Auditeur de sécurité technique
Vous prenez du recule sur les situation et prenez le temps de les analyser, vous aimez le contact humain et pouvez donner des recommandations, ce poste est fait pour vous.
Niveau d’études : Bac +5
Employabilité : Forte
Salaire débutant : 3 165 €
Salaire confirmé : 10 040 €
Mobilité : Bonne
Code ROME : M1802
Code FAP : M2Z
SOMMAIRE :
1.Le poste en quelques mots
2.Missions
3.Responsabilité de l’auditeur de sécurité technique
4.Les différents type d’audits de sécurité
5.Compétences
6.Salaire
7.Dans quel secteur travailler ?
8.Comment accéder au métier ?
Le poste en quelques mots :
L’auditeur de sécurité technique a pour rôle de réaliser des évaluations techniques de la sécurité d’environnements informatiques. Il va chercher à identifier les vulnérabilités et à proposer par la suite des actions correctives. Il peut réaliser différents types d’audits en fonction de son périmètre d’activité (tests d’intrusion, audit de code, revue de configuration, etc.).
Titre équivalent : Expert technique en audit sécurité, auditeur informatique, expert en tests d’intrusions
Missions
L’auditeur de sécurité technique a pour rôle d’identifier les vulnérabilités et proposer des action correctives, il peut pour cela réaliser différents types d’audits. Il va de ce fait réaliser plusieurs missions, de la réalisation d’audits à la réalisation de scans de vulnérabilités le tout en passant par une veille active et technique continue.
Ses principales missions sont de 3 catégories :
Pour la réalisation des Audits :
- Adopter une vision globale du système d’information à auditer
- Définir les plans d’audits au sein du SI de l’organisation
- Exécuter et documenter des audits de sécurité sur différents environnements informatiques en s’assurant du respect du cadre réglementaire encadrant ces pratiques
- Collecter les éléments de configuration des équipements à auditer et réaliser une revue des configurations (audits de configuration)
- Collecter les éléments d’architecture des systèmes à auditer et réaliser une revue de l’architecture (audit d’architecture)
- Définir les scénarios d’attaques et réaliser des attaques sur l’environnement cible (tests d’intrusion)
Pour la réalisation et/ou le pilotage de la mise en œuvre de scans de vulnérabilités :
- Procéder à des interviews des équipes pour évaluer les impacts pour l’organisation des vulnérabilités détectées
- Rédiger des rapports intégrant une analyse des vulnérabilités rencontrées et une identification des causes ; mettre en évidence et évaluer les risques de sécurité et les impacts pour les métiers
- Définir les recommandations permettant de remédier aux risques découlant des vulnérabilités découvertes
- Collaborer avec les équipes informatiques pour mettre en œuvre les recommandations techniques
- Produire des tableaux de bord du niveau de sécurité et de conformité
Pour la veille technique :
- Assurer une veille permanente vis-à-vis des scénarios d’attaques, des nouvelles menaces et des vulnérabilités associées et vis-à-vis du développement de nouveaux contextes de tests
Notre conseil : Les différents organismes sont devenus la cible de menaces en cybersécurité, ainsi garantir la sécurité du système d’information est un enjeu primordial dans la stratégie. Ce métier à ainsi le vent en poupe, n’hésitez donc pas à vous renseigner d’avantage.
Responsabilité de l’auditeur de sécurité technique
Cet expert en cybersécurité va donc conduire des audits de sécurité technique permettant de déterminer le niveau de sécurité de son système d’information. L’audit va aussi permettre de définir les configuration réseau et la politique d’accès aux données de l’entreprise. L’audit est un élément primordial pour la bonne disponibilité du système d’information.
Quels sont les différents type d’audits de sécurité dont l’auditeur de sécurité technique est responsable ?
L’audit de sécurité qui va donner aux responsables une information sur le risque encouru par l’organisation et ses vulnérabilités. Cet audit se base essentiellement sur le repérage des actifs informationnels de l’entreprise.
