CONSULTANT EN CYBERSÉCURITÉ Consultant en Cybersécurité
Métiers

Responsable du CSIRT

Vous avez l’ambition de diriger des équipes et de piloter des projets d’envergure ? Êtes en mesure de gérer des situations de crise et êtes capable de résister à la pression ? Souhaitez intégrer un réseau d’experts réunis autour d’un but commun en faveur de la lutte pour la cyberdéfense ? Devenez responsable du CSIRT.

Fiche métier mise à jour le
Niveau d’études : Bac+5
Bac conseillé : Scientifique
Employabilité : Bonne
Salaire débutant : 4 000€
Salaire confirmé : 6 000 €
Mobilité : Faible
Code ROME : M1802, Expertise et support en systèmes d’information
Code FAP : M2Z, Informatique et Télécommunications

Rôle et missions d’un CSIRT

Les experts CSIRT pour Computer Security Incident Response sont un collectif international de chercheurs, ingénieurs informatiques, analystes sécurité et spécialistes en business intelligence qui réunissent leurs expertises afin de détecter les failles de vulnérabilités au sein de serveurs, programmes et logiciels.

Ils contribuent à faire évoluer les technologies au sens large et les systèmes de protection et de sécurité informatiques.

Ils développent un référentiel commun, contenus informatifs et actions de formation, afin de contribuer à améliorer l’état de l’art de la cybersécurité dans le monde entier.

L’équipe CSIRT est une combinaison de personnel expérimenté, technique et non technique qui travaillent ensemble pour comprendre l’étendue de l’incident, comment il peut être atténué et au final, comment y remédier.

Les tâches prioritaires d’un CSIRT (ou encore CERT pour Computer Emergency Response Team) sont les suivantes :

  • Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
  • Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CERT, contribution à des études techniques spécifiques ;
  • Établissement et maintenance d’une base de donnée des vulnérabilités ;
  • Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;

Coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet, CERT nationaux et internationaux.

Métier

Le responsable du CSIRT ou du CERT est le manager d’une équipe de réponse aux incidents de sécurité ciblant les systèmes d’information de l’organisation.

Il s’assure de la bonne exécution des investigations et de la coordination des parties prenantes lors d’un incident de sécurité.

Il contribue à la préparation de l’organisation pour garantir une réponse efficace.

Lors d’incidents à fort impact, le responsable du CSIRT est amené à interagir avec l’équipe de gestion de crise.

Le responsable du CSIRT dirige l’équipe de réponse aux incidents de sécurité

Le responsable du CSIRT dirige l’équipe de réponse aux incidents de sécurité

Missions du responsable du CSIRT

Dans un monde où les réseaux globaux prennent toujours plus d’expansion et une importance stratégique qui ne se dément pas, les systèmes d’information d’une organisation doivent pouvoir résister aux différentes menaces qui pèsent sur eux.

Pour sécuriser leurs systèmes et leurs réseaux, les organisations doivent pouvoir compter sur des gestionnaires capables de reconnaître les menaces et les vulnérabilités des systèmes existants et d’assurer la conception et le développement de systèmes sécuritaires.

C’est le propre de la mission du responsable du CSIRT.

Voici le détail des ses activités et tâches au quotidien.

Pilotage des opérations :

  • Planifier et organiser les opérations quotidiennes du CSIRT
  • Assurer un appui opérationnel à la gestion de crise de sécurité en cas d’incidents de sécurité majeurs
  • Organiser les modes de fonctionnement avec le SOC (Security Operation Center) interne ou externe pour assurer la gestion des incidents de sécurité

Anticipation :

  • S’appuyer sur les services de veille sur les menaces (threat intelligence) pour tenir compte des groupes d’attaquants existants, de leurs méthodes d’attaques et de leurs motivations
  • Informer les équipes en charge de la sécurité des nouvelles menaces importantes et recommander des mesures tactiques pour les contrer
  • Construire et maintenir des relations de confiance et d’échange avec les réseaux de CSIRT français et étrangers ainsi qu’avec les organismes gouvernementaux
  • Participer aux exercices de préparation à la gestion de crise de cybersécurité

Réponse à incident :

  • Élaborer et tenir à jour le processus d’intervention en cas d’incident majeur de sécurité ainsi que toutes les ressources nécessaires (outillage, procédure, etc.) ; vérifier que les prérequis techniques et documentaires sont en place et tenus à jour
  • S’assurer que les parties prenantes connaissent leur rôle dans la gestion des incidents de sécurité
  • S’assurer de la bonne exécution du processus de réponse à incident depuis la détection jusqu’à la résolution de l’incident ; suivre et coordonner les actions de remédiation
  • Organiser les retours d’expérience concernant les incidents pour capitaliser et définir des actions d’amélioration

Responsable du CSIRT et du SOC, quelles différences ?

