Responsable du CSIRT (Computer Security Incident Response Team)
Résister à la pression, travailler en équipe et manager sont vos points forts ? Pourquoi ne pas devenir Responsable du CSIRT
Niveau d’études : Bac +5
Employabilité : Bonne
Salaire débutant : 4 000 €
Salaire confirmé : 6 000 €
Mobilité : Moyenne à faible
Code ROME : M1802
Code FAP : M2Z
SOMMAIRE :
1. Le poste en quelques mots
2. Missions
3. Définition d’un CSIRT
4. Compétences
5. Salaire
6. Dans quel secteur travailler ?
7. Comment accéder au métier ?
Le poste en quelques mots :
Le responsable du CSIRT (Computer Security Incident Response Team) ou du CERT (Computer Emergency Response Team) est en charge d’une équipe de réponse aux incidents de sécurité ciblant les systèmes d’information de l’organisation. Il s’assure de la bonne exécution des investigations et de la coordination des parties prenantes lors d’un incident de sécurité. Il contribue à la préparation de l’organisation pour garantir une réponse efficace. Lors d’incidents à fort impact, le responsable du CSIRT est amené à interagir avec l’équipe de gestion de crise.
Titre équivalent : Pilote du CERT, Responsable d’un service de réponse aux incidents de sécurité
Missions issues du référentiel métiers de l’ANSSI
Pilotage des opérations :
- Planifier et organiser les opérations quotidiennes du CSIRT
- Assurer un appui opérationnel à la gestion de crise de sécurité en cas d’incidents de sécurité majeurs
- Organiser les modes de fonctionnement avec le SOC (Security Operation Center) interne ou externe pour assurer la gestion des incidents de sécurité
Anticipation :
- S’appuyer sur les services de veille sur les menaces (threat intelligence) pour tenir compte des groupes d’attaquants existants, de leurs méthodes d’attaques et de leurs motivations
- Informer les équipes en charge de la sécurité des nouvelles menaces importantes et recommander des mesures tactiques pour les contrer
- Construire et maintenir des relations de confiance et d’échange avec les réseaux de CSIRT français et étrangers ainsi qu’avec les organismes gouvernementaux
- Participer aux exercices de préparation à la gestion de crise de cybersécurité
Réponse à incident :
- Élaborer et tenir à jour le processus d’intervention en cas d’incident majeur de sécurité ainsi que toutes les ressources nécessaires (outillage, procédure, etc.) ; vérifier que les prérequis techniques et documentaires sont en place et tenus à jour
- S’assurer que les parties prenantes connaissent leur rôle dans la gestion des incidents de sécurité
- S’assurer de la bonne exécution du processus de réponse à incident depuis la détection jusqu’à la résolution de l’incident ; suivre et coordonner les actions de remédiation
- Organiser les retours d’expérience concernant les incidents pour capitaliser et définir des actions d’amélioration
Notre conseil : ce poste est ouvert aux femmes et aux hommes. La motivation et l’envie d’apprendre sont les qualités fondamentales de la bonne réussite de votre projet. Ne vous mettez pas de barrière, vous pouvez le faire.
Définition d’un CSIRT
Le CSIRT est une équipe d’intervention pour les réponses à incidents. Cet organe traite les alertes cyber et détermine leur niveau d’incidence. Ensuite, il gère l’incident de bout en bout. Le CSIRT n’est pas une fonction en soit dans l’organisation, il intervient en fonction de la nature de l’incident cyber et des besoins en expertise.
Selon la taille de l’organisation, le CSIRT peut être interne, en étant partie intégrante de l’organisme (entreprise, université, administration, …) ou externe.
Le CSIRT travaille de pair avec le Centre Opérationnel de Sécurité (SOC) et le ou les Computer Emergency Response Team (CERT) avec lesquels ils sont parfois fusionnés. Les CSIRT ne sont pas à confondre avec les SOC et les CERT, pour faire la différence entre les 3 grands termes :
| Organisation | Objectif Principal | Description |
| CERT | Collecter et diffuser les Informations sur les menaces | Computer Emergency Response Team est équipée pour collecter, agréger et qualifier les informations provenant de plusieurs sources afin d’identifier les menaces cyber. |
| SOC | Surveiller, défendre et détecter les menaces | Security Operation Center est une équipe qui investit dans de l’équipement (SIEM, EDR, etc.) et des ressources humaines (SOC Analyst, etc.) pour surveiller et défendre le périmètre IT et OT d’une organisation. |
| C(S)IRT | Répondre aux incidents | Computer Security Incident Response Team est une équipe multidisciplinaire chargée de répondre à un incident Cyber. Ce ne sont pas nécessairement des personnes à temps plein, elles sont généralement sollicitées pour leur expertise en fonction de la classification de l’incident. |
Compétences issues du référentiel de l’ANSSI
Savoir-faire
- Maîtrise du système d’information, de l’urbanisation et de l’architecture du SI
- Analyse post-mortem (forensic) : connaissance des outils d’analyse
- Analyse post-mortem (forensic) : connaissance des procédures légales Cyberdéfense : pratique de l’analyse de journaux (systèmes ou applicatifs)
- Cyberdéfense : pratique de l’analyse de flux réseaux
- Cyberdéfense : connaissance des techniques d’attaques et d’intrusions
- Cyberdéfense : connaissance des vulnérabilités des environnements
- Scripting
Savoir-être
- Capacité de restitution et de vulgarisation pour des publics non techniques
- Rédaction de rapports adaptés à différents niveaux d’interlocuteurs
- Travail en équipe
- Capacité à résister à la pression
- Sens éthique
Salaire
Le salaire d’un responsable du CSIRT varie selon son organisme de rattachement. Un responsable junior pourra prétendre à un salaire d’environ 50 000€ bruts annuels quant un profil senior pourra lui prétendre à 80 000€ bruts annuels.
Dans quel secteur évoluer ?
Les CSIRT sont un réseau international, composé d’entreprises et d’institutions de tailles et profils divers.
Pour consulter la liste des centres : cliquez ici
Descriptif du métier dans le répertoire ANSSI
Le responsable du CSIRT peut être amené à contribuer à la gestion d’incidents liés à des raisons autres que la sécurité des SI, comme par exemple la fraude via des moyens informatiques.
Comment accéder au métier ?
Formation : Bac +5, spécialisation en cybersécurité avec une forte composante en systèmes et réseaux Expérience professionnelle de 5 ans minimum au sein d’un CSIRT
Expert en système informatique – Parcours Responsable cybersécurité
Ce parcours est adapté aux métiers à responsabilité et à des besoins très spécifiques de la cybersécurité. Il vous permettra d'approfondir et d’affiner vos connaissances et compétences dans une de nos trois spécialités : Industrielle (OT), Gestion de la Sécurité Opérationnelle (SOC) ou Gouvernance, Risque et Conformité (GRC).
Spécialiste en cybersécurité
Le parcours parfait pour les métiers techniques de la cybersécurité. Des passerelles existent pour les personnes ayant déjà validé des formations liées au monde de la cyber - BTS Informatique, IUT Informatique... - ou jugées à tort “éloignées” du monde de la cyber - Licence de droit, IAE….
Le guide complet des métiers
Notre école forme aux 25 métiers de la cybersécurité, des métiers techniques aux métiers d'encadrement, des opérations informatiques à la sécurité des systèmes industriels. Voici la liste des emplois pour lesquels vous serez formé en participant à l'un de nos programmes de formation.
Les métiers du même thème
Vous êtes intéressés par la thématique de ce poste, mais souhaitez voir sont les autres métiers disponibles ?