CHEF DE PROJET SÉCURITÉ Chef de projet sécurité
Métiers

Incident Response Team Member

Si vous aimez avoir un impact concret – et mesurable au jour le jour – et que l’univers informatique et ses pièges vous passionnent, le métier d’Incident Response Team Member pourrait bien être fait pour vous. Traqueur de menaces et analyste chevronné des occurrences de hacking, ce technicien qui n’a pas peur des détails joue un rôle très concret et absolument central dans le mécanisme de protection et de défense de nos structures. Passons en revue les forces qu’il doit apporter et les perspectives qui s’offrent à lui.

Fiche métier mise à jour le
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Bonne
Salaire débutant : 3.300 €
Salaire confirmé : 6.250 €
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Métier

Comme son titre l’indique clairement, l’Incident Response Team Member fait partie d’une équipe. Cette équipe joue un rôle pivot dans le traitement des risques de cybersécurité, potentiels ou avérés. Selon la structure, cette équipe peut prendre la forme d’un CERT (Computer Emergency Response Team) ou d’un CSIRT (Computer Security Incident Response Team).

En tant que spécialiste en charge de répondre aux incidents de sécurité, l’Incident Response Team Member a pour vocation de conduire toute une série d’analyses techniques sur les systèmes d’information. Ce travail doit permettre de repérer de possibles failles, à corriger avant une tentative d’attaque. Et, face à l’offensive concrète d’un cyberattaquant, il devra tirer toutes les conclusions utiles pour améliorer le système de défense existant.

En français, on parlera souvent d’analyste réponse aux incidents de sécurité. On rencontre aussi les termes d’analyste CERT ou d’analyste CSIRT, ce qui confirme la position essentielle de ce professionnel au sein de ces unités. Plus rarement, on évoquera l’analyste traitement d’incidents ou le spécialiste en investigation numérique.

On entendra aussi parler, dans la pratique anglaise, d’Incident Responder. Ce dernier peut choisir de se spécialiser dans un domaine particulier et se démarquer en tant qu’analyste système, analyste réseau ou analyste de codes malveillants.

Missions

L’Incident Response Team Member a un triple rôle :

– d’anticipation et prévention ;

– d’analyse détaillée ;

– et de conseil.

En effet, ce professionnel clé de la bulle cyber est tenu à la fois de capter les tendances des risques cyber à l’échelle globale et à l’échelle de la structure elle-même, de décrypter les symptômes d’une attaque lorsque celle-ci survient et, enfin, de réorienter la politique de cyberdéfense de l’entreprise et d’améliorer les outils de protection existants.

Concernant le volet de prévention, l’Incident Responder a pour mission de :

– conduire une veille complète et proactive sur l’apparition de nouvelles vulnérabilités système, de nouveaux types d’attaques et de nouvelles technologies prisées des hackers ;

– mettre à jour les bases de données sur le suivi des attaques potentielles ;

– mettre à jour les outils d’investigation du risque cyber et en proposer, si possible et pertinent, de nouveaux ;

– mettre en place des indicateurs de compromission.

Concernant l’analyse-même des attaques cyber, il devra :

– analyser les relevés techniques émanant du CERT ou du CSIRT dans le but de déterminer le mode opératoire de l’attaquant, son objectif, ainsi que l’étendue de la compromission ;

– remettre des rapports d’investigation, nourris d’éléments techniques et de parties explicatives, sur la base des données collectées.

À travers ces travaux d’analyse, l’Incident Response Team Member renforce ses compétences en conseil et se trouve parfaitement préparé pour :

– préconiser des mesures de contournement et de correction de l’incident ;

– préconiser des mesures d’amélioration des capacités d’analyse, notamment grâce à l’extraction des indicateurs de compromission ;

– préconiser des axes d’amélioration des outils de protection cyber.

Les responsabilités de l’Incident Response Team Member

« L’Incident Response Team Member, c’est le soldat qui fait en sorte qu’une attaque cyber ne soit pas une fatalité », résume Adrien M., employé à ce poste dans une grande banque d’investissement. « Faire en sorte que l’incident ne soit pas une fatalité, cela veut dire pouvoir l’éviter, en étant à l’affût des faiblesses techniques – de notre côté, entreprise – et des forces techniques de leur côté – les hackers. » Cela veut dire aussi « tirer le meilleur parti du pire qui vient juste de nous arriver : tirer des enseignements utiles de l’incident, et le transformer en force pour l’avenir ».

