CONSULTANT EN CYBERSÉCURITÉ Consultant en Cybersécurité
Métiers

Analyste en réponse à incidents

L’analyste en réponse aux incidents est un profil très recherché, car ses missions sont devenues essentielles aux entreprises. Ce métier a deux facettes. La première est technique (trouver des preuves des cyberattaques). La seconde est la gestion de la crise (accompagner et communiquer avec sa direction victime d’une attaque informatique). Cela ressemble un peu aux enquêtes policières, mais pour un parc informatique. Outre son rôle clé en matière de détection et de réponse à incidents, il contribue également à l’amélioration de la résilience de son entreprise.

Fiche métier mise à jour le
Niveau d’études : Formation supérieure en informatique Bac+2 minimum et certification
Bac conseillé : Scientifique
Employabilité : Très bonne
Salaire débutant : 3.334 €
Salaire confirmé : 5.834 €
Mobilité : Variable
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Autres intitulés du métier : analyste des intrusions ; ingénieur spécialisé en forensic ; analyste SOC

Métier

Ce métier est très recherché, car peu d’entreprises disposent en interne de ce type de profil. 

Une étude récente d’IBM a en effet constaté que 77 % des entreprises ne disposent pas d’un Plan de réponse aux incidents de cybersécurité. Il s’agit d’une statistique alarmante, surtout si l’on considère que le FBI a signalé une augmentation de 300 % des actes de cybermalveillance et de piratage depuis le début de la pandémie de COVID-19. 

Dans ce contexte, il n’est pas surprenant que les analystes en réponse aux incidents fassent partie des professionnels de la cybersécurité les plus recherchés dans le secteur.

Pourquoi, ces profils sont-ils devenus très recherchés ? Ils correspondent à une évolution de la menace et à un changement d’attitude des entreprises. Schématiquement, en cas de cyberattaque constatée, l’équipe chargée de la sécurité informatique s’efforce de limiter les impacts d’une infection virale, notamment en tentant de neutraliser le code malveillant et d’intégrer des correctifs de sécurité. 

Ces profils sont recherchés, principalement par de grosses entreprises qui souhaitent les intégrer à leur équipe CERT (Computer Emergency Response Team). Les salaires sont donc attractifs. Attention, certains postes sont soumis à une astreinte les week-ends et certains jours fériés. 

Des voyages urgents en France et à l’étranger peuvent être nécessaires, selon les exigences de traitement des incidents et investigations en cours, sans excéder un mois en moyenne. Parler couramment l’anglais et être capable de rédiger des documents dans cette langue s’avère indispensable pour intégrer des groupes internationaux.

Ce métier est donc l’idéal pour tous ceux et toutes celles qui veulent des challenges perpétuels et qui apprécient de découvrir régulièrement de nouvelles menaces, de nouveaux langages informatiques. Cela oblige à rester en permanence à niveau, ce qui est très stimulant.

Responsabilités

Ses responsabilités sont très variées. Il doit notamment analyser les informations provenant des systèmes de surveillance (notamment les sondes réseau), des incidents opérationnels et d’autres sources pour déterminer la portée et l’impact des incidents de sécurité potentiels, et les traiter en conséquence.

Il doit également contribuer à la conception et à la mise en œuvre des solutions de détection et de prévention des menaces jugées nécessaires à la protection des actifs de l’entreprise. Il doit être une force de proposition en participant à l’amélioration des corrélations, des règles et des analyses des équipes de détection.

L’évaluation de manière critique des pratiques actuelles de son entreprise est également l’une de ses missions. L’objectif de cette veille est de fournir un retour d’information à la direction sur les possibilités d’amélioration, notamment en cas de manquements à la conformité (Règlement général sur la protection des données à caractère personnel-RGPD, directive européenne sur les services de paiement 2e version-DSP2…) et aux réglementations propres au secteur d’activité de son employeur.

Enfin, il doit assurer la maintenance des systèmes attribués afin de garantir la disponibilité, la fiabilité et l’intégrité, y compris la supervision de la capacité, des performances et des licences actuelles et prévues.

Les missions

L’analyste en réponse à incidents de son côté va mener une « enquête technique » orientée sécurité : ordinateurs, réseau, logiciels malveillants, rétro-ingénierie de logiciels, identification de compromission matérielle, etc.

Sa principale responsabilité est de minimiser les effets globaux d’une violation sur les systèmes d’information (SI), les réseaux et les actifs numériques d’une entreprise. Ce rôle implique la maintenance de réseaux à grande échelle ainsi que des interactions potentielles avec les forces de l’ordre. 

Ces spécialistes ont également pour mission de surveiller, tester, évaluer et améliorer les systèmes de cybersécurité de leur entreprise. Ils peuvent également contribuer à l’élaboration de protocoles, de politiques et de programmes de formation qui permettent aux organisations de mieux réagir aux incidents de sécurité.

