Responsable du CERT

Missions du Responsable SOC

« En tant que responsable d’une unité opérationnelle, la première chose à laquelle je pense chaque matin est : comment vais-je organiser les activités de mon équipe sur la journée. Je dois faire le point sur le processus d’intervention s’il y a un incident en cours, mais aussi assurer le lien avec d’autres unités opérationnelles comme le SOC. Et puis, au long cours, je dois penser aux meilleures façons de faire progresser mon équipe en termes de connaissances, d’appréhension des menaces cyber et de rapidité d’intervention », explique Michaël V.

De fait, on peut classer les missions principales du Responsable du CERT selon 3 grands axes.

Pilotage des opérations

• Planifier et organiser les opérations journalières du CERT
• Apporter un appui opérationnel à la gestion de crise de sécurité en cas d’incidents majeurs
• Définir les modes de fonctionnement appropriés avec le SOC (Security Operation Center) afin d’assurer la gestion efficace des problèmes de sécurité

Prévention et anticipation

• Travailler main dans la main avec les unités de threat intelligence pour mettre à jour les connaissances les groupes de hackers les plus actifs, les tendances en matière de techniques d’attaque et les motivations les plus répandues de ces attaquants
• Informer les équipes en charge de la sécurité des nouvelles menaces de taille
• Aiguiller les équipes sur les mesures stratégiques à mettre en œuvre pour contrer les menaces potentielles
• Nourrir un dialogue avec d’autres CERT et des CSIRT dans le même secteur d’activité, mais aussi à l’échelle nationale et internationale, afin d’échanger des informations clés sur les pratiques en matière de cyberattaques
• S’entretenir avec les pouvoirs publics nationaux et internationaux sur les menaces identifiées

Réponse aux incidents

• Définir et mettre régulièrement à jour un processus d’intervention de base en cas d’incident majeur de sécurité ainsi que des scénarios spécifiques
• Mettre à disposition toutes les ressources nécessaires pour permettre aux équipes de mettre en œuvre ces processus (outils techniques et cahier des étapes à suivre) ;
• S’assurer que chaque maillon de la chaîne connaît son rôle dans la gestion des incidents de sécurité
• Après une attaque, évaluer la bonne exécution du processus de réponse et l’efficacité du mode opératoire – depuis l’étape de détection jusqu’à la résolution de l’incident
• Suivre et coordonner les actions de remédiation
• Mettre en place des procédés de retours d’expérience concernant les incidents pour capitaliser et définir des actions d’amélioration.

Les responsabilités du Responsable du CERT

Compétences

On peut identifier un certain nombre de compétences clé pour relever le défi que représente la gestion d’un CERT. Ces compétences se répartissent en plusieurs grands domaines.

Connaissances en sécurité informatique et analyse d’incidents :

• Maîtrise du ou des systèmes d’information (SI) de la structure, de l’urbanisation et de l’architecture du SI
• Capacités en analyse post-mortem (forensic), impliquant notamment une maîtrise des outils d’analyse
• Connaissance des procédures légales en cas de cyberattaque
• Parfaite aisance avec les procédés de collecte, de préservation et d’analyse des preuves numériques pour comprendre l’origine et l’étendue d’un incident
• Pratique de l’analyse de journaux (systèmes ou applicatifs)
• Capacité à identifier les signatures d’intrusion
• Capacité d’analyse des flux réseaux
• Parfaite connaissance des techniques d’attaque et d’intrusion
• Connaissance des vulnérabilités propres à chaque environnement
• Aptitudes en scripting
• Compétences techniques approfondies en matière de logiciels malveillants et de cryptographie

Gestion des incidents :

Le Responsable du CERT doit savoir élaborer et mettre en œuvre des plans de gestion des incidents. Ces plans doivent prendre en compte tous les impératifs de coordination des équipes, de communication inter-équipes et de documentation des activités au fil de l’eau.

Gestion de projet :

Il est indispensable de maîtriser tous les rouages relatifs à la gestion des ressources, du temps et des priorités afin de traiter les incidents de manière opportune.

Qualités

Niveau d’études nécessaire

Le poste de Responsable du CERT est accessible aux détenteurs d’un Bac +5 ou d’une formation supérieure. Avoir une spécialisation en cybersécurité, avec une forte composante en systèmes et réseaux, est un pré-requis quasi indispensable pour être légitime à ce poste.

Quelle formation ?

