CONSULTANT EN CYBERSÉCURITÉ Consultant en Cybersécurité
Métiers

Auditeur de sécurité organisationnelle

Il est chargé d’effectuer une évaluation complète (d’un point de vue technique, juridique et organisationnel) des processus liés à la sécurité physique et à la cybersécurité mis en place par une entreprise. L’objectif est de déterminer l’efficacité globale des contrôles liés à ces problématiques : sont-ils mis en œuvre correctement, fonctionnent-ils comme prévu et produisent-ils le résultat attendu ? Cet expert fournit également une évaluation de la criticité des faiblesses découvertes dans le SI et recommande des actions correctives.

Fiche métier mise à jour le
Niveau d’études : Formation supérieure en informatique Bac+2 minimum (Bac+5 préférable) et certification
Bac conseillé : Scientifique
Employabilité : Moyenne
Salaire débutant : 2.917 €
Salaire confirmé : 5.000 €
Mobilité : Moyenne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Autres intitulés du métier : Auditeur informatique ; consultant en audit informatique ; gestionnaire d’audit informatique

C’est quoi la sécurité organisationnelle ?

Le Système d’Information (SI) d’une entreprise est constamment soumis à des menaces et à des vulnérabilités externes ou internes. Il est donc indispensable d’évaluer l’efficacité des contrôles de sécurité mis en place ou, pire, qui n’auraient pas été instaurés…

L’objectif d’un audit organisationnel de sécurité permet d’établir un état des lieux complet et objectif du niveau de sécurité de l’ensemble du SI d’un point de vue organisationnel, procédural et technologique.

Cet état des lieux vise donc à comprendre et à mesurer le niveau de maturité et de conformité des processus de sécurité mis en place par une entreprise :

  • Processus et mesures de sécurité qui sont déjà conformes aux référentiels et aux réglementations
  • Processus et mesures de sécurité qui nécessitent un travail de mise en conformité
  • Processus et mesures de sécurité à mettre en place.

Cette analyse peut couvrir :

  • L’organisation générale de la sécurité : réglementation, procédures, personnel
  • La sécurité physique des locaux : lutte anti-incendie, contrôles des accès, sauvegarde et archivage des documents
  • L’exploitation et l’administration des données : sauvegarde et archivage des fichiers, continuité du service, journalisation
  • Les réseaux et télécoms, c’est-à-dire le parc informatique : routeurs, postes de travail, serveurs, logiciels

Les missions

Pour analyser et évaluer les contrôles et les pratiques de sécurité (au sens global comme nous l’avons indiqué précédemment), ces professionnels doivent travailler en étroite collaboration avec l’équipe informatique, les responsables métiers et la direction. 

En s’appuyant sur des entretiens poussés avec différents salariés, il peut élaborer des plans pour améliorer la conformité en matière de sécurité, réduire les risques et gérer les menaces pour le SI et la réputation de l’entreprise.

Plus précisément, ces experts créent et exécutent des audits basés sur les politiques organisationnelles et les réglementations en vigueur dans le pays ou les pays où intervient l’entreprise. Ils mettent au point des tests des systèmes informatiques pour identifier les risques et les insuffisances au niveau des logiciels de sécurité (antivirus, pare-feu, contrôle des accès et des identités…), les protocoles de chiffrement des données et des flux ainsi que les mesures de sécurité connexes.

Toutes les évaluations effectuées en interne et en externe doivent être expliquées et détaillées dans des rapports précisant le degré de risque de l’organisation. Ces rapports doivent également présenter les solutions et processus à mettre en place pour remédier aux faiblesses et renforcer la résilience de l’activité de l’entreprise.

La résilience peut en effet être améliorée par ces auditeurs de sécurité qui présentent de nouvelles pratiques et technologies. En conseillant les entreprises, d’apporter des changements en fonction de leurs pratiques actuelles, des tendances et des problématiques émergentes dans leur domaine, les auditeurs de sécurité facilitent la proactivité. Ils assument donc une responsabilité importante et profitent des occasions de développer des solutions de sécurité créatives. 

Mais les responsabilités professionnelles d’un auditeur de sécurité organisationnelle peuvent varier en fonction du poste et des besoins de l’entreprise ou de l’organisme gouvernemental.

Les responsabilités et les tâches peuvent comprendre les éléments suivants :

  • Préparation et réalisation du volet organisationnel des audits : contrôle de conformité, analyse de documents, entretiens, vérification des preuves fournies, audit de sécurité physique…
  • Rédaction de rapports d’audit, assortis de préconisations portant sur les faiblesses organisationnelles et techniques identifiées 
  • Formalisation et standardisation des procédures d’audits organisationnels 
  • Rédaction de recommandations génériques dans les domaines organisationnels (réglementation, gouvernance, intégration de la sécurité dans les projets, homologation, continuité des activités…
  • Développement de méthodes pour surveiller et mesurer les efforts en matière de risques, de conformité et d’assurance
  • Vérification des postures de sécurité des logiciels d’application/réseaux/systèmes pour s’assurer qu’elles sont mises en œuvre comme prévu
  • Détection et documentation des écarts entre la réalité et ce qui est recommandé ou obligatoire et proposer les actions pour les corriger
  • Veille active sur les réglementations, les normes et bonnes pratiques dans les domaines de la protection des SI et de la gouvernance SSI ;
  • Assistance à la reprise de contrôle d’un SI suite à un incident de grande envergure
  • Évaluation des dossiers de sécurité : analyse de risques, PSSI, procédures

