Evaluateur de la sécurité des technologies de l’information

Métier

Dans un monde où les réseaux globaux prennent toujours plus d’expansion et une importance stratégique qui ne se dément pas, les systèmes d’information d’une organisation doivent pouvoir résister aux différentes menaces qui pèsent sur eux.

Pour sécuriser leurs systèmes et leurs réseaux, les organisations doivent pouvoir compter sur des gestionnaires capables de reconnaître les menaces et les vulnérabilités des systèmes existants et d’assurer la conception et le développement de systèmes sécuritaires. C’est le propre de la mission de l’évaluateur de la sécurité des technologies de l’information.

Pour sécuriser leurs systèmes et réseaux, les organisations peuvent compter sur l’évaluateur de la sécurité des technologies de l’information

L’évaluateur de la sécurité des technologies de l’information intervient au sein de laboratoires qui réalisent des évaluations de sécurité des technologies de l’information pour des commanditaires. Il vérifie la conformité d’un produit, voire d’un système, par rapport à sa spécification de sécurité, selon une méthode et des critères normalisés, réglementaires (Critères Communs-CC, Certification de Sécurité de Premier Niveau-CSPN…) ou privés (définis par le commanditaire). Il agit en tant que tierce partie indépendante des développeurs de produits et des commanditaires de l’évaluation de sécurité.

L’évaluateur de la sécurité des technologies de l’information peut être spécialisé sur l’évaluation de produits matériels (hardwares) ou logiciels (softwares).

L’évaluateur de la sécurité des technologies de l’information peut réaliser seul l’évaluation des produits ou proposer son assistance à un commanditaire pour la préparation d’une évaluation réalisée par un autre évaluateur.

La réalisation de l’évaluation pour un évaluateur qui intervient seul revient à :

• Respecter une procédure et une méthodologie d’évaluation selon des critères préalablement définis
• Vérifier que la documentation fournie par le développeur est conforme
• Réaliser des tests techniques afin de vérifier que les fonctions de sécurité atteignent le niveau requis de robustesse en adéquation avec la cible de sécurité et le niveau de certification visé
• Évaluer la robustesse des mécanismes cryptologiques du produit
• Rédiger le rapport d’évaluation à destination de l’autorité de certification
• Participer à l’amélioration continue des moyens et des méthodes d’évaluation

Les missions d’assistance à un commanditaire pour la préparation d’une évaluation réalisée par un autre évaluateur consistent à :

• Assister à la rédaction de la cible de sécurité et des fournitures nécessaires à l’évaluation
• Conduire des tests de sécurité en amont

Compétences

Exercer comme évaluateur de la sécurité des technologies de l’information demande de solides compétences informatiques et des connaissances pointues en cybersécurité, telles que :

• Certifications et évaluations de produits : connaissance des processus d’évaluation sécuritaires (Critères Communs, CPSN, etc.)
• Sécurité de l’électronique et des architectures matérielles
• Tests d’intrusion : maîtrise des techniques d’audits techniques de sécurité
• Cyberdéfense : connaissance des techniques d’attaques et d’intrusions
• Cyberdéfense : connaissance des vulnérabilités des environnements
• Connaissance en rétro-ingénierie de systèmes (ou reverse engineering)
• Connaissance en développement (codes embarqués, langages de conception, scripting)

Qualités

• Rigueur
• Qualités rédactionnelles pour la rédaction de rapports adaptés à différents niveaux d’interlocuteurs
• Capacité à travailler en équipe

En résumé, l’évaluateur de la sécurité des technologies de l’information intervient au sein de laboratoires (CESTI) qui réalisent des évaluations de sécurité des technologies de l’information pour des commanditaires. Cet expert de la cybersécurité vérifie la conformité d’un produit, voire d’un système, par rapport à sa spécification de sécurité, selon une méthode et des critères normalisés, réglementaires ou privés.

Études et formations

Pour devenir évaluateur de la sécurité des technologies de l’information, vous devrez justifier d’un diplôme informatique de niveau Bac+3 à Doctorat et d’une spécialisation en cybersécurité. Ce métier est accessible à partir d’une expérience professionnelle en audit de sécurité. Pour certains types d’évaluations, des profils doctorants spécialisés peuvent être nécessaires (cryptologie notamment).

