araignée

Les métiers de la cybersécurité

La cybersécurité, de quoi parle-t-on ?

Comment définir la cybersécurité ? D’abord comme une réponse à la cybermalveillance et au besoin de confiance dans le monde numérique.

Menaces et attaques informatiques font bien souvent la une des journaux. Déni de service, phishing, arnaque au président, ransomware, les types d’attaque se multiplient en se diversifiant. Et si beaucoup d’entreprises ont pris conscience des risques sécuritaires et de la nécessité de mettre en place des mesures de protection, elles peinent aujourd’hui à recruter les profils et compétences nécessaires. On ne devient pas, en effet, spécialiste cybersécurité en sortant de l’école, même avec un diplôme prestigieux. En juin 2017, l’(ISC)² (International Information Systems Security Certification Consortium) estimait à 350 000 le nombre de postes non pourvus d’ici 2022 dans la sécurité en Europe.

Les métiers de la cybersécurité

Les métiers de la cybersécurité sont multiples, dans un contexte en perpétuelle évolution. Quelles compétences sont requises? Quelles formations suivre pour  trouver un job dans ce domaine ?

Le métier d’expert en cybersécurité fait partie des métiers-clés les mieux payés du moment.

Que fait-il ?

Les tâches sont multiples :

  • élaborer et mettre à jour la politique de sécurité ;
  • assurer sa diffusion, sa bonne compréhension et son application ;
  • identifier les risques et vulnérabilités ;
  • analyser et qualifier les incidents ;
  • développer et mettre en place des outils de surveillance ;
  • réaliser des audits ;
  • recetter la sécurité des applications et équipements avant mise en production.

Panorama des métiers de la cybersécuritéEn matière de cybersécurité, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est la référence en France. On lui doit un travail remarquable, réalisé en collaboration avec Syntec numérique, sur les métiers de la cybersécurité.

Quatre grandes catégories de métiers y sont définies suivant le type de processus mis en œuvre :

  • gestion de la sécurité et pilotage des projets de sécurité ;
  • conception et maintien d’un SI sécurisé ;
  • gestion des incidents et des crises de sécurité ;
  • conseil, services et recherche.

Les 22 métiers de la cybersécurité qui y sont présentés sont hautement spécialisés, du Directeur cybersécurité au chercheur en sécurité des systèmes d’information. La plupart demandent une formation Bac +5, voire Doctorat, assortie d’une spécialisation en cybersécurité, systèmes et réseaux et d’une expérience minimum en informatique. Autant dire que la cybersécurité est rarement une affaire de débutant. Les compétences techniques demandées sont assorties de compétences comportementales parmi lesquelles figurent la capacité à résister à la pression et le sens éthique.

À ces métiers sont associés plus ou moins directement un ensemble de métiers connexes contribuant à la démarche de cybersécurité dans les domaines de la continuité d’activité, de la protection des données à caractère personnel, du risk management, de la sûreté, de l’assurance et du contrôle interne.

La cybersécurité peut également apparaître en tant que spécialité du Juriste ou du chargé de communication. Les besoins sont vastes.

Le Répertoire Opérationnel des Métiers et des Emplois (ROME) répartit les métiers de la cybersécurité entre les 5 grands domaines des systèmes d’information et de télécommunication que sont :

  • l’administration des systèmes d’information où l’on trouve l’administrateur sécurité informatique ;
  • le conseil et la maîtrise d’ouvrage en systèmes d’information ;
  • la direction des systèmes d’information ;
  • les études et développement informatique avec l’analyste en cybersécurité et le développeur de sécurité des systèmes d’information ;
  • l’expertise et le support technique en systèmes d’information où sont distingués l’architecte de sécurité, l’auditeur en sécurité, l’expert en cybersécurité, l’expert en sécurité des systèmes d’information, l’expert en sécurité des systèmes d’exploitation, l’expert sécurité informatique, l’ingénieur sécurité informatique, l’ingénieur sécurité web, le responsable sécurité des systèmes d’information et le responsable sécurité informatique.

