consultant-cyber Consultant en Cybersécurité
Métiers

Manager de risques

Savoir prendre la bonne décision au bon moment, mener des équipes nombreuses dans la bonne direction et ne jamais perdre de vue les urgences stratégiques : cette ligne de conduite vous est familière ? Vous disposez donc peut-être des codes indispensables pour réussir au poste de manager de risques spécialisé en cybersécurité. À l’heure où les attaques informatiques n’ont jamais été aussi dangereuses, sur le plan de la quantité et de l’inventivité, la personne en charge de manœuvrer pour activer la défense revêt un rôle central – et qui devrait, à l’avenir, s’intensifier encore et encore.

Fiche métier mise à jour le
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Bonne
Salaire débutant : 3.300 €
Salaire confirmé : 6.750 €
Mobilité : Bonne
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Métier

Depuis 2019, Samira N. intervient comme manager de risques cyber – « gestionnaire » sur sa fiche de poste – auprès d’un grand groupe du secteur aéronautique. Les préférences pour la terminologie anglaise ou française ne changent rien au contenu de ce métier à haute responsabilité :  « Le gestionnaire de risques cyber, c’est un peu le chef d’orchestre qui s’assure qu’il n’y ait pas de fausses notes dans la partition de défense. Et c’est lui qui gère les accords à la baguette dès lors qu’un hacker a réussi à exploiter une faille ! ».

Dans la plupart des cas, le manager de risques organise son travail au sein du CSIRT (Computer Security Incident Response Team) ou du CERT (Computer Emergency Response Team).

Intégrer ou externaliser

Les grands groupes ont pris l’habitude de recruter un manager des risques pour le placer directement auprès de leur CERT ou de leur CSIRT. Plus la taille d’une entreprise est importante – ou plus le volume de données traitées est conséquent, plus il est probable de rencontrer ce métier parfaitement intégré dans l’entreprise.

Certaines structures font cependant le choix de s’attacher les services d’un gestionnaire des risques externe, provenant d’une agence spécialisées en sujets cyber ou exerçant tout simplement en indépendant. En règle générale, cette décision peut être motivée par deux facteurs :

– l’entreprise estime devoir faire face à un risque accru sur une période limitée, ne nécessitant pas la création d’une fonction spécifique et pérenne pour gérer ces questions ;

– l’entreprise souhaite bénéficier de l’expérience transverse, éprouvée par de nombreux cas différents, dans différents secteurs d’activité, d’un manager de risques qui a d’ores et déjà prêté main forte à plusieurs autres entreprises. Ce cas de figure donne l’idée d’une mise à jour permanente sur les dernières tendances de la menace cyber.

Dans les deux cas de figure, le manager de risques est en bonne posture pour proposer une compétence forte : tout est question de rigueur et de curiosité ! Indépendamment de son statut, il sera conduit à travailler de manière étroite avec les équipes du CSIRT ou du CERT.

Missions

Le manager de risques en cybersécurité est l’un des premiers remparts de la protection et l’un des premiers maillons de la réaction en cas d’attaque avérée contre les systèmes informatiques. Le diagnostic des risques potentiels et des risques avérés est un exercice que ce professionnel réalise à tous les instants, dans un but précis : faire en sorte que l’apparition d’un risque cyber soit toujours contenu sur le plus petit laps de temps possible, en visant la durée zéro. Le manager de risques est, à tout instant, le point de référence des spécialistes de la technique et des instances décisionnaires lorsqu’il s’agit de faire face à une crise de type cyber.

Les responsabilités du Manager de risques cyber

C’est à lui que revient la mission d’évaluer l’ampleur d’une crise, lorsqu’elle survient, et de mettre en place, le plus rapidement possible, toutes les actions devant permettre sa résolution.

Il endosse un rôle essentiel de gestion des équipes, notamment des équipes techniques : à lui de s’assurer que tous les agents sur le front appliquent ses recommandations et la politique de sécurité à la lettre et qu’ils mènent une action de réponse cohérente.

Gérer un risque cyber, c’est aussi se prêter à une mission de conseil auprès des directions métier afin de les inciter à prendre les bonnes mesures préventives, à s’adapter à la politique de cyberdéfense globale de la structure et à réagir sans attendre lorsqu’un incident est détecté.

En un mot, le manager de risques est l’un des piliers de la résolution des crises de cybersécurité et son aide est essentielle pour aider une entreprise – ou toute autre structure – à se prémunir contre des menaces cyber de plus en plus présentes et impactantes.

