. Il sera ainsi possible de facturer ses prestations à tout type de clients.

Néanmoins, ce choix est encore plutôt rare, dans la mesure où l’expert réponse aux incidents est très souvent rattaché à un CSIRT pour exercer.

Evolution de carrière

L’expert réponse aux incidents de sécurité est un métier en plein développement au sein des organisations qui possèdent une structure de type SOC.

Les avantages et inconvénients

L’expert réponse aux incidents de sécurité convoque quotidiennement l’ensemble des ses connaissances en cybersécurité ( technique, veille, prospective ) dans ses responsabilités. C’est donc un métier riche et complet .

Ce métier est à réserver aux profils qui ne craignent pas le stress et la pression car il faut savoir être réactif afin de pouvoir répondre au plus vite aux incidents de sécurité.

Comment devenir expert réponse aux incidents de sécurité ?

L’expert réponse aux incidents de sécurité analyse les activités malveillantes ou d’attaques au sein du système d’information de l’entreprise. Ce professionnel de la cyberdéfense est titulaire d’un diplôme d’informatique de niveau BAC+5 avec une spécialisation en cybersécurité et sécurité des réseaux informatiques. Le salaire médian d’un expert réponse aux incidents de sécurité en France est de minimum 40 000 euros par an. Ce métier est en plein développement au sein des organisations qui possèdent une structure de type CERT (Computer Emergency Response Team) ou SOC (Security Operation Center).

En résumé

Quelles sont les missions de l’expert réponse aux incidents de sécurité ?

En résumé, l’expert réponse aux incidents de sécurité analyse les activités malveillantes ou d’attaques au sein du système d’information de l’entreprise et préconise des mesures de réponse appropriées afin d’améliorer les actions de cyberdéfense du système.

Quel est le salaire de l’expert réponse aux incidents de sécurité ?

Le salaire médian pour les experts réponse aux incidents de sécurité en France est de minimum 40 000 euros par an.

Un profil senior ou expert pourra prétendre à un salaire allant jusqu’à 75 000 euros annuels.

Quel niveau d’étude pour devenir expert réponse aux incidents de sécurité ?

Pour devenir expert réponse aux incidents de sécurité, vous devrez justifier d’un diplôme en informatique de niveau Bac + 5 avec une spécialisation en cybersécurité.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un Bac général ou technologique et d’opter pour l’une des spécialités suivantes , mathématiques, sciences de l’ingénieur ou sciences informatiques.