Quel référentiel pour les métiers de la cybersécurité ? (CEIS)

10 pages

Français

Quel référentiel pour les métiers de la cybersécurité ? (CEIS)

ISN-numerique

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

10 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

QueL référentieL pour Les métiers de La cybersécurité ? Décembre 2014 LES NOTESσTRàTÉGIqUES Les notes stratégiQues Poîcy Papers – Research Papers Cette note stratégîque est tîrée de l’Etude de Prospectîve Stratégîque (EPS) n°2013-01 întîtulée « quelles sont les évolutîons possîbles de la gestîon du personnel de défense pour lutter eficacement dans le cyberespace ? » et réalîsée par CEIS pour le compte de la Délégatîon aux Affaîres Stratégîques du mînîstère de la Défense. Le référentîel présenté s’înspîre également les travaux réalîsés dans le cadre du groupe de travaîl 3 du Réseau cyberdéfense de la Réserve Cîtoyenne. tabLe des matières Introductîon..................................................................................................................................6 1. Les ééments cés d’un référentîe..............................................................................................6 1.1. Les métîers.........................................................................................................................6 1.2. Les compétences et « taents » ou « appétences »...................................................8 1.3. Le croîsement des métîers et des compétences..........................................................9 2. Proposîtîon de référentîe..........................................................................................................

Informations

Publié par	ISN-numerique
Publié le	24 juin 2015
Nombre de lectures	37
Langue	Français

Extrait

QueL référentieL pour Les métiers de La cybersécurité ?

Décembre 2014

LES NOTESσTRàTÉGIqUES

Les notes stratégiQues

Poîcy Papers – Research Papers

Cette note stratégîque est tîrée de l’Etude de Prospectîve Stratégîque (EPS) n°2013-01 întîtulée « quelles sont les évolutîons possîbles de la gestîon du personnel de défense pour lutter eficace-ment dans le cyberespace ? » et réalîsée par CEIS pour le compte de la Délégatîon aux Affaîres Stratégîques du mînîstère de la Défense.

Le référentîel présenté s’înspîre également les travaux réalîsés dans le cadre du groupe de travaîl 3 du Réseau cyberdéfense de la Réserve Cîtoyenne.

tabLe des matières

Introductîon..................................................................................................................................6

1. Les ééments cés d’un référentîe..............................................................................................6

1.1. Les métîers.........................................................................................................................6

1.2. Les compétences et « taents » ou « appétences »...................................................8

1.3. Le croîsement des métîers et des compétences..........................................................9

2. Proposîtîon de référentîe..........................................................................................................10

introduction

L’întérêt d’un référentîe est mutîpe : déveopper d’une vîsîon partagée ; structurer es cursus de for-matîon ; facîîter ’orîentatîon des personnes întéressées ; facîîter ’émîssîon d’offres d’empoî et donc a recherche de candîdats adaptés. Dîsposer d’un référentîe permet en outre d’orîenter e marché en fonctîon de ses besoîns et est donc très întéressant en termes d’înluence.

Attentîon, cependant, à évîter pusîeurs écueîs. I n’exîste de référentîe mîrace, unîverse et adapté à toutes es sîtuatîons. Une partîe de ce référentîe sera spécîique aux organîsatîons consîdérées, du faît des partîcuarîtés de cees-cî et de eurs contraîntes. De pus, î convîent de réguîèrement mettre à jour ce référentîe en fonctîon du marché et de ’évoutîon des concepts opératîonnes. I s’agît de ne pas construîre un référentîe trop « gobaîsant » ; e terme « cyber » renvoîe aînsî à des réaîtés très dîf-férentes et trop arges. Enin, un référentîe n’est pas autonome au sens où es empoîs et compétences qu’î catégorîse et décrît ont nécessaîrement des îens avec d’autres actîvîtés.

L’objectîf est donc de dîsposer d’un référentîe adapté à son organîsatîon avec un nîveau de gra-nuarîté sufisant pour que ’ensembe des acteurs s’y retrouvent facîement. Ce référentîe doît être partagé et cohérent, au moîns en partîe, avec es autres acteurs du marché sur eque on évoue. I doît être cîbé sur ’ensembe des empoîs îés à a sécurîté et à a coniance numérîque. Son scope doît cependant dépasser a cybersécurîté pour prendre en compte égaement es aspects « métîers » de ’organîsatîon concernée.

1. Les éLéments cLés d’un référentieL

1.1. LES MÉTIERS

Un référentîe des métîers de a cybersécurîté se doît d’être e pus opératîonne possîbe. Dîs-tînguer es métîers seon eur statut ne sufit pas. Une tee segmentatîon, prîse îsoément, nuît à ’eficacîté en prîvîégîant une vîsîon hîérarchîque, souvent contre-productîve, au détrîment d’une vîsîon gobae mettant en avant a compémentarîté des métîers.