Compétences

Pour être opérationnel, un analyste de réponse aux incidents doit être armé de plusieurs compétences élémentaires. Il doit notamment :

– maîtriser parfaitement les mécanismes relatifs aux systèmes d’information en général et ceux des SI de sa structure en particulier ;

– connaître tous les détails de l’architecture du système d’information de sa structure ;

– bien connaître les outils d’analyse des vulnérabilités et des virus informatiques ;

– savoir analyser les flux de réseaux ;

– avoir une vision claire et sans cesse à jour du panorama des techniques d’attaque ;

– et maîtriser les techniques du scripting.

Qualités

Un bon analyste réponse aux incidents de sécurité – c’est-à-dire un analyste efficace et épanoui dans ses fonctions – doit faire preuve d’un goût pour le travail en équipe très prononcé. Il doit se montrer apte à transmettre, dans toutes ses communications écrites, des informations d’une précision et d’une clarté sans faille. Cette compétence en communication écrite s’avère notamment essentielle pour la rédaction de rapports adaptés à différents types d’interlocuteurs – techniciens comme décisionnaires. L’aptitude à la vulgarisation ne doit pas être sous-estimée : elle est cruciale pour embarquer l’ensemble de la structure dans la construction d’un système de défense opérationnel.

Comme sur de nombreux postes ayant trait aux enjeux sensibles de la sphère cyber,  l’Incident Response Team Member doit faire preuve d’un sens éthique inaltérable. Il doit par ailleurs pouvoir maintenir un niveau de qualité et de pertinence constant, même pendant les périodes de crise et de tension, dès lors qu’une intrusion imminente ou avérée met en péril les systèmes.

Niveau d’études nécessaire

Il est nécessaire d’avoir atteint un niveau Bac +5 pour intégrer l’équipe d’un CERT ou d’un CSIRT sur ce type de poste. Comme souvent, une spécialisation en cybersécurité sera fortement appréciable, en plus des compétences indispensables sur le plan de l’informatique et de la technique pure.

Quelle formation ?

Vous vous demandez comment bien tracer votre trajectoire pour devenir Incident Responder ? La Guardia School vous propose une formation complète, en deux temps, pour acquérir l’ensemble des atouts techniques mais aussi comportementaux qui vous aideront à faire la différence sur ce type de mission. 

À travers un cursus découpé en un niveau Bachelor (titre RNCP de niveau 6), sur 3 ans, et un niveau Master, préparé en 2 ans, l’école organise une montée en puissance sur les compétences purement informatiques. Au cours de votre Bachelor, vous bénéficierez de trois piliers spécifiques dédiés à cette question :

– Les basiques de l’informatique ;

– Développement informatique ;

– Infrastructure et réseaux systèmes.

Au cours des deux années suivantes, c’est un diplôme d’expert en cybersécurité (titre RNCP de niveau 7) que vous serez amené à préparer. Dans ce cadre, deux piliers très forts sont organisés sur la force technique :

– un pilier Conception technique et projets technologiques, 

– et un pilier Stratégie de la cybersécurité.

À ce stage, les étudiants auront intégré tout un arsenal relatif aux langages de programmation et des connaissances des OS,  à l’architecture des systèmes d’information, aux Hardening Systems, à la gestion des accès et des identités IAM, à la virtualisation et au cloud, à la cryptographie, à la gestion des données, ainsi que à l’analyse forensique.

Des périodes d’immersion professionnelle et de stages, à chacune des deux étapes, assurent une connexion parfaite avec les enjeux techniques actuels.

Bachelor (Titre RNCP niveau 6)
Diplôme obtenu : Titre école bachelor (Bac+3)
Admission post-bac : Bac généraliste ou technologique
Admission parallèle : Possible en 3e année
Durée totale de la formation : 3 ans
Campus Lyon et Paris
Enseignement 8 unités thématiques
3e année En alternance ou en initial avec stage alterné

 

Master Expert cybersécurité (RNCP niveau 7)
Diplôme obtenu : Titre école MSc (Bac+5)
Pré-requis : Bac+3 ou Bac+4 validés
Durée totale de la formation : 2 ans
Campus Lyon et Paris
Alternance Chaque année, 3 semaines en entreprise / 1 semaine à l’école

 

Dans quel secteur travailler ?

L’Incident Response Team Member va jouer un rôle déterminant auprès de tous les grands acteurs du secteur industriel, tout comme auprès des acteurs du secteur des assurances ou de la banque. L’ensemble des plateformes faisant usage, au quotidien, de données personnelles d’utilisateurs sont elles aussi d’importants recruteurs potentiels : des sites de divertissement tous azimuts – jeu vidéo, streaming vidéo ou musical – aux services de e-commerce, tout le monde est concerné. Les assureurs en cybersécurité, de plus en plus nombreux, sont une autre piste à surveiller de très près.

