Responsable du SOC Responsable du SOC
Métiers

Security awareness officer

La multiplication des cyberattaques oblige les entreprises à renforcer leur niveau de sécurité. Pendant de nombreuses années, la technologie est apparue comme la principale parade. Mais ce n’est pas une solution miracle, car la majorité des attaques malveillantes exploitent toujours le même filon : la méconnaissance des salariés en matière de piratage.

C’est la raison pour laquelle, de plus en plus d’entreprises mettent en place des programmes de sensibilisation de tous les collaborateurs. Un Security awareness officer (que l’on peut traduire par Responsable de la sensibilisation à la sécurité) joue donc un rôle majeur, car elle est responsable de l’édition et de la mise en place du programme de sensibilisation et d’éducation à la cybersécurité.

Fiche métier mise à jour le
En résumé
Niveau d’études : Bac +5, dont une spécialisation en informatique
Bac conseillé : Scientifique
Employabilité : Bonne
Salaire débutant : 50 000€ brut/an
Salaire confirmé : 90 000€ brut/an
Mobilité : Bonne
Code ROME :
Code FAP : Expert en cybersécurité, Cyber security researcher
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Qu’est-ce que le Security Awareness Officer ?

Cette personne est responsable du programme de sensibilisation et d’éducation à la sécurité dans les grandes entreprises. Son travail consiste à réduire les risques pour son organisation en s’assurant que tous les employés, le personnel et les contractants connaissent, comprennent et suivent ses exigences en matière de sécurité et se comportent de manière sécurisée.

Les responsabilités

Le travail d’un Security awareness officer consiste à réduire les risques pour son entreprise en veillant à ce que tous les employés, le personnel et les contractants connaissent, comprennent et respectent les exigences en matière de sécurité et se comportent de manière sûre. L’objectif est que les employés adoptent les mêmes comportements sécuritaires, quel que soit l’endroit où ils se trouvent ou les appareils qu’ils utilisent.

Le Security awareness officer doit donc être considéré comme un expert en gestion du risque humain. Ses compétences et responsabilités sont les suivantes :

Prioriser les risques : collaborer avec l’équipe de sécurité de l’entreprise pour mieux comprendre et hiérarchiser les principaux risques humains, ainsi que les comportements clés qui permettent de gérer ces risques. Cela implique souvent de travailler avec les équipes de réponse aux incidents, d’opérations de sécurité ou de renseignement sur les cybermenaces. La clé de la gestion des risques humains consiste à établir des priorités et à se concentrer sur les principaux risques, sans submerger le personnel d’une liste interminable d’exigences, de tâches, de processus et de responsabilités. 

Former : Une fois les principaux comportements à risque identifiés, il s’agit de former le personnel pour qu’il modifie ou à adopte les « bons » comportements. Cela nécessite souvent un partenariat et une collaboration avec d’autres services tels que le marketing, les communications et les ressources humaines. 

Mesurer : enfin, ces responsables doivent évaluer l’efficacité des techniques et des ressources appliquées et communiquer les résultats aux dirigeants en termes commerciaux. L’objectif est d’aligner le programme sur les priorités stratégiques de la direction.

Les missions

En collaboration avec d’autres membres du département informatique, le Security awareness officer gère un large éventail d’activités. Il doit structurer et maintenir son programme à long terme, car il ne s’agit pas seulement d’un changement de comportement, mais de culture.

Ses différentes émissions sont les suivantes :