Salaire

La rémunération d’un évaluateur de la sécurité des technologies de l’information varie selon le Centre d’Évaluation de la Sécurité des Technologies de l’Information au sein duquel il intervient.

Le salaire médian pour les emplois d’évaluateurs de la sécurité des technologies de l’information en France est de 39 000 € par an. Les postes de niveau débutant commencent avec un salaire environnant 32 000 € par an, tandis que les travailleurs les plus expérimentés perçoivent jusqu’à 124 800 € par an.

Dans quelle entreprise travailler ?

Les évaluateurs de la sécurité des technologies de l’information interviennent au sein de Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI) agrées.

CESTI qui recrutent des évaluateurs de la sécurité des technologies de l’information

CESTI agréés pour les évaluations CC et ITSEC dans le domaine technique logiciels et équipements réseaux :

Amossys

Oppida

CESTI agréés pour les évaluations CC et ITSEC dans les domaines techniques composants électroniques, microélectroniques et logiciels embarqués :

CEA – Leti

Serma Safety & Security

Thales (TCS-CNES)

CESTI agréés pour les évaluations CC dans le domaine des équipements matériels avec boîtiers sécurisés :

Thales (TCS-CNES)

AMOSSYS + SERMA

CEA-LETI

OPPIDA + SERMA

CESTI agréés pour la Certification de Sécurité de Premier Niveau (CSPN) :

ACCEIS

Amossys

CEA – Leti

EDSI

Lexfo

Oppida

Quarkslab

Serma Safety & Security

Synacktiv

Thales (TCS-CNES)

Trusted Labs

Des offres d’emploi pour exercer en tant qu’évaluateur de la sécurité des technologies de l’information sont disponibles sur :

Monster. fr

Jobrapido.com

LinkedIn

Simplyhired.fr

Wizbii.com

Indeed.com

Jooble.org

Apec.fr

Glassdoor.fr

Evaluateur de la sécurité des technologies de l’information freelance

L’évaluateur de la sécurité des technologies de l’information peut exercer en tant que freelance indépendant. La première option consiste à créer un statut d’auto-entrepreneur ou une société individuelle auprès de la Chambre de Commerce. Il sera ainsi possible de facturer ses prestations à tout type de clients.

Néanmoins, ce choix est encore plutôt rare, dans la mesure où l’évaluateur de la sécurité des technologies de l’information doit être rattaché à un organisme agrée (CESTI) pour exercer.

Evolution de carrière

Les tendances et facteurs d’évolution du métier indiquent que l’évaluateur de la sécurité des technologies de l’information devra prendre en compte dans l’exercice des ses missions, les réglementations internationales, notamment celles liées à la certification des produits connectés (IOT).

Les avantages et inconvénients

L’évaluateur de la sécurité des technologies de l’information est un expert de la cybersécurité qui doit convoquer quotidiennement l’ensemble des ces connaissances en cybersécurité (technique, veille, prospective) dans ses missions d’évaluation. C’est donc un métier complet .

Ce métier, qui évolue aussi vite que les technologies de l’information, est à réserver aux profils qui savent s’adapter au changement et qui ne craignent pas de devoir réactualiser fréquemment leurs connaissances  par de la formation continue.

Comment devenir évaluateur de la sécurité des technologies de l’information ?

L’évaluateur de la sécurité des technologies de l’information vérifie la conformité d’un produit, voire d’un système, par rapport à sa spécification de sécurité, selon une méthode et des critères normalisés, réglementaires ou privés. La profession est accessible avec l’obtention d’un diplôme en informatique de niveau Bac+3 à Doctorat comprenant une spécialisation en cybersécurité. Ce métier requiert une expérience professionnelle en audit de sécurité. Le salaire médian pour les emplois d’évaluateurs de la sécurité de l’information en France est de 39 000 € par an. Les tendances et facteurs d’évolution du métier indiquent que l’évaluateur de la sécurité des technologies de l’information devra prendre en compte dans l’exercice des ses missions, les réglementations internationales, notamment celles liées à la certification des produits connectés (IOT).

En résumé