Expert en cybersécurité (MS)

L’expert en cybersécurité a pour mission principale la garantie de la protection des données informatiques exposées à des actes malveillants. Il travaille soit dans une société d’ingénierie informatique soit dans une entreprise entant que consultant en sécurité.

Le rôle d’un expert en cybersécurité c’est aussi la pérennisation des systèmes d’information. Il va d’abord aller traquer les points faibles en diagnostiquant la vulnérabilité du système de façon globale. Ensuite, faire des tests d’intrusion pour enfin, proposer des solutions aux problèmes pour améliorer la sécurité et permettre à l’entreprise de faire face aux attaques, tout en préservant sa sécurité.

Compétences attestées :

• Collecter l’ensemble des informations relatives aux incidents informatiques à l’aide des outils adéquats afin d’avoir une première idée sur l’ampleur de la crise
• Trier les éléments liés à l’incident en les catégorisant afin d’organiser des éléments de preuves analysables
• Analyser les preuves numériques collectées selon la méthodologie forensique, méthode dont l’objectif est de produire des preuves numériques de l'attaque informatique en vue d’une procédure judiciaire ou d'une action interne à l’aide de la collecte de données brutes ou altérées pour reconstituer le déroulement de l'attaque, afin d’identifier la nature de l’incident
• Contextualiser l’incident en faisant la corrélation entre signe d’incident et l’analyse de traces informatique (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation afin d’établir des scenarii potentiels d’incident
• Élaborer un plan de remédiation afin d’appliquer les actions nécessaires à la résolution de l’incident telles que décrites dans la politique de sécurité des systèmes d’information (PSSI) en émettant notamment des recommandations aux collaborateurs afin de répondre à la crise cyber
• Enrichir la politique de sécurité (PSSI) et des documents associés avec le Responsable de la sécurité des systèmes d'information (RSSI) et/ou Directeur des systèmes d'information (DSI) en utilisant les méthodologies d’analyse de risques telles que Méhari ou EBIOS, ainsi que la norme iso 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc. afin d’améliorer la sécurité et la résilience du SI
• Améliorer de façon continue ses pratiques en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques
• Assurer la supervision des infrastructures et des événements de sécurité en exploitant un système de gestion de l’information et des événements de sécurité (SIEM), en utilisant ces informations pour retracer la chronologie d’une cyberattaque afin de mettre en évidence les signaux faibles, qui d’ordinaire, passent inaperçus et d’éviter que ces mêmes attaques se reproduisent dans le futur
• Détecter en temps réel les incidents et les menaces en identifiant leurs sources afin de bloquer leur accès au système informatique
• Analyser le code malveillant par les techniques d’analyse statique et/ou dynamique pour le qualifier et le catégoriser
• Produire un correctif à l’aide de la distribution Kali Linux (langage python, script bash sous linux, exécutable écrit en C++.) qui sera appliqué par les équipes afin de réponse à incident
• Attribuer l’incident en établissant une grille d’analyse d’intrusion en utilisant les méthodes adéquates : Kill Chain, Diamond Model, la matrice MITRE ATT&CK, afin de modéliser une intrusion ciblée
• Anticiper les futures évolutions des menaces à l’aide de la mise en place d’un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les média sociaux (SOCMINT), le renseignement d'origine humaine et capacité d'analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un hacker
• Analyser le périmètre d’intervention des tests d’intrusion afin de lancer des tests cadrés
• Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles en utilisant les outils adéquats selon la méthodologie de tests d’intrusion (définition du plan d’audit, des scenarii, etc.), tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion en respectant le Code pénal, notamment des articles 323-1 et suivants, spécifique à la cybercriminalité afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions
• Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et systématiquement comporter une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation
• Identifier le périmètre et l’environnement technique afin d’évaluer la quantité de données à acquérir
• Définir la stratégie de préservation des données (en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes) afin de rédiger le document de traçabilité des actions effectuées
• Réaliser la collecte de façon technico-légale à l’aide d’outils de collecte dédiés (suivant les cas, en extrayant les données sur un support de type clé USB, ou bien, de réaliser une copie technico-légale avec des outils open source, tels que dd, dcfldd, présents sur la distribution Kali Linux, ou bien des outils commerciaux comme ftk imager), afin de préserver les preuves numériques
• Analyser les artefacts identifiés (disque dur, mémoire, traces réseaux, journaux d’évènements, e-mail, navigateurs, smartphones …) afin de tracer les preuves numériques ·
• Rédiger un rapport d’analyse en adaptant son discours afin de le présenter à divers publics, techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incident).

Secteurs d’activités :

• Grands groupes industriels
• Secteur bancaire
• Entreprises publiques
• Administrations
• PME/TPE

Type d'emplois accessibles :

• Directeur du Système d’Information
• Responsable de la Sécurité des Systèmes d’Information
• Responsable CERT (Computer Emergency Response Team) ou équipe de réponse à incidents
• Toutes les fonctions d’expertise en cabinet de conseil : audit, consultant, intégrateur, formateur...
• Ingénieur sécurité, cybersécurité, Ingénieur Sécurité d'information
• Consultant en SSI, Sécurité, Sécurité informatique
• Information Security Officer
• Responsable formation forensic et cybersécurité
• Analyste forensic
• Directeur adjoint des enquêtes de l'AMF (Autorité des marchés financiers)
• Chef de laboratoire de criminalistique numérique
• Enquêteur en cybercriminalité
• Consultant (analyste CERT)
• Consultant CERT
• Analyste Sécurité CERT
• Analyste SOC (security operation center)
• SOC Security Analyst

• Université de technologie de Troyes (UTT)

• Université de technologie de Troyes (UTT)

  1ère habilitation	Début validité	Fin validité
  15/12/2021		15/12/2024

• 31006 : Sécurité informatique
• 11016 : Analyse données
• 31014 : Informatique décisionnelle
• 31038 : Audit informatique

• M1801 : Administration de systèmes d'information
• M1802 : Conseil et maîtrise d'ouvrage en systèmes d'information
• M1806 : Expertise et support technique en systèmes d'information