  • S’assurer que le programme de sensibilisation à la sécurité répond à toutes les réglementations, normes et exigences de conformité du secteur d’activité de l’entreprise.
  • Établir et garantir que le programme de sensibilisation à la sécurité communique les politiques et exigences en matière de sécurité afin que les collaborateurs les connaissent, les comprennent et puissent les suivre.
  • Identifier les principaux risques humains pour l’entreprise et les comportements qu’il convient de changer pour atténuer ces risques.
  • Développer et maintenir un programme de sensibilisation à la sécurité qui modifie efficacement ces comportements, afin que les salariés agissent de manière sécurisée, réduisant ainsi les risques les plus importants pour l’organisation.
  • Veiller à ce que des informations régulières soient transmises aux employés pour les tenir au courant des risques de sécurité, des tendances en matière d’attaques et des meilleures pratiques, afin qu’ils prennent conscience de leurs responsabilités et agissent de manière plus sûre sur les sujets cyber, tant à la maison qu’au travail.
  • Définir un kit d’accueil pour les employés/contractants en matière de cybersécurité afin de faciliter leur intégration et de les aider à se mettre à niveau dans les plus brefs délais.
  • Structurer et tenir à jour les documents relatifs à la sécurité, en mettant l’accent sur les politiques et les enregistrements, afin de faciliter l’audit du département de cybersécurité par les parties prenantes concernées (internes ou externes).
competences-metier

Compétences

Pour travailler dans une entreprise, le Security awareness officer doit posséder certaines connaissances afin d’exercer correctement ses activités :

  • Connaissance de base de la manière dont les processus commerciaux sont soutenus par les contrôles informatiques et de sécurité.
  • Bonnes compétences en matière de connaissances générales sur la cybersécurité, y compris les risques, les techniques d’attaque et les principales mesures d’atténuation, afin de garantir un GO approprié entre l’expert technique et les employés.
  • Bonne connaissance de l’exigence du système de gestion de la sécurité de l’information (ISO2700x)

Ce professionnel doit avoir de l’expérience dans la gestion de projet, la capacité de planifier, gérer et maintenir un programme, qui dans certains cas peut avoir un plus grand niveau de complexité, à travers l’organisation.

En outre, ce professionnel doit comprendre les concepts de cyberrisques et les différents éléments qui constituent un risque. Il doit connaître les différents concepts et la terminologie associés à la sécurité de l’information.

Dès lors, il doit posséder ces différentes compétences :

  • Maîtrise des outils et plateformes spécifiques à la formation en SSi
  • Connaissance du système d’information et des principes d’architecture
  • Connaissance des technologies de sécurité et des outils associés
  • Gestion des risques, politique de cybersécurité et SMSi (en anglais : Information security management system, ou ISMS)
  • Maîtrise des fondamentaux dans les principaux domaines de la SSi
  • Veille technologique cybersécurité et étude des tendances

Qualités

Si la cybersécurité est technique par nature, les responsables de la sensibilisation à la sécurité doivent exceller dans la compréhension et la collaboration avec les autres. Les courriels d’hameçonnage (ou phishing) incitant continuellement les utilisateurs à effectuer diverses actions, l’élément humain de la cybercriminalité est de plus en plus important. 

Il incombe au Security awareness officer de veiller à ce que l’organisation ne s’appuie pas uniquement sur la technologie pour combattre les pirates.

Il doit donc être capable de modifier son programme de formation en cours de route en fonction de l’évolution des menaces et de la réglementation. Il est donc impératif de posséder de solides compétences en communication et en service à la clientèle. Il est également important de répondre efficacement aux attentes de vos diverses parties prenantes internes.

Les soft skills recherchées par les entreprises

La communication est l’une des compétences non techniques les plus importantes dont un responsable de la sensibilisation à la sécurité aura besoin. La plupart des organisations connaissent leurs principaux risques humains et les comportements clés qu’elles doivent changer. Le défi est donc de savoir comment elles communiquent cela à leurs équipes.

Une autre compétence non technique essentielle est la capacité de bien travailler avec les autres. Outre la formation des salariés et la sensibilisation régulière, il faut être capable de collaborer avec d’autres services ou équipes afin de maintenir un programme de sensibilisation efficace.

Par exemple, il est important de collaborer étroitement avec les services juridiques et d’audit pour vous assurer que le programme de sensibilisation à la sécurité est conforme aux réglementations et aux normes requises.