De par son profil, il doit prendre en compte et diligenter des investigations techniques et inforensiques (qualification poussée des cyberattaques) pour documenter les menaces. Il doit aussi, lancer des vérifications techniques et contextuelles sur les nouvelles menaces qui sont susceptibles d’affecter l’activité et la réputation de son entreprise, mais aussi celle de ses clients et partenaires. Les analystes en réponse à incident doivent aussi collaborer et échanger avec d’autres CERT français et internationaux.

Ces experts ne restent pas pour autant dans leur tour d’ivoire. De façon plus concrète pour l’ensemble des salariés de son entreprise, ces analystes doivent contribuer à la sensibilisation aux menaces numériques via des formations en intra, des webinaires ou du e-learning. 

Enfin, ils doivent participer ponctuellement aux exercices de gestion de crises organisés par son employeur ou les autorités si son entreprise est considérée comme » sensible » ou fait partie des opérateurs d’importance vitale (OIV), c’est-à-dire identifiée par l’État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population.

Les compétences

Il est indispensable d’avoir une très bonne compréhension des implications de la sécurité et des méthodes d’investigation pour les composants IT les plus communs : 

  • LAN (Local Area Network), WAN (Wide Area Network), 
  • VPN (Virtual private network)
  • IDS/IPS
  • systèmes Linux et Windows
  • Active Directory,
  • serveurs d’emails, 
  • serveurs web
  • serveurs applicatifs
  • bases de données, 
  • SIEM (Security information and event management), 
  • principes et outils cryptographiques, etc.

Comme nous l’avons déjà évoqué précédemment, il doit être capable de réaliser des investigations inforensiques sur des réseaux, des périphériques disposant des technologies précitées et intégrant des systèmes d’exploitation répandus. Cela implique des connaissances dans l’investigation des technologies mobiles (Android/iOS), des protocoles réseau associés et des applications populaires.

Il doit être également capable de réaliser des investigations dans les environnements bureautiques, des datacenters et dans le Cloud. 

De manière plus précise, il convient de disposer de ces compétences :

  • Expérience des outils courants de RI tels que SIEM, gestion des journaux, IDS, systèmes de détection de brèches (APT/BDS/EDR) et capture de paquets.
  • Large compréhension de TCP/IP, DNS, des services réseau courants et d’autres sujets fondamentaux.
  • Connaissance intermédiaire des techniques de détection, d’analyse et d’évasion des logiciels malveillants.
  • Expérience de l’analyse des logiciels malveillants (exécutables, scripts et documents bureautiques), des rootkits, des bootkits, de l’analyse du trafic (Wireshark) et une utilisation efficace de désassembleurs (IDAPro) ou de débogueurs (OllyDBG, winDBG).
  • Expérience des tests de pénétration et de l’évaluation de la vulnérabilité des systèmes et réseaux d’entreprise afin de renforcer la sécurité des réseaux.
  • Expérience des tests de pénétration d’applications web avec BurpSuite ou d’autres outils similaires de sécurité des applications web. Connaissance des techniques d’attaque et d’exploitation des logiciels

Les qualités de l’analyste en réponses à incidents

Avant de pouvoir commencer à travailler en tant qu’analyste en réponse à incidents, vous devez acquérir de l’expérience dans un poste de cybersécurité de premier échelon. Les employeurs ont tendance à rechercher des candidats qui ont une expérience « vérifiable » au sein de l’équipe de sécurité d’une organisation similaire à la leur. Les postes d’administrateur de sécurité, de réseau ou de système peuvent fournir une expérience pertinente pour un analyste à réponse à incidents. 

En général, il faut deux à trois ans d’expérience professionnelle pour être admis dans une équipe de réponse aux incidents de sécurité informatique (Computer Security Incident Response Team-CSIRT). Un CSIRT est une équipe de sécurité opérationnelle, composée d’experts de différents domaines (malwares, test d’intrusion, veille, lutte contre la cybercriminalité, forensics…).

Une fois que vous êtes membre d’une CSIRT, vous pouvez apprendre des gestionnaires, des responsables et d’autres professionnels de la sécurité de haut niveau afin d’élargir vos connaissances et vos compétences appliquées.

Toutes ces compétences techniques ne suffisent pas. Il doit être doté d’une bonne expression écrite et orale et avoir une bonne capacité à synthétiser de la documentation et des rapports destinés à sa direction. Un bon sens du relationnel et être force de persuasion (tout en étant capable d’adapter sa communication) sont deux atouts majeurs. Enfin, il fait résister au stress qui peut être engendré par une cyberattaque sophistiquée ou une forte charge de travail ponctuelle.

Des compétences en matière de collaboration sont très utiles pour travailler avec différentes équipes dans une organisation internationale. Vous devez également être capable de travailler de manière autonome et d’apporter des améliorations.