Certaines organisations peuvent choisir de maintenir des ressources au sein d’un centre opérationnel de sécurité (SOC), tandis que d’autres préfèrent une équipe d’intervention en cas d’urgence informatique (CERT) ou une équipe d’intervention en cas d’incident de sécurité informatique (CSIRT).

Quelle est la différence ?

Les missions du SOC peuvent recouvrir la réponse aux incidents, mais incluent généralement d’autres aspects des opérations de sécurité, par exemple, comme la gestion des événements de sécurité ou des vulnérabilités.

Les CSIRT et CERT se concentrent spécifiquement sur la réponse aux incidents.

Ils peuvent fonctionner dans le cadre du SOC, s’il y en a un, ou exister indépendamment de celui-ci.

Ils peuvent également être permanents ou éphémères, mobilisés uniquement lors de certains événements.

Le choix de l’approche dépend notamment de la taille de l’organisation et de son contexte opérationnel. Mais de ce choix pourront en retour dépendre – au moins partiellement – la manière dont le groupe fonctionnera et les outils auxquels il aura accès. L’important est de réfléchir à l’avance de manière systématique et professionnelle afin de ne pas avoir de surprise au milieu d’un événement critique.

Il faut donc déterminer le modèle d’organisation et les méthodes de communication les plus judicieuses compte tenu du nombre de personnes impliquées, du contexte et du budget disponibles, des besoins de l’organisation, du paysage des menaces, etc.

Les organisations peuvent choisir de se doter d’un SOC, tandis que d’autres préfèreront une équipe d’intervention en cas d’incident de sécurité informatique, le CSIRT

Les organisations peuvent choisir de se doter d’un SOC, tandis que d’autres préfèreront une équipe d’intervention en cas d’incident de sécurité informatique, le CSIRT

Compétences

Exercer comme responsable du CSIRT demande de solides compétences informatiques et des connaissances pointues en cybersécurité et cyberdéfense telles que :

  • Maîtrise du système d’information, de l’urbanisation et de l’architecture du SI
  • Analyse post-mortem (forensic) : connaissance des outils d’analyse et des procédures légales
  • Cyberdéfense : pratique de l’analyse de journaux (systèmes ou applicatifs), de flux réseaux
  • Cyberdéfense : connaissance des techniques d’attaques et d’intrusions et des vulnérabilités des environnements
  • Scripting

Qualité

Le responsable du CSIRT s’assure de la bonne exécution des investigations et de la coordination des parties prenantes lors d’un incident de sécurité, pour cela il dispose des qualités ci-dessous :

  • Capacité de restitution et de vulgarisation pour des publics non techniques
  • Rédaction de rapports adaptés à différents niveaux d’interlocuteurs
  • Travail en équipe
  • Capacité à résister à la pression
  • Sens éthique
Lors d’incidents à fort impact, le responsable du CSIRT est amené à interagir avec l’équipe de gestion de crise

Lors d’incidents à fort impact, le responsable du CSIRT est amené à interagir avec l’équipe de gestion de crise

Études et formations

Pour devenir responsable du CSIRT, vous devrez justifier d’un diplôme en informatique de type Bac + 5. L’idéal étant de faire le choix d’une spécialisation en cybersécurité incluant une forte composante en systèmes et réseaux.

Les entreprises recherchent bien souvent un profil avec de l’expérience. Concrètement, cinq ans au sein d’un CSIRT seront utiles pour postuler à la fonction de responsable du CSIRT. Autrement dit, on ne le devient pas du jour au lendemain.

Quelle formation choisir ?

Vous souhaitez devenir responsable du CSIRT ? Découvrez le Master of Science de Guardia Cybersecurity School. Une formation qui se déroule en deux ans après trois années de formation supérieure en informatique ou en cybersécurité. Au cours de votre cursus, vous allez apprendre à devenir un expert en cybersécurité avec acquisition de compétences techniques (langage de programmation, crypto, gestion de données, etc.) et non techniques (audit, conseil, gestion, règlementation, etc.).

Des stages viennent compléter les 4ème et 5ème années.

Pour en savoir plus sur la formation…

Salaire

La rémunération d’un responsable du CSIRT varie selon le CSIRT au sein duquel il intervient.

Le salaire médian pour les responsables de CSIRT en France est de minimum 50 000 euros par an lors d’une prise de poste.

Un profil senior ou expert pourra prétendre à un salaire allant jusqu’à 80 000 euros annuels.

Dans quelle entreprise travailler ?

Les CSIRT sont un réseau international, composé d’entreprises et d’institutions de tailles et profils très variés.