Il convient aussi de s’adresser aux cadres supérieurs non seulement pour obtenir leur soutien au programme, mais aussi pour qu’ils contribuent à sa promotion et s’assurent qu’ils adoptent des comportements clés et sûrs. Enfin, il faut travailler avec les publics cibles afin de mieux comprendre leurs difficultés et la meilleure façon de les impliquer.

Dès lors, les soft skills les plus appréciés sont les suivants :

  • Capacité à travailler de manière indépendante dans un environnement complexe
  • Capacité à former des communications/messages complexes de manière simple, claire et concise aux différentes communautés au sein d’une organisation. Cela peut inclure différentes cultures, nationalités, emplacements internationaux et langues.
  • Capacité à communiquer avec les autres et à coordonner leurs activités.

Niveau d’études nécessaire

En plus d’un Bac +5, disposée d’une ou de plusieurs certifications de sécurité CISSP, ISO 2700x Lead implementer, C-RISC ou encore CISM est un plus.

Quel bac ?

Bac+5 en Systeme d’Information

Quelle école

Une école d’ingénieur spécialisée en cybersécurité est indispensable.

Salaire

Il varie entre 50 000 € brut/an et 90 000 € brut/an selon l’expérience et la taille de l’entreprise.

Evolution de carrière

De par ses compétences, un Security awareness officer peut évoluer dans diverses directions. Il peut devenir un DPO (Data protection officer) pour veiller à la mise en conformité de son entreprise avec le RGPD (Règlement Général sur la Protection des Données » – en anglais « General Data Protection Regulation » ou GDPR). Il peut aussi évoluer pour devenir un DSI (Directeur des Systèmes Informatiques), voire un RSSI (Responsable Sécurité des Systèmes d’Information).

Quelles sont les bonnes questions à se poser avant de s’orienter

Se poser les bonnes questions pour son futur métier est essentiel. Une étape qu’il ne faut pas négliger notamment avant son orientation. Voici quelques questions incontournables :

  •     Ai-je un niveau suffisant en mathématiques ?
  •     Où se former pour devenir expert en cybersécurité ?
  •     Quels sont les contenus des formations proposés par l’école ?
  •     Qui sont les intervenants et professeurs ?
  •     Des stages sont-ils organisés ?
  •     Quel est mon projet professionnel ?
  •     Dans quelle entreprise je souhaite travailler ?
  •     Les débouchés sont-ils importants ?
  •     Vais-je trouver un emploi facilement ?

Devenir Security awareness officer

La sensibilisation à la sécurité est l’un des domaines les plus passionnants qui soient. Non seulement c’est un domaine où vous pouvez avoir le plus grand impact sur la sécurité globale d’une entreprise, mais il est encore relativement nouveau. Vous pouvez contribuer à développer son avenir. 

Mais il est important de savoir qu’une solide expérience en matière de sécurité ne suffira pas à vous faire réussir. Vous devez vous diversifier et acquérir de nouvelles compétences, notamment en matière de communication et de collaboration.

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

En résumé

Quelles sont les missions de Security Awareness Officer ?

Le Security awareness officer garantit le maintien et le bon fonctionnement des systèmes d’information de l’entreprise. Le Security awareness officer réalise également des missions de sensibilisation auprès des équipes et des utilisateurs externes des solutions informatiques d’une organisation dans l’optique de favoriser une utilisation raisonnée et sécurisée de ces dernières.

Quel est le salaire de Security Awareness Officer ?

Le travail d’un Security awareness officer consiste à réduire les risques pour son entreprise en veillant à ce que tous les employés, le personnel et les contractants connaissent, comprennent et respectent les exigences en matière de sécurité et se comportent de manière sûre.

Quel niveau d’étude et formation pour devenir Security Awareness Officer ?

Pour faire carrière en tant que Security Awareness Officer, vous devrez justifier d’un diplôme informatique de niveau BAC + 5 avec une spécialisation en cybersécurité. Ce métier est accessible à partir d’une expérience préalable en environnement de production, d’exploitation ou de support.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou sciences informatiques.

Métiers proches de Security Awareness Officer

Continuez vos recherches autour des métiers de la cybersécurité :