Compétences

Le manager de risques cyber assume un double rôle : il doit être force de proposition pour prévenir les risques cyber et le moteur de la réaction lorsqu’une faille de sécurité a été exploitée par un attaquant.

Dans le cadre de son activité de prévention, il est attendu de ce manager bien particulier :

– qu’il conseille le management et tous les décisionnaires impliqués sur les sujets cyber en matière de politique de défense ;

– qu’il définisse concrètement les outils de gestion des crises potentielles, en pointant les procédures et les ressources nécessaires, entre autres ;

– qu’il s’assure que tous les jalons de préparation des crises ont bien été posés et que les outils de réaction sont bien disponibles ;

– prendre en charge la formation des techniciens de support et autres intervenants techniques impliqués dans la gestion des crises de sécurité.

C’est aussi et surtout au manager de risques qu’il revient de tester et confirmer la capacité de la structure à réagir efficacement à une attaque.

Face à la détection d’une tentative d’attaque ou d’une attaque réussie, il se devra :

– de mettre en place un mécanisme de gestion de crise efficace ;

– d’animer la cellule de gestion de crise en impliquant de manière proportionnée les différentes parties impliquées et en organisant les équipes d’intervention ;

– d’assurer la bonne circulation des informations entre toutes parties prenantes, dans un but d’efficacité et de réactivité ;

– de vérifier la consistance et la cohérence du message transmis aux différents acteurs impliqués ;

– d’assurer le suivi de toutes les actions correctives prises suite à l’incident ;

– de faire le lien avec les autorités et instances de dépôt de plainte, ainsi qu’avec les divers experts et assureurs pouvant être sollicités ;

– de planifier des réunions de revue post-crise afin d’enregistrer et de tirer partie des difficultés et particularités relevées pendant l’intervention, ce qui permettra à terme d’améliorer les mécanismes de prévention, de détection et de traitement des attaques de type cyber.

Qualités

Le gestionnaire en risques liés à la cybersécurité doit principalement faire preuve :

– d’une capacité à la gestion d’équipes dans un climat de haute tension ;

– d’une compréhension précise des systèmes d’information et des enjeux de la cybersécurité ;

– d’un esprit de rigueur permettant la gestion pertinente d’une documentation multiple et importante ;

– d’un esprit de synthèse à toute épreuve, garantie d’une communication efficace et d’une transmission rapide des informations ;

– et d’une organisation sans faille, dans tous les domaines, celui de la gestion de l’information comme celui de la gestion humaine.

Niveau d’études nécessaire

Le diplôme minimum requis pour se positionner sur un poste de manager des risques cyber est un Bac +5. On appréciera fortement une spécialisation sur les questions cyber. Les professionnels combinant de bonnes bases techniques (de niveau Bachelor) avec un Master davantage axé sur le management tirent souvent leur épingle du jeu.

On demande en règle générale 5 ans d’exercice sur des postes relatifs à la question cyber avant d’accepter de confier des responsabilités de manager du risque.

Quelle formation ?

Si le profil de manager en risques se situe davantage du côté des compétences non techniques que des compétences techniques, il reste tout de même placé sur le fil et demande un bon équilibrage entre ces savoir-être et ces savoir-faire. Les formations de la Guardia School ont justement été pensées pour apporter un socle mixte à de futurs spécialistes de haut niveau.

Que ce soit au cours des 3 ans de la formation de niveau Bachelor ou au moment de suivre les cours de type Master, notre école s’applique à ;

– poser et déployer toutes les bases de la connaissance informatique, en progressant vers un niveau de plus en plus expert et en connexion permanente avec les sujets de pointe et d’innovation ;

– développer des capacités fortes sur le plan comportemental, à la croisée de la gestion de projet, de la communication écrite et orale, de la force d’analyse et de l’art de convaincre.

L’ensemble de ces axes d’apprentissage font des deux cursus diplômants de la Guardia School de parfaites préparations pour s’orienter vers un avenir de gestionnaire en risques cyber.

Bachelor (Titre RNCP niveau 6)
Diplôme obtenu : Titre école bachelor (Bac+3)
Admission post-bac : Bac généraliste ou technologique
Admission parallèle : Possible en 3e année
Durée totale de la formation : 3 ans
Campus Lyon et Paris
Enseignement 8 unités thématiques
3e année En alternance ou en initial avec stage alterné

 

Master Expert cybersécurité (RNCP niveau 7)
Diplôme obtenu : Titre école MSc (Bac+5)
Pré-requis : Bac+3 ou Bac+4 validés
Durée totale de la formation : 2 ans
Campus Lyon et Paris
Alternance Chaque année, 3 semaines en entreprise / 1 semaine à l’école

 

Dans quel secteur travailler ?