A contrarîo, une cassîicatîon opératîonnee des métîers permet :

•Une vîsîon gobae de a gestîon de a menace ;

•Une traductîon opératîonnee de a stratégîe vers es métîers ;

•Une meîeure gestîon des effectîfs grâce à ’îdentîicatîon des écarts entre es besoîns et a réaîté ;

•Une mîse à jour pus aîsée et lexîbe, adaptabe aux mutatîons de a cybermenace, en évoutîon constante ;

•Une gestîon pus eficace des compétences cés, dîrectement adaptées aux besoîns mé-tîers, besoîns métîers eux-mêmes caqués sur a stratégîe pus gobae de cybersécurîté.

La déinîtîon des métîers dépend du canevas déveoppé dans e droît i de a stratégîe éaborée. Les fonctîons suîvantes peuvent être reprîses ain de casser es dîfférents métîers de a cybersécurîté :

1. La sécurîté en amont

2. L’anayse des rîsques et menaces

3. L’admînîstratîon et a maîntenance du SI

4. La protectîon du SI

5. Les opératîons cyber

6. L’învestîgatîon numérîque

A ces 6 fonctîons de a cybersécurîté, peuvent être ajoutées es fonctîons support suîvantes :

•Conseî et appuî jurîdîque

•Vente

•Marketîng

•Entraînement et formatîon

Ces fonctîons sont compémentaîres et înterdépendantes. Ees se recoupent et se superposent tout au ong du cyce de gestîon de a menace. A ces fonctîons sont assocîés des empoîs types.

Fîgure 1. Schéma récapîtulatîf : exemples de grandes fonctîons de la cybersécurîté

Investigations

Support

Cyberopérations

Sécurité en amont

Protection du SI

Analyses des menaces

Administration du SI

1.2. LES COMPÉTENCES ET « TàlENTS » OU « àPPÉTENCES »

Détermîner es fonctîons cés du référentîe permet de déinîr une vîsîon gobae des métîers de a cybersécurîté. Les catégorîes aînsî déinîes relètent une vîsîon, une perceptîon de a fonctîon cybersécurîté, et une stratégîe. I est égaement împortant de référencer es compé-tences, taents ou appétences des personnes, ain d’orîenter au mîeux eur carrîère en eur proposant es formatîons adaptées à eur proi et correspondant à eurs ambîtîons.

Sî a matrîce des compétences est e document e pus objectîf à réaîser, une matrîce des taents et appétences est égaement împortante ain de mîeux comprendre es prois et eurs ambîtîons.

Types de compétences

Conception

Intégration

Juridique et normatif

Fîgure 2. Extraîts de matrîce de compétences générales

Compétences

Déveoppement

Archîtecture

Dépoîement des systèmes

Intégratîon des systèmes

Réguatîon et égîsatîon

Maïtrîse des outîs SSI (PSSI, charte, etc.)

Normes et conformîté

Veîe et înteîgence jurîdîque

Données à caractère personne

Proprîété înteectuee

Droît péna înformatîque

Règementatîons sectorîees

Droît du travaî

Export et reatîons înternatîonaes

1.3. LE CROISEMENT DES MÉTIERS ET DES COMPÉTENCES

Pour accompagner a mobîîté, î est îndîspensabe de lécher un parcours cohérent et réaîste. Pour ce faîre, e référentîe métîer peut îndîquer auprès de chaque poste, à ’aîde d’îndîca-teurs, a densîté métîer, IT ou sécurîté nécessaîre.

•L’îndîcateur de « densîté IT » traduît a part pus ou moîns technîque du métîer ;

•L’îndîcateur de « densîté sécurîté » îndîque ’împortance de a cuture sécurîté ;

•L’îndîcateur de « densîté métîer » souîgne ’împortance de a connaîssance du sec-teur d’actîvîté constîtuant ’envîronnement de travaî du professîonne de a cyber-sécurîté.

Ces îndîcateurs sont mîs en correspondance avec es compétences et taents requîs pour chacun des postes. La présence ou ’absence de tee compétence ou te taent permettra d’évauer, în ine, a densîté IT, sécurîté ou métîer d’un poste en cybersécurîté.