Liste des CSIRT ou CERT en France

CERT gouvernemental : CERT-FR (anciennement CERTA appartenant à l’ANSSI / SGDSN) est le CERT affecté au secteur de l’administration française

Ai CERT : CERT privé interne du Groupe Airbus

AlliaCERT : CERT de la société Alliacom ouvert à l’ensemble des entreprises et des institutions

AXA CERT : CERT privé interne du Groupe AXA

CERT-AKAOMA : CSIRT de la société AKAOMA proposant des services de cyber-surveillance et de réponse aux incidents de sécurité à l’ensemble des entreprises et institutions

CERT-AlgoSecure : CSIRT privé de la société AlgoSecure ouvert à l’ensemble des entreprises et des institutions

CERT-AG : CERT du Groupe Crédit Agricole et des filiales

CERT-AMOSSYS : CERT de la société AMOSSYS

CERT-AREVA : CERT privé interne du groupe AREVA

CERT-BDF : CERT de la Banque de France

Des offres d’emploi pour exercer en tant que responsable du CSIRT sont disponibles sur :

  • Monster. fr
  • Jobrapido.com
  • LinkedIn
  • Simplyhired.fr
  • Wizbii.com
  • Indeed.com
  • Jooble.org
  • Apec.fr
  • Glassdoor.fr

Responsable du CSIRT freelance

Il est plutôt rare de voir un responsable du CSIRT exercer en freelance dans la mesure où il doit être rattaché à un CSIRT. Si ce statut pourrait se généraliser dans les années à venir, il faudrait pour cela créer son statut d’entreprise afin d’établir devis et factures à des clients. Détermination, organisation, rigueur et professionnalisme seront aussi quatre inconditionnels pour travailler de cette manière. Posséder un réseau est également un plus.

Evolution de carrière

Les tendances et facteurs d’évolution du métier indiquent que le responsable du CSIRT peut être amené à contribuer à la gestion d’incidents liés à d’autres raisons que la sécurité des SI, comme par exemple la fraude via des moyens informatiques. Il peut également devenir directeur cybersécurité ou encore RSSI.

Les avantages et inconvénients

Le responsable du CSIRT est un expert de la cybersécurité qui doit convoquer quotidiennement l’ensemble des ces compétences en cybersécurité (technique, veille, prospective) dans ses responsabilités. C’est donc un métier complet.

En retour, c’est une profession réservé aux profils qui savent manager et faire face à la pression.

Comment devenir responsable du CSIRT ?

Le responsable du CSIRT coordonne une équipe de réponse aux incidents de sécurité ciblant les systèmes d’information de l’organisation. Il s’assure de la bonne exécution des investigations et de la coordination des parties prenantes lors d’un incident de sécurité. Le métier est accessible avec l’obtention d’un diplôme en informatique de niveau Bac +5 comprenant une spécialisation en cybersécurité et une forte composante en systèmes et réseaux. Une expérience professionnelle de 5 ans minimum au sein d’un CSIRT sera exigée avant de pouvoir en prendre la responsabilité. Le salaire médian d’un responsable CSIRT en France est de minimum 50 000 euros par an.

Les tendances et facteurs d’évolution du métier indiquent qu’il peut prendre d’autres responsabilités en devant par exemple RSSI.

En résumé

Quelles sont les missions du responsable du CSIRT ?

En résumé, le responsable du CSIRT (Computer Security Incident Response Team) ou du CERT (Computer Emergency Response Team) est responsable d’une équipe de réponse aux incidents de sécurité ciblant les systèmes d’information de l’organisation.

Quel est le salaire du responsable du CSIRT ?

La rémunération d’un responsable du CSIRT varie selon le CSIRT au sein duquel il intervient.

Le salaire médian pour les responsables de CSIRT en France est de minimum 50 000 euros par an pour un profil débutant.

Quel niveau d’étude pour devenir responsable du CSIRT ?

Pour devenir responsable du CSIRT, vous devrez justifier d’un diplôme en informatique de niveau Bac +5 avec une spécialisation en cybersécurité comprenant une forte composante en systèmes et réseaux.

Une expérience professionnelle de 5 ans minimum au sein d’un CSIRT sera exigée avant de pouvoir en prendre la responsabilité.

Quel Bac choisir ?

Au lycée, nous vous conseillons de suivre un Bac général ou technologique et d’opter pour l’une des spécialités suivantes , mathématiques, sciences de l’ingénieur ou sciences informatiques.

Quelle est la formation pour devenir responsable CSIRT ?

Devenir responsable du CSIRT demande d’abord un bon niveau de compétences et ensuite quelques années d’expérience. Pour cela, un Bac +5 est incontournable afin de maîtriser tous les aspects de la cybersécurité et plus spécifiquement d’un CSIRT. Notre école Guardia Cybersecurity School le permet avec le Master of Science qui prépare en deux ans à un titre d’expert en cybersécurité.