Thumbnail-cyberstratégiste
Métiers

Cyberstratégiste

Les technologies informatiques et le monde cyber en général sont, par nature, extrêmement changeants : ils évoluent avec une très grande rapidité. En matière de cybersécurité, cela signifie que les entreprises doivent maintenir un degré de vigilance maximal au jour le jour, puisque les tactiques utilisées par les cyberattaquants sont susceptibles d’évoluer en permanence. Cela veut dire aussi qu’une bonne cyberdéfense doit prendre en compte les tendances à venir. La tâche est de fait complexe, mais les experts cyber se doivent de commencer à définir dès aujourd’hui les points centraux de la cybersécurité pour les dix ans à venir (lien vers article Guardia cyber 2033). Pour mener à bien cette mission aux enjeux très lourds, les entreprises font de plus en plus appel à un expert à la vision large : le cyberstratégiste. Voyons ensemble quels sont les défis auxquels ce professionnel est appelé à être confronté et quelles sont les forces dont il a besoin pour mener à bien sa tâche.

kevin-picciau
Par Kevin Picciau
Fiche métier mise à jour le
En résumé
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Très Bonne
Salaire débutant : 3 850 € brut
Salaire confirmé : 9 450 € brut
Mobilité : Très bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications
NB : les métiers de la cybersécurité sont récents. L’estimation du salaire se base sur peu de données. Le salaire peut être parfois surévalué ou sous-évalué. Nous affinerons sa pertinence lors de la prochaine édition du Guide des Métiers de la cybersécurité.

 

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Métier

« Le cyberstratégiste, c’est un peu celui qui définit la politique générale de l’entreprise qui est prête à faire face aux menaces des hackers – qui veut être prête ! C’est la ligne de commandement que devra suivre l’armée de talents cyber que mobilise la structure. Mais attention : en aucun cas le cyberstratégiste n’impose sa vision. Le bon cyberstratégiste, c’est celui qui a la capacité de comprendre et d’agréger des besoins divers, des analyses et des préoccupations qui changent selon les équipes métiers, et de les faire concorder pour apporter une réponse globale aux menaces cyber. » Pour réussir à donner cette définition du métier de cyberstratégiste, Sylvain M. a d’abord exercé en tant qu’analyste en cybersécurité, pendant 7 ans, auprès d’une entreprise de services informatiques.

Cyberstratégiste

Il a ensuite valorisé sa double compréhension technique et stratégique des points de cyberdéfense pour se positionner en tant que cyberstratégiste, dans un premier temps à son compte, puis comme salarié d’un grand groupe de l’aérospatiale.
On peut indifféremment parler de cyberstratégiste ou d’expert en cyberstratégie pour désigner le professionnel dont il est question ici.

Missions

« On attend deux choses de la part du cyberstratégiste : qu’il soit force de proposition pour prévenir les risques cyber et qu’il participe à la compréhension des attaques subies », explique Sylvain M. « Il s’agit donc à la fois de planifier et de réagir ».

Dans le cadre de son activité de prévention, plusieurs tâches doivent être réalisées :

  • opérer une veille sur les menaces émergentes en matière de cybersécurité ;
  • communiquer de manière pédagogique auprès de tous les décisionnaires et acteurs décisifs de la structure sur les enjeux de la cybermenace en général ;
  • dresser un panorama des menaces susceptibles d’affecter l’organisation et déterminer son niveau d’exposition au risque ;
  • collecter, vérifier et analyser les données brutes relatives aux attaques informatiques, en élargissant au maximum les sources d’information ;
  • entretenir un rapport d’échange et d’émulation avec d’autres experts n’appartenant pas à la structure ;
  • mettre à jour des bases de données et de connaissances sur l’ensemble des sujets concernés.

