| Niveau d’études : | Bac+ 3 à Doctorat |
| Bac conseillé : | Scientifique |
| Employabilité : | Bonne |
| Salaire débutant : | 3 000€ |
| Salaire confirmé : | 10 000€ |
| Mobilité : | Faible |
| Code ROME : | M1802, Expertise et support en systèmes d’information |
| Code FAP : | M2Z, Informatique et Télécommunications |
Autres intitulés du métier : Responsable évaluation ; Evaluatrice de la sécurité des technologies de l’information.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110Métier
Dans un monde où les réseaux globaux prennent toujours plus d’expansion et une importance stratégique qui ne se dément pas, les systèmes d’information d’une organisation doivent pouvoir résister aux différentes menaces qui pèsent sur eux.
Pour sécuriser leurs systèmes et leurs réseaux, les organisations doivent pouvoir compter sur des gestionnaires capables de reconnaître les menaces et les vulnérabilités des systèmes existants et d’assurer la conception et le développement de systèmes sécuritaires. C’est le propre de la mission de l’évaluateur de la sécurité des technologies de l’information.
Pour sécuriser leurs systèmes et réseaux, les organisations peuvent compter sur l’évaluateur de la sécurité des technologies de l’information
L’évaluateur ou l’évaluatrice de la sécurité des technologies de l’information intervient au sein de laboratoires qui réalisent des évaluations de sécurité des technologies de l’information pour des commanditaires. Il/elle vérifie la conformité d’un produit, voire d’un système, par rapport à sa spécification de sécurité, selon une méthode et des critères normalisés, réglementaires (Critères Communs-CC, Certification de Sécurité de Premier Niveau-CSPN…) ou privés (définis par le commanditaire). Il/elle agit en tant que tierce partie indépendante des développeurs de produits et des commanditaires de l’évaluation de sécurité.
L’évaluateur de la sécurité des technologies de l’information peut être spécialisé sur l’évaluation de produits matériels (hardwares) ou logiciels (softwares).
L’évaluateur de la sécurité des technologies de l’information peut réaliser seul l’évaluation des produits ou proposer son assistance à un commanditaire pour la préparation d’une évaluation réalisée par une autre évaluatrice.
La réalisation de l’évaluation pour un évaluateur qui intervient seul revient à :
- Respecter une procédure et une méthodologie d’évaluation selon des critères préalablement définis
- Vérifier que la documentation fournie par le développeur est conforme
- Réaliser des tests techniques afin de vérifier que les fonctions de sécurité atteignent le niveau requis de robustesse en adéquation avec la cible de sécurité et le niveau de certification visé
- Évaluer la robustesse des mécanismes cryptologiques du produit
- Rédiger le rapport d’évaluation à destination de l’autorité de certification
- Participer à l’amélioration continue des moyens et des méthodes d’évaluation
Les missions d’assistance à un commanditaire pour la préparation d’une évaluation réalisée par un autre évaluateur consistent à :
- Assister à la rédaction de la cible de sécurité et des fournitures nécessaires à l’évaluation
- Conduire des tests de sécurité en amont
Compétences
Exercer comme évaluatrice de la sécurité des technologies de l’information demande de solides compétences informatiques et des connaissances pointues en cybersécurité, telles que :
- Certifications et évaluations de produits : connaissance des processus d’évaluation sécuritaires (Critères Communs, CPSN, etc.)
- Sécurité de l’électronique et des architectures matérielles
- Tests d’intrusion : maîtrise des techniques d’audits techniques de sécurité
- Cyberdéfense : connaissance des techniques d’attaques et d’intrusions
- Cyberdéfense : connaissance des vulnérabilités des environnements
- Connaissance en rétro-ingénierie de systèmes (ou reverse engineering)
- Connaissance en développement (codes embarqués, langages de conception, scripting)
Qualités
- Rigueur
- Qualités rédactionnelles pour la rédaction de rapports adaptés à différents niveaux d’interlocuteurs
- Capacité à travailler en équipe
En résumé, l’évaluateur de la sécurité des technologies de l’information intervient au sein de laboratoires (CESTI) qui réalisent des évaluations de sécurité des technologies de l’information pour des commanditaires. Cet expert de la cybersécurité vérifie la conformité d’un produit, voire d’un système, par rapport à sa spécification de sécurité, selon une méthode et des critères normalisés, réglementaires ou privés.
Études et formations
Pour devenir évaluateur de la sécurité des technologies de l’information, vous devrez justifier d’un diplôme informatique de niveau Bac+3 à Doctorat et d’une spécialisation en cybersécurité. Ce métier est accessible à partir d’une expérience professionnelle en audit de sécurité. Pour certains types d’évaluations, des profils doctorants spécialisés peuvent être nécessaires (cryptologie notamment).
Salaire
La rémunération d’un évaluateur de la sécurité des technologies de l’information varie selon le Centre d’Évaluation de la Sécurité des Technologies de l’Information au sein duquel il intervient.
Le salaire médian pour les emplois d’évaluateurs de la sécurité des technologies de l’information en France est de 39 000 € par an. Les postes de niveau débutant commencent avec un salaire environnant 32 000 € par an, tandis que les travailleurs les plus expérimentés perçoivent jusqu’à 124 800 € par an.