Les métiers de la cybersécurité reposent sur des compétences qui vont au-delà de l’informatique. C’est un point qui a parfaitement été pris en compte au moment d’élaborer les programmes de la Guardia School. Cela a conduit à la définition de deux cursus :

• un Bachelor en 3 ans (titre RNCP niveau 6), qui intègre dans ses 8 socles d’apprentissage toutes les bases de la cybersécurité et de gestion des systèmes d’information. Les futurs professionnels y trouveront toutes les bases qui leur permettront d’intégrer un CERT et d’y gravir les échelons.
• un titre MSc d’expert cybersécurité (titre RNCP niveau 7). Le diplôme couvre tous les besoins en cybersécurité rencontrés par les entreprises et les institutions. Il intègre notamment toute une série de compétences non techniques, préparant au mieux à la conduite de missions de consulting, d’audit, de cybersécurité organisationnelle ou de management en lien avec la protection cyber. Les étudiants sont formés autant que possible à la gestion de projet et à la reformulation des besoins techniques pour une compréhension rapide par un public moins averti – autant de compétences clés pour un Responsable de CERT.

Bachelor

Voir le Bachelor développeur informatique option cybersécurité

Master Expert cybersécurité

Voir le MSc expert cybersécurité

Dans quel secteur travailler ?

Les secteurs de la santé et de l’énergie ne sont pas en reste. C’est le cas, de manière plus générale, de toutes les entreprises travaillant avec des données stratégiques ou sensibles.

On notera aussi que le secteur de la défense et les instances gouvernementales en général ont besoin de placer des personnes compétentes à la tête de leur CERT.

Les entreprises qui recrutent

Parmi les structures en recherche de responsables du CERT, avec de belles fiches de poste, on repère :

• le ministère de l’Intérieur
• le ministère de la Défense ;
• les hôpitaux de Paris ;
• le Groupe Sanofi ;
• le Groupe L’Oréal ;
• la Société générale ;
• le Groupe Axa ;
• ou encore le Groupe audiovisuel Banijay.

Il est conseillé de surveiller activement les pages suivantes pour repérer les postes à pourvoir :

• Indeed.com ;
• Apec.fr ;
• LinkedIn ;
• HelloWork.com ;
• OptionCarriere.com ;
• la Bourse interministérielle de l’emploi public (Biep) ;
• ou encore Cyberjobs.fr, parmi de nombreuses autres pages.

Salaire

Pour un profil débutant, on calcule un salaire d’entrée moyen de 5 000 euros bruts mensuels environ. Le niveau peut être ajusté en fonction des expériences et des différentes spécialisations du professionnel. La connaissance d’un grand nombre d’outils de veille ou d’analyse des cyberattaques, de langages informatiques variés ou « rares » ou de plusieurs types de systèmes d’information bien spécifiques peut ouvrir droit à des rémunérations plus élevées.

Après plusieurs années d’expérience, on peut espérer atteindre 8 300 euros bruts par mois. Un Responsable de CERT ayant navigué dans plusieurs domaines pourra facilement négocier à la hausse. Michaël V précise : « Pour un salaire plus haut, mieux vaut multiplier les secteurs d’exercice : c’est une preuve qu’on s’adapte facilement à la nouveauté et qu’on l’intègre, qu’on réfléchit vite – un signe qu’on pourra réagir plus facilement aussi face à la nouveauté d’une attaque inédite. La personne qui a toujours exercé plus ou moins dans le même secteur n’a pas de malus. On pourrait la voir comme experte de ce domaine, mais cela a moins d’impact que pour d’autres métiers de la cybersécurité ».

Source salaires : enquête interne auprès des professionnels + étude cabinet Michael Page + étude cabinet Hays.

NB : les métiers de la cybersécurité sont récents. L’estimation du salaire se base sur peu de données. Le salaire peut être parfois surévalué ou sous-évalué. Nous affinerons sa pertinence lors de la prochaine édition du Guide des Métiers de la cybersécurité.

Evolution de carrière

Un Responsable de Computer Emergency Response Team peut être amené à occuper un autre poste critique. La connaissance précise du système informatique qu’on exige à ce poste peut le conduire à s’orienter vers un poste a priori moins stressant, en devenant responsable des Services informatiques. Pour rester pleinement connecté aux enjeux de protection cyber et continuer à valoriser ses capacités, une évolution plus naturelle le portera vers le poste de responsable de la Stratégie de cybersécurité, par exemple.

Ce professionnel peut aussi envisager d’exercer en tant qu’expert indépendant ou consultant en cybersécurité. C’est l’occasion de multiplier les expériences auprès d’entreprises différentes – un argument clé pour négocier un salaire à la hausse en cas de retour dans un circuit plus classique, comme mentionné précédemment.

Les avantages et inconvénients

Par expérience, Michaël V. identifie la tension au quotidien comme le principal défi du métier :

Qu’en est-il des aspects positifs du métier ?