Cyberstratégiste

Le deuxième volet de la mission est plus ponctuel. Il s’agit d’apporter les bons éléments en cas de cyberattaque. Cela passe notamment par :

  • la rédaction de documents d’alerte et de rapports d’analyse destinés à faciliter la compréhension des menaces détectées ;
  • des analyses sur les possibles évolutions de la menace auprès de toutes les parties impliquées, accompagnées de propositions de solutions concrètes.

On attend du cyberstratégiste qu’il entre en dialogue étroit avec le CERT (Computer Emergency Response Team) ou le CSIRT (Computer Security Incident Response Team), de même qu’avec le SOC, lorsqu’il existe. C’est grâce à la bonne collaboration entre tous ces acteurs clés que peuvent être mis en place les bons outils de protection cyber.

Gratuit
Découvrez les 90 autres métiers de la Cybersécurité avec notre Guide des métiers de la Cybersécurité PDF 260+ pages
+ de 70 métiers pour travailler dans la Cybersécurité

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Responsabilités du Cyberstratégiste

Protéger les ressources de la structure pour laquelle il travaille : telle est la responsabilité principale du cyberstratégiste. Ces ressources, ce sont les données de l’entreprise et les données personnelles de ses clients : leur compromission est synonyme de pertes financières pour l’entreprise, et c’est le rôle du cyberstratégiste d’éviter cette situation.

À ce titre, il est notamment chargé de prévenir les attaques. Cela passe par des propositions de mise à jour des systèmes informatiques, des idées de formation à destination des différents collaborateurs, … C’est à lui d’argumenter pour faire accepter les investissements en matière de cybersécurité.

Cyberstratégiste

competences-metier

Compétences

Pour réussir à son poste, le cyberstratégiste ne peut en aucun cas faire l’impasse sur un certain nombre de compétences techniques. Celles-ci doivent cependant être complétées par des aptitudes plus générales à la prospection et à l’analyse, mais aussi par des compétences de type managérial. Même si le cyberstratégiste ne remplit pas un rôle de manager, il a besoin de capacités propres à ce rôle pour approcher les équipes et recueillir les informations nécessaires, puis pour les faire adhérer à sa vision des choses. Cette position de « leader » doit pouvoir être exercée aussi bien auprès des agents techniques que des personnes à responsabilité dans l’entreprise.

Le cyberstratégiste doit par ailleurs se montrer opérationnel sur plusieurs points. Il doit être capable :

  • d’utiliser des sources ouvertes de manière sécurisée ;
  • de construire des plans de veille opérationnels sur plusieurs questions et plusieurs secteurs en parallèle ;
  • d’assurer une veille géopolitique et géostratégique, en plus de la veille purement technique, afin de mesurer l’évolution des risques cyber en provenance de l’extérieur.

Il doit faire de bonnes capacités pour :

  • la gestion des crises de sécurité ;
  • et la veille opérationnelle et la synthèse, afin de capter les tendances et les facteurs d’évolution du métier.

On requiert enfin des connaissances solides en matière :

  • de techniques d’attaque et d’intrusion informatique ;
  • de la vulnérabilité propre à chaque environnement ;
  • et d’analyse des flux de réseau.

La connaissance des procédures légales propres au domaine cyber est également appréciée : en cas d’incident, on attend parfois du cyberstratégiste un conseil sur les actions de recours juridiques possibles contre l’attaquant, même s’il peut être épaulé dans cette tâche par d’autres experts cyber.

Qualités

« Le cyberstratégiste doit être capable de mettre au diapason des spécialistes très différents de par leurs compétences et – surtout – de par leur manière de penser. Il doit donc faire preuve de très grandes capacités d’écoute, de dialogue et de pédagogie, mais aussi avoir suffisamment de charisme et de force de conviction pour embarquer tout le monde derrière lui », explique Sylvain M. « L’enjeu n’est pas des moindres : s’il ne réussit pas à réellement convaincre toutes les équipes de la stratégie qu’il dessine, alors cela veut dire que certains seront peut-être moins attentifs dans la réalisation de leurs tâches, et c’est dans cette brèche que s’engouffrent les cyberattaquants : c’est la fameuse faille humaine, la première cause de réussite des cyberattaques ! ».