On voit que le saucissonnage des métiers de la sécurité  informatique dans les nomenclatures n’aide pas vraiment à comprendre ce qu’est la cybersécurité.

Cette classification officielle masque l’apparition de nouveaux métiers plus originaux au sein de plateformes dites de « Bug Bounty » (littéralement prime au bug), telles que Yes we hack  ou Yogosha qui s’appuient sur une communauté mondiale de hackers éthiques pour rechercher les failles de sécurité dans les systèmes d’information de leurs clients. Ces hackers éthiques n’interviennent que dans le cas de contrats légaux. Ce sont des travailleurs indépendants affiliés à une ou plusieurs plateformes de travail, tout comme les travailleurs d’Uber ou de Deliveroo, avec toutefois de meilleurs revenus.

Les femmes aussi ?

La question peut paraître aujourd’hui saugrenue à beaucoup, mais l’image de la cybersécurité reste essentiellement masculine aux yeux de beaucoup. L’association CEFCYS (Cercle des femmes de la cybersécurité), créée en 2016 sur l’initiative de Nacira Salvan, multiplie les initiatives pour promouvoir les métiers de la cybersécurité auprès des femmes, encore trop peu présentes dans ce domaine. Les besoins en compétences sont telles dans ce domaine qu’il serait effectivement dommage de se passer de « la moitié du monde ».

cefcys

Nous avons assisté le 27 octobre à la remise par Cefcys des trophées du Cyberwomenday 2020 qui ont récompensé plusieurs femmes au parcours remarquable.

cyberwomenday

Parmi les propos échangés lors des tables rondes, nous avons retenu qu’il était important qu’à la diversité des profils des attaquants réponde une plus grande diversité des profils des défenseurs.

En conclusion

Les métiers de la cybersécurité sont représentatifs de ces nouveaux métiers, où les compétences doivent être entretenues de façon permanente. L’entraînement y est essentiel, tout comme pour la pratique d’un sport de haut niveau. Dans un monde où les cyberattaques mettent en danger à la fois l’économie et le modèle même de l’Internet, le développement de compétences en matière de cybersécurité est une nécessité, que l’on veuille en faire son métier, exercer un métier des systèmes d’information ou tout simplement utiliser les outils numériques de façon plus sereine.

coronavirus

La maladie COVID-19 en France.. entraine dans les médias des infos douteuses, voire des infox !

Covid-19 et Infox

Depuis février-mars 2020,  après la Chine, l’Iran, l’Italie et les États-Unis, la France a été atteinte par la pandémie mondiale du Coronavirus, la maladie « Covid-19 », ou « Covid ». On a dénombré en mai 2020, environ 40 000 cas positifs avérés et près de 28 000 décès, à la fois dans les services hospitaliers et dans les Établissements d’Hospitalisation des Personnes Âgées Dépendantes (EHPAD).Lire la suite

22301

A propos de continuité d’activité

Une norme pour la Continuité d’activité

Dans le cadre des rencontres-débat d’ADELI, Paul Théron nous avait présenté en 2008 le management de la continuité d’activité et François Tête, en 2016 le plan de continuité d’activité.

À l’occasion de la révision de la norme ISO 22301, intervenue fin 2019, l’ISO propose aujourd’hui en téléchargement une brochure gratuite d’information.

Cette norme peut faire l’objet d’une certification, par un organisme habilité tel qu’Afnor certification.

Cybersécurité Panneau danger élan

Cybersécurité en 2019, parlons-en!

La cybersécurité, quesaco?

Le dictionnaire Larousse donne pour ” cyber ” la définition suivante:

Préfixe servant à former de très nombreux mots relatifs à l’utilisation du réseau Internet.

La cybersécurité serait donc la sécurité du réseau Internet. Elle a pour objectif la protection des actifs d’information (les assets en anglais) ainsi que la confiance des utilisateurs et plus généralement de toutes les parties prenantes. La cybersécurité n’est ainsi qu’un sous-ensemble de la sécurité des systèmes d’information, se focalisant sur un type de risques et de menaces particuliers. On ne saurait les dissocier.Lire la suite