Dans l’ensemble, le travail consiste à offrir une vision approfondie des domaines dans lesquels les systèmes de cybersécurité sont suffisants et performants, et des domaines dans lesquels des améliorations sont possibles ou nécessaires. Si des améliorations sont nécessaires, l’auditeur de sécurité peut également être chargé de fournir une analyse coûts-avantages des mesures recommandées pour renforcer la sécurité.

Les compétences

Il est indispensable d’avoir de bonnes connaissances à propos des principaux référentiels, normes et réglementations relatifs à la sécurité des systèmes d’information (ISO 2700x, ISO 22301, RGS, IGI 1300, etc.). Des connaissances à propos de la gouvernance SSI, de la gestion des incidents, de la continuité et la reprise des activités (après une cyberattaque ou un incident) sont également nécessaires.

Des connaissances techniques (sécurisation des systèmes d’exploitation, mécanismes de contrôle d’accès, architecture réseau, etc.) sont essentielles afin d’appréhender les vulnérabilités techniques et d’en déterminer les causes organisationnelles.

Les auditeurs de sécurité doivent également connaître les langages de programmation, comme C++ et Java et être familiers avec différents systèmes d’exploitation, tels que Windows et Linux. Une expérience avec les outils COTS/GOTS/DOD CS pour l’examen de l’organisation et de l’enquête de sécurité sont appréciés. Enfin, la familiarité avec les outils d’audit et de défense réseau comme Proofpoint, Symantec ProxySG et Advanced Secure Gateway permet aux auditeurs de sécurité de mener des audits efficaces et approfondis.

Globalement, les auditeurs de sécurité organisationnelle disposent des compétences suivantes :

  • Maitrise des méthodologies d’audits
  • Connaissance du système d’information et des principes d’architecture
  • Maitrise des fondamentaux dans les principaux domaines de la SSI
  • Connaissance de la gouvernance, des normes et des standards dans le domaine de la sécurité : normes ISO et normes sectorielles (PCI-DSS…)
  • Conception et maintien d’un SI sécurisé
  • Compétences comportementales
  • Capacité de synthèse et de vulgarisation pour des publics non techniques
  • Rédaction de rapports adaptés à différents niveaux d’interlocuteurs
  • Législation et jurisprudence
  • Gestion des risques
  • Test et évaluation de systèmes
  • Évaluation des vulnérabilités

Les qualités

Être rigoureux et autonome sont deux qualités majeures d’un auditeur de sécurité organisationnelle. Savoir vulgariser des concepts complexes à des décideurs qui ne maitrisent pas les rouages de la cybersécurité et de l’IT en général est également indispensable. L’objectif des rapports est en effet de proposer des solutions pertinentes et réalisables (en fonction des contraintes métier et réglementaires) aux faiblesses constatées.

Quelles études pour devenir auditeur de sécurité organisationnelle ?

Il est recommandé d’avoir Bac +5, même si ce métier est accessible à partir d’une expérience professionnelle en audit. D’autres offres d’emploi demandent d’être titulaire d’un diplôme de niveau 7, dans le domaine de l’IT et de justifier d’une expérience dans le domaine de l’audit SSI organisationnel.

Quel diplôme ?

Un baccalauréat en technologie de l’information, en informatique ou dans une discipline connexe permet aux analystes de la sécurité de se familiariser avec les technologies, les théories et les pratiques de base dans ce domaine. 

Différentes certifications constituent des atouts majeurs pour convaincre un employeur :

  • Certified Information System Security Professional (CISSP)
  • ISACA Certified Information Security Manager (CISM)
  • Certified ISO 27001 Lead Implementer 1
  • ISACA Certified Information Systems Auditor (CISA)
  • GIAC Systems and Network Auditor (GSNA)
  • Certified ISO 27001, Lead Auditor, Internal Auditor 1
  • IRCA ISMS Auditor

Quelles entreprises recrutent ?

Ce type de profil très particulier intéresse les grands comptes ou les entreprises dont le secteur d’activité est très réglementé ou sensible. Des ESN et des cabinets de consultants en cybersécurité peuvent être également une piste d’emploi.

Peut-on être freelance ?

Les entreprises travaillant dans des secteurs réglementés ou sensibles font appel à des auditeurs de sécurité à intervalles réguliers pour vérifier leur propre efficacité et s’assurer que leurs systèmes sont conformes aux normes du secteur.

Il est donc possible de travailler en indépendant à condition de disposer d’un bon réseau et de solides capacités de persuasion pour trouver des clients. Mais en tant qu’auditeur externe, vous disposez d’un atout non négligeable : vous apportez une perspective objective sur les pratiques de sécurité d’une organisation. Un regard extérieur est souvent le bienvenu. Mais attention cependant aux susceptibilités internes que vous pourriez rencontrer de la part de DSI (Directeur des systèmes d’information), de responsables informatiques, voire d’autres cadres dont les (mauvaises) habitudes présentent des risques pour l’entreprise.