« J’ai toujours l’image du cyberstratégiste comme un électron libre : il gravite d’équipe en équipe. Mais, au bout du compte, il doit s’imposer comme le noyau dur – au nom de cette stratégie globale d’entreprise ».

Cyberstratégiste

Études et formations

La détention d’un Bac +5 est un prérequis minimum pour se positionner sur un emploi de cyberstratégiste. Les profils combinant compréhension des enjeux techniques et capacités managériales seront particulièrement appréciés.

Quelle formation ?

Les personnes aspirant à remplir des fonctions de cyberstratégiste doivent rechercher une formation leur apportant le bon équilibre entre bases techniques et compétences plus générales en analyse et en projection de scénarios. Avant toute chose, la formation ne doit pas faire l’impasse sur des compétences de management et de dialogue avec des équipes de techniciens.

C’est justement cette approche complémentaire qu’a adoptée la Guardia School dans la conception de ses cursus. Qu’il s’agisse de la formation de niveau Bachelor ou de la préparation à l’expertise cyber, à un niveau Master, l’école intègre dans son enseignement toutes les normes techniques nécessaires à l’appréhension des enjeux de cybersécurité. Elle couple ces bases, en permanence, avec une série de modules dédiés à l’approche analytique et stratégique des problématiques informatiques. Elle met enfin un fort accent sur toute la palette des compétences nécessaires à la collaboration, au dialogue et à la gestion d’équipe.

Tout baccalauréat peut mener à ce métier, même s’il faut une affinité pour le numérique et les mathématiques.

Bachelor (3 ans – titre RNCP niveau 6)

Diplôme obtenu Titre école bachelor (bac +3)
Admission post bac Bac généraliste ou technologique
Admission parallèle Possible en 3e année
Durée totale de formation 3 ans
Campus Lyon et Paris
Enseignement 8 unités thématiques
3e année En alternance ou en initial avec stage alterné

 

Master Expert cybersécurité (2 ans – titre RNCP niveau 7)

Diplôme obtenu Titre école MSc (bac +5)
Pré-requis Bac +3 ou Bac +4 validés
Durée totale de formation 2 ans
Campus Lyon et Paris
Alternance Chaque année, 3 semaines en entreprise / 1 semaine à l’école

Cyberstratégiste

Dans quel secteur travailler ?

« Les experts en cyberstratégie ont l’embarras du choix concernant les secteurs où ils peuvent exercer. Il n’y a pas vraiment de conseils à donner en matière de domaine d’activité à viser. Le vrai point à retenir, c’est que ce sont les grandes entreprises et les grands groupes qui ont besoins de cyberstratégistes – du moins, qui sont prêts à investir sur ce poste », analyse Sylvain M. 

On relève néanmoins certains pans d’activité où ces analystes de la direction à suivre sont particulièrement demandés. C’est le cas des entreprises proposant des services numériques en général, des banques et assurances, et plus particulièrement des cyber-assureurs. On note aussi de forts besoins du côté des GAFAM et des services de santé – sans grande surprise, puisque toutes les structures traitant un volume important de données personnelles ont tout intérêt à mettre en place une bonne stratégie de cyberdéfense.

De manière générale, on pourra aussi retenir que toutes les entités disposant d’une structure de type SOC ont besoin, en théorie, de cyberstratégistes !

Les entreprises qui recrutent

À l’heure actuelle, on note un boom des assureurs en risque cyber, dont le nombre se multiplie, notamment en France. Il s’agit de structures particulièrement friandes en analystes cybersécurité, puisque ce sont ces derniers qui pourront proposer aux clients l’analyse de situation et l’arsenal de protection adapté pour faire face aux menaces extérieures.