L’audit de la fonction informatique qui va évaluer l’organisation, le pilotage, le positionnement de la fonction informatique par le biais des relations entre les outils numériques, l’existence de tableau de bord ou de tout autre dispositif de mesures par exemple. L’audit va aussi définir le rôle de chaque partie prenante dans l’organisation et l’impact du pôle sur les performances globales. Un autre audit en lien avec l’informatique est l’audit des projets informatiques ayant pour objectif de garantir la clarté du processus de développement, la vérification de l’application, la gestion du risques ainsi que le périmètre fonctionnel.
Le dernier type d’audit est l’audit des applications opérationnelles qui va couvrir le système d’information de l’entreprise. L’objectif principal étant d’assurer la bonne conformité de l’application mais aussi s’assurer la mesure des performances, la vérification des dispositif de contrôle et la fiabilité des traitements.
Compétences
L’auditeur de sécurité technique doit développer de multiples compétences tels que de grandes connaissances dans les domaines suivants :
- Sécurité des systèmes d’exploitation
- Sécurité des réseaux et protocoles
- Couches applicatives
- Gouvernance, des normes et des standards : maîtrise des méthodologies d’audits Tests d’intrusion : maîtrise des techniques d’audits techniques de sécurité
- Rétro-ingénierie de systèmes (reverse engineering)
- Scripting Connaissance juridique en matière de droit informatique lié à la sécurité des SI et à la protection des données
Ces connaissance se doublent d’un aspect incontournable du métier d’auditeur de sécurité technique, à savoir la cyberdéfense. Ainsi, cet expert doit maitriser les connaissance des techniques d’attaques et d’intrusion mais aussi des vulnérabilités des environnements propres à cette branche spécifique.
Un capacité à réaliser une veille technologique en cybersécurité et son étude des tendances est également nécessaire.
Les compétences comportementales, facteur clé de succès
Capacité de synthèse et de vulgarisation pour des publics non techniques, rédaction de rapports adaptés à différents niveaux d’interlocuteurs, sens éthique, capacité de travail en équipe et rigueur sont autant de points importants.
Salaire
La rémunération d’un auditeur de sécurité technique va évoluer en fonction des ses missions, ses années d’expériences mais aussi de la structure dans laquelle il évolue. Un auditeur de sécurité technique junior débutera à 37 980€ brut annuel environ alors qu’un expert pourra voir son salaire grimper à 120 500€ brut annuel.
Dans quel secteur travailler ?
L’analyste de la menace cybersécurité peut travailler pour tout type d’entreprises, que ce soit dans le public ou le privé. Il peut s’orienter vers le secteur industriel ou encore des sociétés de services voir le secteur public. Voici un exemple d’organismes qui recrutent :
- Capgemini
- Atos
- EY
- Orange Cyberdéfense
Descriptif du métier dans le répertoire ANSSI
L’auditeur sécurité technique peut être amené à réaliser des audits de type red team qui visent à simuler des attaques en grandeur réelle dans le but de tester les défenses de l’organisation. Il peut également être amené à réaliser des audits dans une approche purple team afin d'entraîner les équipes de détection des incidents de cybersécurité.
Comment accéder au métier ?
Formation : Bac +3 à Bac+5 dont spécialisation en cybersécurité Type de certification : PASSI (Prestataire d’Audit de Sécurité des Systèmes d’Information)
Spécialiste en cybersécurité
Le parcours parfait pour les métiers techniques de la cybersécurité. Des passerelles existent pour les personnes ayant déjà validé des formations liées au monde de la cyber - BTS Informatique, IUT Informatique... - ou jugées à tort “éloignées” du monde de la cyber - Licence de droit, IAE….
Le guide complet des métiers
Notre école forme aux 25 métiers de la cybersécurité, des métiers techniques aux métiers d'encadrement, des opérations informatiques à la sécurité des systèmes industriels. Voici la liste des emplois pour lesquels vous serez formé en participant à l'un de nos programmes de formation.
Les métiers du même thème
Vous êtes intéressés par la thématique de ce poste, mais souhaitez voir sont les autres métiers disponibles ?