Fîgure 3. Récapîtulatîf des métîers selon leur densîté

t r o p p u S s n o i t a g i t s e v n I

Sé cu r it é e n a m o n t A n a l y s e d e s m e n a c e s

A d rm e i bn yi s ct r s a nt oi io tn a rd éu pS OI PISuor et dnoitc

Archîtecte appîcatîon

E10

Archîtecte système

Assureur quaîté

Audîteur organîsatîonne

Déveoppeur

2. proposition de référentieL

E13

E12

Intégrateur d’expoîtatîon

Intégrateur

Emplois types

Cryptoogue

Chef de projet (MoE/MoI)

Référent sécurîté projet

N°

a) R&D

E21

E20

E22

E15

E18

E17

E16

E19

1. Sécurité en amont

Consutant/expert gestîon du rîsque

Gestîonnaîre de Rîsques

Professîonne quaîté

Audîteur technîque

c) Antîcîpatîon du rîsque

Archîtecte réseau

E11

Consutant gestîon de crîse

e) Intégratîon

Technîcîen réseau-téécoms

E14

f) Dépoîement

d) Archîtecture des înfrastructures et systèmes d’înformatîon

Archîtecte sécurîté

Ingénîeur R&D

Chef de projet

Audîteur conformîté

b) Assurances, audît et compîance

Détails

Fonctions

Sécurité

Indicateurs - densité

Métier

Déveoppeur / concepteur

Technîcîen sécurîté

Téé-assîstant

Pentesteur

4. Protection du SI

E39

E40

E41

E38

Anayste cybersécurîté

Veîeur cybersécurîté

E23

E24

c) Recherche en vunérabîîtés

Responsabe d’expoîtatîon

Ingénîeur en charge de a réponse aux încîdents

Ingénîeur chargé d’anayse en détectîon d’întrusîons

Admînîstrateur réseau

Admînîstrateur système

E34

a) Veîe technoogîque et menaces

Chercheur

d) Anayse de maware et modes opératoîres

E26

E27

Responsabe maîntenance appîcatîve

d) Réponse à încîdent

b) Gouvernance IT

c) Coecte et détectîon

E44

E43

Technîcîen IT

E37

E36

Admînîstrateur sécurîté

RSSI

Admînîstrateur data

2. Analyse des menaces

Ingénîeur spécîaîste coecte et anayse de og

Consutant cybersécurîté

Expert produît/technoogîe (IAM, MDM, IDS, IPS, etc.

E32

E30

E31

3. Administration et gouvernance du SI

c) Support utîîsateurs

Responsabe PCA/PRA

E28

E29

E33

Assîstant fonctîonne

b) Veîe stratégîque

a) Maîntenance appîcatîve

E25

b) Mîse à ’épreuve

E42

Ingénîeur sécurîté

E35

a) Gouvernance et expoîtatîon SSI

5. Cyberopérations

6. Investigations

Appui juridique

Marketing et communication

Commercial

Formation et entrainement

a) Inforensîque

b) Anayse de maware et modes opératoîres

c) Acteurs judîcîaîres

d) Prîvés

a) Protectîon des données à caractère personne

b) Conseî jurîdîque NTIC

Avant-vente

Vente

E45

E46

E47

E48

E49

E50

E51

E52

E53

E54

E55

E56

E57

E58

E59

E60

Expert forensîc

Expert recovery

Ingénîeur reverse

Ingénîeur anayste en vunérabîîtés et codes maveîants

Poîce judîcîaîre

Magîstrature

Conseî jurîdîque

Investîgateurs de droît prîvé

Correspondant înformatîque et îbertés

Avocat

Jurîste d’entreprîse

Jurîste cyberdéfense

Responsabe Marketîng et communîcatîon

Ingénîeur technîco-commercîa

Responsabe commercîa

Formateur

Déjà parus :

Cybercrîmînalîté et réseaux socîaux : lîaîsons dangereuses Janvîer 2015 - englîsh versîon avaîlable

NetMundîal, un pas décîsîf dans l’évolutîon de la gouvernance Internet ?Décembre 2014

Cybersécurîté des pays émergentsDécembre 2013

L’entraînement cyber, un élément clé pour amélîorer la résîlîenceDécembre 2013

Monnaîes vîrtuelles et cybercrîmînalîté Novembre 2013 – englîsh versîon avaîlable

De l’Unîon douanîère à l’Unîon eurasîatîque, état et perspectîves d’întégratîon dans l’espace post-sovîétîqueOctobre 2013

PME et marchés de défense – le SIA LAB, une înîtîatîve au servîce de l’accès des PME aux marchés de défenseAoût 2013

La coopératîon technologîque et îndustrîelle de défense et de sécurîté du BrésîlMaî 2013

Une nouvelle approche du terrorîsme. Mîeux comprendre le proil des groupes terrorîstes et de leurs membresMaî 2013

Le inancement de la R&D de défense par l’Unîon européenneAvrîl 2013

Les drones et la puîssance aérîenne futureFévrîer 2013

Compagnie Européenne d’Intelligence Stratégique (CEIS) Socîété Anonyme au capîtal de 150 510 € - SIRET : 414 881 821 00022 – APE : 741 G 280 boulevard Saînt Germaîn – 75007 Parîs Tél. : 01 45 55 00 20 – Fax : 01 45 55 00 60 Tous droîts réservés

w w w. C E I S. E U