Les soft skills recherchées par les entreprises

On les appelle en français les compétences douces, les soft skills sont désormais aussi importants que les compétences techniques (hard skills). Si bien que pour postuler à un poste d’analystes en réponse à incidents, il faut être capable de mettre en avant des compétences caractéristiques de votre personnalité qui feront la différence, notamment pour travailler en équipe. Par exemple,

  • Capacité à rassembler et à analyser des faits, à tirer des conclusions, à définir des problèmes et à proposer des solutions.
  • Conserver son esprit critique et son sang-froid sous pression
  • Solides compétences en communication, écrite et orale. 
  • Capacité à vulgariser des concepts complexes à des interlocuteurs non techniques : qualification d’alertes, comptes rendus d’incidents, tableaux de bord…
  • Capacité à fournir une assistance pour la préparation de matériel et de documentation de formation interne.
  • Capacité à être productif et à rester concentré sans supervision directe.

Quelle formation pour devenir analyste en réponses à incidents ?

Bac

Il faut envisager son orientation dès le lycée en faisant le choix d’une voie scientifique ou technologique (Bac STI2D). Dans les deux cas, un goût prononcé pour les mathématiques est indispensable.

Diplôme

Un diplôme d’ingénieur en informatique avec un bon niveau de connaissance en IT (réseaux et systèmes) ou avec une expérience en cybersécurité sont indispensables. Les certifications GIAC CGFA, GREM, GNFA ou équivalent sont un plus.

École

Il est recommandé d’intégrer une école d’ingénieur en cybersécurité et ensuite de suivre des formations pour obtenir certaines certifications très demandées.

Le salaire

Les grands groupes, mais aussi les Entreprise de Services du Numérique (ESN), recherchent de plus en plus de tels profils. Résultat, les salaires sont attractifs. Ils commencent autour de 40 000 € brut/an et peuvent atteindre les 70 000 € brut/an pour les personnes très qualifiées.

L’évolution de carrière

Un analyste en RI peut élargir ses compétences pour devenir à moyen et long terme RSSI ou Responsable de la gouvernance, le risque et la conformité (GRC). Il peut aussi décider de travailler en freelance.

Quelles sont les bonnes questions à se poser avant de s’orienter

Se poser les bonnes questions pour son futur métier est essentiel. Une étape qu’il ne faut pas négliger notamment avant son orientation. Voici quelques questions incontournables :

  • Ai-je un niveau suffisant en mathématiques ?
  • Où se former pour devenir expert en cybersécurité ?
  • Quels sont les contenus des formations proposés par l’école ?
  • Qui sont les intervenants et professeurs ?
  • Des stages sont-ils organisés ?
  • Quel est mon projet professionnel ?
  • Dans quelle entreprise je souhaite travailler ?
  • Les débouchés sont-ils importants ?
  • Vais-je trouver un emploi facilement ?

Devenir analyste en réponse à incidents

Tous les jours, les entreprises sont confrontées à des incidents de cybersécurité plus ou moins critiques. La principale mission d’un analyste en RI consiste à repérer ceux qui sont les plus impactants pour l’activité de son entreprise. Il doit les analyser afin de comprendre leur fonctionnement afin d’éviter qu’ils ne se reproduisent. C’est en quelque sorte un détective de l’informatique. Pour devenir un analyste en RI, il est fortement recommandé d’avoir un BAC scientifique et d’intégrer ensuite une école d’ingénieur en cybersécurité.

En résumé

Quelles sont les missions de l’analyste en réponse à incidents ?

En résumé, l’analyste en réponse à incidents mène une « enquête technique » concernant la sécurité. Il doit alors surveiller, tester, évaluer et améliorer les systèmes de cybersécurité de son entreprise. L’analyste en réponse à incidents contribue aussi à sensibiliser les employés de son entreprise sur les menaces numériques.

Quel est le salaire de l’analyste en réponse à incidents ?

Le salaire médian pour les analystes en réponse à incidents qui exercent en France est d’environ 55 000 euros annuels. Les postes de niveau débutant commencent avec un salaire environnant 40 000 euros par an, tandis que les travailleurs les plus expérimentés perçoivent jusqu’à 70 000 euros annuels.

Quel niveau d’étude pour devenir analyste en réponse à incidents ?

Pour faire carrière en tant qu’analyste en réponse à incidents, vous devrez justifier d’un diplôme d’ingénieur en informatique. Ce métier nécessite d’avoir une expérience en cybersécurité et d’avoir un bon niveau de connaissance en IT (réseaux et systèmes).

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique (STI2D) et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique et sciences informatiques.

Quelle formation pour devenir analyste en réponse à incidents ?

Pour devenir analyste en réponse à incidents, il est recommandé d’avoir un diplôme d’ingénieur en informatique avec un bon niveau de connaissance en IT (réseaux et systèmes), une expérience en cybersécurité est indispensable. Les certifications GIAC CGFA, GREM, GNFA ou équivalent sont un plus.

Métiers proches d’analyste en réponse à incidents

Continuez vos recherches autour des métiers de la cybersécurité :