Dans quelle entreprise travailler ?
Les évaluateurs de la sécurité des technologies de l’information interviennent au sein de Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI) agrées.
CESTI qui recrutent des évaluateurs de la sécurité des technologies de l’information
CESTI agréés pour les évaluations CC et ITSEC dans le domaine technique logiciels et équipements réseaux :
- Amossys
- Oppida
CESTI agréés pour les évaluations CC et ITSEC dans les domaines techniques composants électroniques, microélectroniques et logiciels embarqués :
- CEA – Leti
- Serma Safety & Security
- Thales (TCS-CNES)
CESTI agréés pour les évaluations CC dans le domaine des équipements matériels avec boîtiers sécurisés :
- Thales (TCS-CNES)
- AMOSSYS + SERMA
- CEA-LETI
- OPPIDA + SERMA
CESTI agréés pour la Certification de Sécurité de Premier Niveau (CSPN) :
- ACCEIS
- Amossys
- CEA – Leti
- EDSI
- Lexfo
- Oppida
- Quarkslab
- Serma Safety & Security
- Synacktiv
- Thales (TCS-CNES)
- Trusted Labs
Des offres d’emploi pour exercer en tant qu’évaluateur de la sécurité des technologies de l’information sont disponibles sur :
- Monster. fr
- Jobrapido.com
- Simplyhired.fr
- Wizbii.com
- Indeed.com
- Jooble.org
- Apec.fr
- Glassdoor.fr
Evaluateur de la sécurité des technologies de l’information freelance
L’évaluateur de la sécurité des technologies de l’information peut exercer en tant que freelance indépendant. La première option consiste à créer un statut d’auto-entrepreneur ou une société individuelle auprès de la Chambre de Commerce. Il sera ainsi possible de facturer ses prestations à tout type de clients.
Néanmoins, ce choix est encore plutôt rare, dans la mesure où l’évaluatrice de la sécurité des technologies de l’information doit être rattaché à un organisme agrée (CESTI) pour exercer.
Evolution de carrière
Les tendances et facteurs d’évolution du métier indiquent que l’évaluateur de la sécurité des technologies de l’information devra prendre en compte dans l’exercice des ses missions, les réglementations internationales, notamment celles liées à la certification des produits connectés (IOT).
Les avantages et inconvénients
L’évaluateur de la sécurité des technologies de l’information est un expert de la cybersécurité qui doit convoquer quotidiennement l’ensemble des ces connaissances en cybersécurité (technique, veille, prospective) dans ses missions d’évaluation. C’est donc un métier complet .
Ce métier, qui évolue aussi vite que les technologies de l’information, est à réserver aux profils qui savent s’adapter au changement et qui ne craignent pas de devoir réactualiser fréquemment leurs connaissances par de la formation continue.
Comment devenir évaluateur de la sécurité des technologies de l’information ?
L’évaluateur de la sécurité des technologies de l’information vérifie la conformité d’un produit, voire d’un système, par rapport à sa spécification de sécurité, selon une méthode et des critères normalisés, réglementaires ou privés. La profession est accessible avec l’obtention d’un diplôme en informatique de niveau Bac+3 à Doctorat comprenant une spécialisation en cybersécurité. Ce métier requiert une expérience professionnelle en audit de sécurité. Le salaire médian pour les emplois d’évaluateurs de la sécurité de l’information en France est de 39 000 € par an. Les tendances et facteurs d’évolution du métier indiquent que l’évaluatrice de la sécurité des technologies de l’information devra prendre en compte dans l’exercice des ses missions, les réglementations internationales, notamment celles liées à la certification des produits connectés (IOT).
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110Devenir Evaluateur.rice de la sécurité des technologies de l'information
L'évaluateur de la sécurité des technologies de l’information intervient au sein de laboratoires (CESTI) qui réalisent des évaluations de sécurité des technologies de l’information pour des commanditaires. Cet expert de la cybersécurité vérifie la conformité d’un produit, voire d’un système, par rapport à sa spécification de sécurité, selon une méthode et des critères normalisés, réglementaires ou privés.
Le salaire médian pour les emplois d'évaluateurs de la sécurité de l’information en France est de 39 000 € par an. Les postes de niveau débutant commencent avec un salaire environnant 32 000 € par an, tandis que les travailleurs les plus expérimentés gagnent jusqu'à 124 800 € par an.
Pour devenir évaluatrice de la sécurité des technologies de l’information, vous devrez justifier d’un diplôme en informatique de niveau Bac+3 à Doctorat et d’une spécialisation en cybersécurité. Ce métier est accessible à partir d’une expérience professionnelle en audit de sécurité.
Au lycée, nous vous conseillons de suivre un Bac général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou sciences informatiques.
Pour devenir évaluateur de la sécurité des technologies de l'information, vous devrez justifier d'un diplôme en informatique de niveau Bac+3 à Doctorat et d'une spécialisation en cybersécurité. Ce métier est accessible à partir d'une expérience professionnelle en audit de sécurité.