Parmi les autres recruteurs en puissance, on repère également :

  • des géants du divertissement et des réseaux sociaux, comme Facebook et Meta, le groupe auquel il appartient, Netflix ou Banijay, gros producteur et diffuseur de contenus audiovisuels ;
  • des incontournables de l’aéronautique et de l’aérospatiale, comme Safran, Airbus ou Thales ;
  • de nombreux acteurs du secteur bancaire, comme BNP Paribas, Axa ou la Société générale, notamment ;
  • des assureurs cyber comme Hiscox, Aviva et Chubb ;
  • et des spécialistes des services informatiques en tous genres.

On trouvera de nombreuses offres sur des pages comme :

  • Monster.fr ;
  • Cyberjobs.fr ;
  • LinkedIn ;
  • Indeed.com ;
  • Cyberjobs.fr ;
  • ou le site de l’Apec, parmi tant d’autres.

Salaire

En moyenne, un cyberstratégiste peut espérer débuter sa carrière avec un salaire de 3 850 euros

mensuels bruts. C’est, sans surprise, l’étendue de ses expériences et le poids de ses références qui vont permettre de négocier cette rémunération à la hausse. À un niveau senior, un cyberstratégiste peut gagner jusqu’à 9 450 euros bruts par mois environ. 

Les deux chiffres précédents correspondent à la situation d’un salarié. Lorsqu’il exerce en indépendant, le cyberstratégiste nouvellement apparu sur le marché peut fixer son taux journalier moyen à 650 euros bruts. À un niveau confirmé, il peut prétendre à une rémunération journalière qui atteint presque le double, pour atteindre 1250 euros bruts.

Source salaires : enquête interne auprès des professionnels + étude cabinet Michael Page + étude cabinet Hays.

NB : les métiers de la cybersécurité sont récents. L’estimation du salaire se base sur peu de données. Le salaire peut être parfois surévalué ou sous-évalué. Nous affinerons sa pertinence lors de la prochaine édition du Guide des Métiers de la cybersécurité.

Evolution de carrière

Le cyberstratégiste engageant une responsabilité importante sur chacune de ses préconisations, il est particulièrement bien placé pour évoluer sur des postes de haut niveau. « Lorsque les compétences techniques, analytiques et managériales de ce professionnel sont confirmées, il peut sans trop de problèmes se positionner sur un poste de Responsable de la Sécurité des Systèmes d’Information ou, mieux encore, de Directeur de la cybersécurité d’une entreprise », estime Sylvain M. « Il a aussi la possibilité de développer une activité de consultant en cyberdéfense : c’est la voie qui semble la plus naturelle.

Et puis il peut aussi avoir envie de prendre en main une mission moins large, plus précise. J’ai vu des cyberstratégistes de talent se reconvertir en chefs de sécurité projet, en auditeurs spécialistes des questions cyber ou en chercheurs en sécurité : tout dépend des affinités et des envies de changement de cadre qu’éprouve chacun ! ».

Cyberstratégiste

Les avantages et inconvénients

« Je crois qu’une des premières motivations dans un métier, c’est le fait d’apprendre : c’est ce qui fait que l’on ne s’ennuie pas – et c’est aussi ce qui donne du sens à ce que l’on fait. Le cyberstratégiste a ça pour lui. Il est obligé de se plonger en permanence dans la découverte des dernières innovations technologiques, pour savoir quels types de menaces planent sur les entreprises.

Il y a aussi cette dimension de jeu – avec de grands enjeux, certainement, mais il y a une notion de pari très stimulante. Savoir si l’on va placer ses pions au bon endroit, en matière de cyberdéfense, cela a quelque chose de très excitant. Mais c’est aussi très stressant : ce qui fait le sel du métier pèse aussi dans la balance des désavantages », explique Michael N. « Il faut aussi parler de cet aspect très gratifiant : vous avez face à vous des responsables de départements informatiques et des créateurs d’entreprises qui placent toute leur confiance en vous. C’est valorisant, mais c’est aussi beaucoup de pression qu’il faut pouvoir supporter, sur une durée assez longue ! ».