Les entreprises qui recrutent

Dans l’ensemble des secteurs mentionnés précédemment, on peut signaler plusieurs structures cherchant à renforcer régulièrement leurs équipes d’analystes réponse aux incidents. Parmi celles-ci, on trouve notamment :

  • Axa et la CACIB dans le secteur bancaire ;
  • Spotify, Netflix et Disney+ du côté du divertissement et du streaming ;
  • Bouygues Telecom ;
  • Orange Cyberdefense ;
  • le groupe Thales, le groupe Dassault et le groupe PSA ;
  • de nombreux acteurs du jeu vidéo, comme Ubisoft ou Nintendo.

Pour rester informé des meilleurs offres, on pourra consulter :

  • Monster.fr ;
  • Cyberjobs.fr ;
  • LinkedIn ;
  • Indeed.com ;
  • HelloWork.com ;
  • OptionCarriere.com ;
  • ou le site de l’Apec, notamment.

Salaire

Si l’on observe la moyenne des salaires au moment de la première prise de poste, un Incident Response Team Member peut espérer gagner environ 3 300 euros bruts par mois. Cette rémunération peut être revue à la hausse dès lors que le professionnel justifie d’une formation en cybersécurité particulièrement poussée. La même règle s’applique lorsqu’apparaît la maîtrise d’un code ou d’un langage rare ou, par exemple, une spécialisation précise en tant qu’analyste réseau, analyste système ou analyste de codes malveillants. Pour un niveau senior, on relève un salaire mensuel moyen de 6 250 euros bruts.

Évolution de carrière

S’il n’a pas abordé son premier poste en ayant déjà une spécialisation, l’Incident Response Team Member peut gravir une sorte d’échelon supérieur en corrigeant cela : il peut faire valoir une compétence supérieure – et renégocier son salaire en conséquence – en se spécialisant, dans ses fonctions ou à travers une formation, en tant que spécialiste réseau, spécialiste système ou expert en codes malveillants (comme déjà évoqué précédemment).

À un niveau similaire, l’analyste incidents peut choisir une fonction d’analyste en menace de cybersécurité, qui le conduira à avoir une vision plus globale des problèmes de cyberdéfense, plutôt que d’être concentré sur des incidents et des menaces définis de manière plus précise.

En développant de manière substantielle ses capacités stratégiques et managériales, ce professionnel peut aussi espérer évoluer sur un poste de gestionnaire de crise de cybersécurité. Parfaitement familier de tous les détails techniques, il pourra pleinement se concentrer – en cas de crise – sur la définition de plans de réaction à même d’embarquer toute la structure en un temps record.

Les analystes réponse aux incidents de sécurité justifiant d’une longue carrière peuvent, à terme, espérer occuper les fonctions de responsable du CERT ou du CSIRT, un groupe dont ils auront été des éléments centraux pendant des années.

Les avantages et les inconvénients

« Être la personne en charge d’organiser la réponse aux attaques et aux incidents, cela veut dire être toujours en embuscade. Donc maintenir, en permanence, un certain niveau de tension. La responsabilité est grande, même si d’autres gèrent l’orchestration de cette réponse. », explique Adrien M. Parmi les avantages listés fréquemment, on note un renouvellement fréquent des connaissances et des défis intellectuels. Cela implique immanquablement une notion d’effort intellectuel qui, à l’occasion, peut être rangé du côté des difficultés du poste. Nombreux sont les professionnels qui mettent en avant une absence de monotonie au quotidien, mais un besoin d’évoluer et de passer à d’autres mécaniques de travail après 7 à 10 années d’exercice. 

En résumé

Quelles sont les missions de l’incident response team member ?

L’incident response team member est tenu à la fois de capter les tendances des risques cyber à l’échelle globale et à l’échelle de la structure elle-même, de décrypter les symptômes d’une attaque lorsque celle-ci survient et, enfin, de réorienter la politique de cyberdéfense de l’entreprise et d’améliorer les outils de protection existants.

Quel est le salaire de l’incident response team member ?

Si l’on observe la moyenne des salaires au moment de la première prise de poste, un Incident Response Team Member peut espérer gagner environ 3 300 euros bruts par mois. Pour un niveau senior, on relève un salaire mensuel moyen de 6 250 euros bruts.

Quel niveau d’étude et formation pour devenir incident response team member ?

Il est nécessaire d’avoir atteint un niveau Bac +5 pour intégrer l’équipe d’un CERT ou d’un CSIRT sur ce type de poste. Comme souvent, une spécialisation en cybersécurité sera fortement appréciable, en plus des compétences indispensables sur le plan de l’informatique et de la technique pure.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou numérique et sciences informatiques.

Métiers proches d’Incident response team member

Continuez vos recherches autour des métiers de la cybersécurité :