L’évolution de carrière

Ces profils étant très recherchés, un Auditeur de sécurité organisationnelle peut travailler en freelance (à condition d’avoir un bon réseau ou d’avoir acquis une solide expérience auparavant) et évoluer en interne pour devenir Risk manager voire RSSI.

Les soft skills recherchés par les entreprises

Une expérience professionnelle dans le domaine de l’ingénierie des systèmes informatiques, de la mise en réseau et de l’analyse des risques est très utile tout comme une expérience générale dans le domaine des technologies de l’information et de la sécurité informatique.

L’objectivité, la discipline et le souci du détail sont autant d’atouts qui mènent à une carrière réussie dans l’audit de sécurité. Les auditeurs de sécurité organisationnelle doivent savoir comment identifier les menaces et les contrôles sans parti pris. 

Les soft skills qui font la différence :

  • La rigueur et le sens des responsabilités 
  • L’esprit de synthèse et des qualités rédactionnelles 
  • La prise d’initiative et le partage de connaissances
  • Des capacités d’assistance aux clients et de coopération
  • Des capacités à formuler des recommandations pour renforcer la sécurité
  • La maîtrise de la langue anglaise (orale, écrite et technique).

Le salaire

La rémunération varie selon votre expérience. La grille commence généralement autour de 35.000 € brut/an. Les auditeurs seniors peuvent prétendre le double.

Quels sont les avantages et inconvénients de ce métier ?

Du fait de la diversité des missions à gérer, ce métier ne connaît pas la routine. En fonction de votre poste, vous pouvez être amené à voyager souvent. Par contre, ces auditeurs de sécurité travaillent souvent seuls même s’ils rencontrent de nombreuses personnes afin de rédiger leurs rapports. Ils doivent donc faire preuve de motivation pour mener à bien leurs tâches.

Quelles sont les bonnes questions à se poser avant de s’orienter

Se poser les bonnes questions pour son futur métier est essentiel. Une étape qu’il ne faut pas négliger notamment avant son orientation. Voici quelques questions incontournables :

  • Ai-je un niveau suffisant en mathématiques ?
  • Où se former pour devenir expert en cybersécurité ?
  • Quels sont les contenus des formations proposés par l’école ?
  • Qui sont les intervenants et professeurs ?
  • Des stages sont-ils organisés ?
  • Quel est mon projet professionnel ?
  • Dans quelle entreprise je souhaite travailler ?
  • Les débouchés sont-ils importants ?
  • Vais-je trouver un emploi facilement ?

Devenir Auditeur de sécurité organisationnelle

Les cyberattaques devenant de plus en plus complexes et variées, les entreprises prennent conscience de leurs impacts sur leur résilience. Les auditeurs de sécurité organisationnelle sont donc des profils recherchés, car les organisations doivent mettre en place des Plans de reprise d’activité afin de limiter les impacts des actes malveillants. Pour devenir auditeur de sécurité organisationnelle, il est nécessaire d’avoir de bonnes compétences en informatique et de maitriser les différents aspects de la cybersécurité, tant d’un point de vue technique que juridique. Il est donc recommandé de commencer par obtenir un Bac scientifique puis d’intégrer une école d’ingénieur avec un cursus en cybersécurité axé sur la gouvernance des données.

En résumé

Quelles sont les missions de l’auditeur de sécurité organisationnelle ?

En résumé, le travail de l’auditeur de sécurité organisationnelle consiste à analyser et évaluer les contrôles et les pratiques de sécurité. Cela consiste à donner une vision claire et approfondie des systèmes de sécurité qui sont performants, ainsi que les systèmes de sécurité nécessitant une amélioration. L’auditeur de sécurité organisationnelle peut alors proposer une analyse pour renforcer ces systèmes de sécurité.

Quel est le salaire de l’auditeur de sécurité organisationnelle ?

Le salaire médian pour les auditeurs de sécurité organisationnelle qui exercent en France est d’environ 45 000 euros annuels. Les postes de niveau débutant commencent avec un salaire environnant 35 000 euros par an, tandis que les travailleurs les plus expérimentés perçoivent jusqu’à 60 000 euros annuels.

Quel niveau d’étude pour devenir auditeur de sécurité organisationnelle ?

Pour faire carrière en tant qu’auditeur de sécurité organisationnelle, il est recommandé d’avoir un Bac+5. Ce métier est néanmoins accessible à partir d’une expérience professionnelle préalable en audit.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique et sciences informatiques.

Quelle formation pour devenir auditeur de sécurité organisationnelle ?

Pour devenir auditeur de sécurité organisationnelle, il est recommandé d’avoir Bac +5, même si ce métier est accessible à partir d’une expérience professionnelle en audit.

Métiers proches d’auditeur de sécurité organisationnelle

Continuez vos recherches autour des métiers de la cybersécurité :