Sans grande surprise, tous les secteurs sous haute tension cyber, c’est-à-dire fortement soumis au risque d’attaque informatique, sont demandeurs de managers de risques performants. Sont concernés tous les domaines en contact avec un volume important de données personnelles, comme les sites de e-commerce, les banques et assurances, les opérateurs de téléphonie mobile et de services internet, tout comme les plateformes de streaming et autres diffuseurs de divertissement.

On peut ajouter à cette liste les acteurs de la sphère numérique au sens large, et notamment les créateurs d’applications en tous genres.

Divers ministères et structures publiques au rôle stratégique prennent également soin de s’attacher les services d’un expert en management du risque cyber, là où l’on se contentait il y a encore quelques années de recruter de « simples » experts en gestion de crise.

Les entreprises qui recrutent

Parmi les recruteurs à surveiller de près, on peut inclure sans hésitation :

  • des géants de l’industrie du transport et de la construction de véhicules, comme Airbus, le groupe Bosch ou Naval Group ;
  • des leaders de la transformation digitale, comme Atos ;
  • France Cyber Maritime, association créée à l’incitation des pouvoirs publics pour contribuer au renforcement de la cybersécurité d’un secteur vital pour le fonctionnement et l’économie du pays ;
  • des assureurs cyber et des cabinets spécialisés dans les questions de cybersécurité, à l’image de FIDENS ou d’ALLISTIC ; 
  • Natixis, la Société Générale et le groupe BPCE, parmi d’autres références du secteur bancaire ;
  • ou encore Framatome, un des leaders de l’énergie nucléaire.

On trouvera de nombreuses offres sur des pages comme :

  • Cyberjobs.fr ;
  • Talents.ssi.gouv.fr ;
  • la Banque interministérielle de l’emploi public (BIEP) ;
  • Indeed.com ;
  • Simplyhired.fr ;
  • Wizbii.com ;
  • ou encore Jooble.org, parmi tant d’autres.

Salaire

Un manager de risques qui fait ses premiers pas peut valoriser ses compétences à 3 300 euros bruts mensuels minimum. Toute spécialisation de niveau avancé en cybersécurité peut donner lieu à une majoration – on visera, dans ce cas, un salaire d’entrée de 3450 euros bruts par mois environ.

Un manager de risques qui dispose de connaissances solides propres au secteur qu’il rejoint peut lui aussi viser un salaire supérieur à la moyenne. Prenons un exemple concret : vous candidatez à un poste de gestionnaire du risque cyber auprès du groupe BPCE et, en plus de plusieurs années d’expérience sur des métiers cyber, vous maîtrisez parfaitement les mécanismes de base de la machine bancaire. Vous êtes un manager de risque d’autant plus légitime sur le poste en question et, à ce titre, vous pouvez espérer débuter avec 3550 euros bruts mensuels environ.

Un manager des risques fort de plus de 10 ans d’expérience peut gagner jusqu’à 6 750 euros bruts mensuels environ. À noter que parmi les managers de risques cyber les mieux rémunérés, on trouve souvent d’anciens spécialistes des questions techniques, armés d’un MBA en management : ils disposent de toutes les cartes pour sécuriser au maximum les environnements et faire valoir, par conséquent, un haut salaire.

Évolution de carrière

Après plus de 5 ans au cœur de la gestion de risque cyber, si vous brillez réellement par vos compétences, vous pouvez envisager de prendre les rênes du CSIRT – un organe avec lequel vous aurez travaillé main dans la main au jour le jour, dans un climat de tension, pendant des années. 

Pour réussir à ce poste, des connaissances techniques plus complètes et plus solides que celles exigées en tant que manager des risques sont cependant indispensables.

Les avantages et inconvénients

Pour Samira N., le métier de gestionnaire de risque cyber est « par essence vivant : le contexte de tension ou de possibilité de forte tension a quelque chose de stimulant. Mais c’est là aussi le vrai défi : savoir résister à la pression, tous les jours – ou presque ».

Métiers proches de manager de risques

Continuez vos recherches autour des métiers de la cybersécurité :