Missions principales
Analyse des risques, études et audit de la sécurité web
- Auditer le système de sécurité web, wifi, VoIP, éventuellement avec l'aide de prestataires (tests de pénétration et d’intrusion).
- Analyser les risques, les dysfonctionnements, les failles dans la protection, les marges d'amélioration des systèmes de sécurité.
- Définir ou faire évoluer les mesures et les normes de sécurité web et messagerie, en cohérence avec la nature de l'activité de l'entreprise et son exposition aux risques informatiques (politique de mots de passe, choix d’antivirus, certificats…).
- Réaliser les études techniques permettant au RSSI de faire les choix des dispositifs techniques les plus appropriés aux besoins de l'entreprise (firewall, cryptographie, authentification...).
Pilotage des projets et suivi du dispositif de sécurité Internet
- Définir le plan de prévention, les standards et les procédures de sécurité (cahier des charges des spécifications, schéma directeur, plan de continuité).
- Mettre en place les méthodes et outils de sécurité web ainsi que les procédures de protection contre les intrusions extérieures (hacker, virus, rancongiciels…) adaptées et accompagner leur implémentation auprès des utilisateurs.
- Organiser et animer les réunions avec les différents acteurs de la mission.
- Réaliser des tableaux de bord d’avancement du projet.
Audit sécurité et gestion des risques
- Faire une analyse des risques de non-conformité réglementaire et mettre en place des mesures correctives le cas échéant.
- Mettre en place des programmes d’audit intrusif à large périmètre (applications, infrastructures et réseaux).
- Faire une analyse des risques de sécurité, via la simulation d’attaques persistantes avancées (APT).
- Réaliser des revues techniques de sécurité (analyses de vulnérabilité, de configuration de sécurité, tests d’intrusion / pentests, Red Team…).
- Rédiger un rapport d’audit (propositions et plan d’action). Élaborer et suivre les tableaux de bord des incidents de sécurité Internet (attaques virales notamment).
- Réparer les dommages causés au SI en cas d'intrusion dans le système ou de contamination par un virus, en analyser les causes et consolider les mesures de sécurité.
- Tester ou faire tester régulièrement le bon fonctionnement des mesures de sécurité mises en place pour en détecter les faiblesses et les carences (tests d’intrusion notamment).
Communication et formation sur les normes de sécurité
- Participer à la réalisation du référentiel de sécurité, sur la partie sécurité des réseaux (politique de mots de passe, d’authentification, d’utilisation de certificats, de niveau de sécurité antivirale sur les postes, de définition (censoriale) de sites de confiance…) l'actualiser régulièrement, en assurer la diffusion auprès des utilisateurs et veiller à son application.
- Réaliser des supports de formation et en assurer la diffusion principalement auprès des collègues du service informatique.
- Mettre en place des actions de communication auprès des salariés de l’entreprise en cas de risque majeur (information sur des types de mails infectés par exemple) ou de dommages au SI causés par une attaque.
Veille technologique et réglementaire
- Assurer une veille technologique, notamment sur les protocoles, les nouveaux systèmes d'intrusion et les dernières techniques d'attaque sur le web ainsi que les évolutions des protections pour garantir la sécurité du système.
- Identifier les nouveaux risques sur la sécurité du système d'information : apparition de nouveaux virus, lancement d'attaques informatiques sur le réseau mondial...
- Suivre les évolutions juridiques du marché en termes de sécurité Internet afin de garantir que les mesures de sécurité web soient bien conformes au droit individuel et collectif.
Activités éventuelles
- Avant-vente et support commercial
- Contribuer à la démarche commerciale (porteurs d’offres, contribution aux activités d’avant-vente) selon opportunité.
- Recueillir les besoins du client pour déterminer le contexte de la mission, les objectifs attendus, identifier les acteurs impliqués dans le projet (développeurs, hébergeurs, responsables des mises jour…).
- Apporter un appui technique à la rédaction de la proposition commerciale.
- Animation de formations à la sécurité web, intervention dans des colloques réunissant des professionnels du domaine.
Variabilité des missions
L'activité de l’ingénieur sécurité web peut varier selon…
Les conditions d'exercice :
- Lorsqu'il exerce en ESN ou en cabinet conseil spécialisé, l’ingénieur sécurité web n’intervient souvent que sur une partie des missions et sur un domaine dans lequel il lui est demandé une expertise très poussée : il recherche les failles du système. Son rôle est souvent centré sur une activité de conseil (réalisation d'audits de sécurité et préconisation de solutions techniques adaptées), plus que sur la mise en place de dispositifs. Il est également en charge de la réponse aux appels d’offre et de l’avant-vente des prestations.
