Conseil, audit et expertise

Consultant sécurité « organisationnel »

Expérience / niveau de diplôme : Bac+4/5 – Qualification ANSSI possible : PASSI

« Consultant » est un terme générique souvent utilisé par les sociétés de services pour désigner toute personne en mesure de prodiguer des conseils à un client. Dans le domaine de la sécurité, on peut distinguer les consultants intervenant plutôt sur les aspects organisationnels ou non techniques de la sécurité de ceux qui interviennent dans les domaines techniques.

Typiquement, le consultant organisationnel effectuera des prestations dans tout ou partie des domaines suivants :
– travaux méthodologiques
– analyses de risques
– activités d’analyse de risques, d’audit, de gestion de projet sécurité
– définition et mise en place de politiques de sécurité ou de systèmes de management de la sécurité
– entraînement au management de la sécurité

Ses compétences peuvent l’amener à réaliser des prestations d’audit dans tout ou partie des domaines précédemment cités.

Métiers associés : Consultant sécurité – Consultant gouvernance, risques et conformité – Consultant en SSI – Auditeur organisationnel – Lead auditor – Lead implementer – Systems auditor -Information security auditor

Consultant sécurité « technique »

Expérience / niveau de diplôme : Bac+4/5 – Qualification ANSSI possible : PASSI

« Consultant » est un terme générique souvent utilisé par les sociétés de services pour désigner toute personne en mesure de prodiguer des conseils à un client. Dans le domaine de la sécurité, on peut distinguer les consultants intervenant plutôt sur les aspects organisationnels ou non techniques de la sécurité de ceux qui interviennent dans les domaines techniques.
Selon son domaine d’expertise, le consultant technique effectuera des prestations dans les domaines suivants :
– les travaux en lien avec les applications et les services sécurisés (mise en œuvre et configuration, analyse de la sécurité…)
– les travaux en lien avec les systèmes d’exploitation (mise en œuvre et configuration, audit de configuration, test de pénétration…)
– les travaux en lien avec les réseaux (mise en œuvre et configurations d’équipements sécurité, test de pénétration…)
– les travaux en liens avec du matériel (mesures de signaux compromettants, analyse logique, conception de produits matériels sécurisés…)
– la rétro ingénierie (logicielle ou matérielle)
– la cryptographie (implémentation sûres… pour ce thème voir « Cryptologue »)
– l’analyse post-mortem (investigation numérique, forensique)
– et de manière générale, les activités à caractère technique ou scientifique.

Ses compétences peuvent l’amener à réaliser des prestations d’audit dans tout ou partie des domaines précédemment cités.

Métiers associés : Auditeur technique sécurité et test d’intrusion – Pen testeur -Expert audit sécurité et intrusion – Spécialiste cybersécurité – Expert technique -Consultant sécurité – Security Control Assessor – Vulnerability Assessment Analyst – Ethical Hacker – Penetration tester – Vulnerability assessor

Cryptologue

Expérience / niveau de diplôme : Bac+5 à doctorat

Il apporte son expertise dans tout ou partie des domaines suivants :
– utilisation d’algorithmes cryptographiques
– utilisation / conception de protocoles cryptographiques
– gestion des clés
– implémentation sécurisée d’algorithmes cryptographiques
– utilisation de bibliothèques cryptographiques
– évaluation de l’utilisation et de l’implémentation d’algorithmes cryptographiques
– analyse cryptographique

Exceptionnellement, il peut être amené à concevoir des algorithmes cryptographiques.

Métiers associés : Expert crypto – Cryptographer – Cryptanalyst

Juriste spécialisé en cybersécurité

Expérience / niveau de diplôme : Bac+5/6

Le juriste spécialisé en cybersécurité est un expert du droit des technologies de l’information et de la communication qui est spécialiste des thèmes et des corpus concernés par la cybersécurité, la cybercriminalité et la protection des données à caractère personnel. Il peut opportunément présenter une expérience d’avocat à même d’éclairer la direction sur les conséquences pénales ou civiles d’une cyberattaque, dès lors qu’une décision voire la gestion d’une crise avec une composante « cybersécurité» requiert son expertise.

Conseil de la direction en matière de responsabilités civile et pénale, il se tient informé des évolutions de la réglementation internationale, européenne et nationale. Il effectue une veille juridique depuis le simple projet jusqu’à la publication et l’entrée en vigueur des textes régissant les conflits armés, le droit des affaires (notamment le secret des affaires) ainsi que la jurisprudence, en différenciant selon que la décision est un cas d’espèce ou au contraire amène des réflexions plus générales sur la pratique du droit.

Métiers associés : Consultant juridique en cyberdéfense – Cyber Legal Advisor

Évaluateur sécurité

Expérience / niveau de diplôme : Bac+5

Le métier concerne les laboratoires qui réalisent les évaluations de la sécurité des technologies de l’information et les développeurs de produits devant être évalués :
– Coté évaluateur :
L’évaluateur sécurité vérifie la conformité d’un produit, voire d’un système, par rapport à sa spécification de sécurité (cible de sécurité…) selon des critères et une méthode normalisée ou réglementaire (CC, CSPN…) ou privée (PCI, EMVCo…). Le résultat de cette évaluation peut donner lieu à une certification (ou assimilée).
– Coté développeur :
Les mêmes compétences peuvent être utilisées chez les développeurs de produits ou de systèmes qui doivent subir une évaluation sécurité. En termes de titre, on parlera plutôt de « responsable évaluation » ou de « responsable certification ». Son rôle est de gérer la relation avec les laboratoires qui réalisent les évaluations, de s’assurer que toutes les fournitures attendues sont disponibles etc.

Métiers associés : Responsable évaluation – Responsable certification – System Testing and Evaluation Specialist

Analyste de la menace

Expérience / niveau de diplôme : Bac+3/5

De niveau licence à master, l’analyste peut contribuer à plusieurs domaines d’activité de la cybersécurité, dans les domaines de :
– l’anticipation technologique avec de la veille technique
– l’anticipation dans le domaine du renseignement sur les menaces, avec de l’analyse d’impact des codes d’exploitation (activités CERT et intégrateur de solutions)
– l’anticipation en conduite pour évaluer les dommages subis par un système compromis, participer à la conception de la solution technique visant à restituer le service et apporter ses compétences de spécialiste en matière de mise en œuvre des principes de sécurisation SSI

Il peut contribuer au schéma directeur et à l’urbanisation sécurisée des systèmes.

Métiers associés : Threat Intelligence

Délégué à la Protection des Données (DPD)

Expérience / niveau de diplôme : Bac+5 – 10 ans d’expérience

S’assure que les données personnelles sont traitées par l’entreprise conformément aux règles internes et aux lois en vigueur.

Métiers associés : Correspondant informatique et libertés (CIL) – Data protection officer (DPO) – Privacy Compliance Manager – Privacy officer – Data protection officer