- En entreprise, le spécialiste sécurité est en charge de la mise en pratique opérationnelle de la sécurité sur le Web : il est amené à gérer les droits des utilisateurs et à participer à la définition des règles avec les opérationnels des métiers. Il est souvent amené à sensibiliser les différents interlocuteurs aux problématiques de sécurité ( les mots de passe par exemple).
- Cette fonction peut être cumulée avec celle d’ingénieur système réseaux télécoms ou d’administrateur système réseau dans les PME ou dans les sociétés qui estiment leurs risques d’intrusion sans conséquences économiques importantes. Dans les entreprises de taille moyenne, l’expert sécurité informatique fait office de RSSI et définit l’ensemble de la politique de sécurité informatique (back-up, sécurité physique des équipements …) avec le Directeur Informatique (DSI).
- Certains spécialistes sont des « hackers blancs » qui ont une expertise très pointue dans des domaines tels que l’intrusion, l’identification…
Le secteur et la culture du risque de l’entreprise :
- Dans les secteurs d'activité sensibles tels que la banque/finance ou encore la défense, ou les télécoms, la culture du risque en interne est très forte. De fait, ce poste de consultant sécurité informatique revêt un enjeu stratégique et dispose en conséquence de moyens plus importants qu'ailleurs. Il travaille généralement avec une équipe de prestataires, experts techniques, voire fonctionnels, et doit avoir des notions d’urbanisme et d’architecture S.I. plus poussées que dans d’autres secteurs.
La taille de l’entreprise :
- En PME, cette fonction est souvent confiée aux administrateurs ou ingénieurs systèmes réseaux télécoms.
- Dans les structures de grande taille, de 1 000 à 5 000 salariés, le spécialiste sécurité informatique a souvent un positionnement orienté vers l'expertise technique. Il garantit avant tout la pérennité et l'évolution de l'infrastructure pour faire face aux attaques et aux risques extérieurs. Il n'encadre généralement pas d'équipe.
- Dans de grandes entreprises, même s’il intervient via une ESN ou un cabinet d’expert, il peut coordonner des équipes importantes (jusqu’à 50 personnes) en fonction des problèmes rencontrés.
- Dans les groupes internationaux ou possédant plusieurs implantations, l’expert sécurité informatique fait partie d’une équipe dont le responsable occupe un rôle de centralisation et d'animation du dispositif global de sécurité. Il doit travailler en synergie avec ses homologues en termes de moyens, et de règles de sécurité et est amené à travailler en anglais pour converser avec ses collègues d’autres pays.
Rattachement hiérarchique
- Directeur de mission F/H
- Directeur technique F/H
- Directeur de projet F/H
- Directeur des systèmes d’information F/H
- Directeur / responsable de la sécurité des systèmes d’information (DSSI / RSSI) F/H
- Responsable de la production informatique F/H
Contexte et facteurs d’évolution du métier
- L'essor du Web collaboratif, du cloud computing, des applications Web mobile, du paiement en ligne, la multiplication des standards (pour les applications mobiles) ainsi que certains exemples récents d’intrusions sur des sites d’entreprises a priori sécurisées, y compris d’émetteurs de certificats, expliquent l'importance que prennent les problématiques de sécurité informatique. Un nombre important de PME ont pendant longtemps négligé les investissements dans ce domaine, étant convaincues que l’usage d’un anti-virus et d’un firewall se révélait suffisant.
- La prise en compte du « risque informatique » est relativement récente et certaines entreprises ont pu se rendre compte qu’il était difficile de chiffrer les conséquences de pertes ou de corruption de données.
- La protection des données est devenue un sujet clef dans les entreprises, qu’il s’agisse de données personnelles (données de clients ou d’employés…) ou de données relatives à l’entreprise (brevets, plans stratégiques, etc.). La loi informatique et liberté datant de 1978 et faisant référence a été complétée par l’entrée en application, en mai 2018, du règlement général sur la protection des données (RGPD). Ce règlement est intervenu dans un contexte où les cyberattaques à l’encontre des entreprises se multiplient.
- Dans ce contexte, l’ingénieur cybersécurité doit ainsi faire face à des évolutions règlementaires constantes, que ce soit des règlementations globales ou spécifiques à certains secteurs. Leur environnement technique est également en forte évolution avec le développement des cyberattaques et des technologies associées. Le développement de l’internet des objets est également une thématique sur laquelle ingénieurs sécurité informatique doivent de plus en plus se pencher.
- Les compétences qui leur sont demandées sont également en évolution. Ce métier se transforme progressivement d’un métier très technique à un métier stratégique. En effet, les ingénieurs en cybersécurité sont de plus en plus amenés à travailler sur des sujets organisationnels et stratégiques pour l’entreprise (gestion de projet de sécurité informatique, mise en conformité…). C’est un métier de plus en plus recherché par les entreprises, avec une ouverture du métier à des profils moins techniques et plus organisationnels.