Management de projets et cycle de vie

Chef de projet sécurité

Expérience / niveau de diplôme : Bac+5 – 3 à 5 ans d’expérience

S’assure de la bonne prise en compte des aspects sécurité liés au développement d’un projet. En général, le chef de projet sécurité assiste le chef de projet sur ces aspects.

Les tâches associées à ce métier peuvent être :

  • analyse des besoins de la sécurité (analyse de risques, cible de sécurité)
  • sécurité du développement
  • prise en compte des aspects liés aux évaluations/audits de la sécurité
  • tests liés à la sécurité
  • formation des utilisateurs

À ce titre, le métier peut être considéré comme spécifique à la sécurité. Tous les projets ne nécessitant pas la présence d’un chef de projet sécurité, la responsabilité de ces aspects peut être prise en charge par le chef de projet qui s’appuie ponctuellement sur des experts du domaine.

Métiers associés : Chef de projet sécurité informatique – Chef de projet sécurité des systèmes d’information – Security Project Manager Officer (PMO) – Program Manager – IT program manager

Développeur sécurité

Expérience / niveau de diplôme : Bac+5

Le développeur de sécurité assure le sous-ensemble des activités d’ingénierie nécessaire au développement de logiciels (spécifications, conception, codage, production de binaire, assemblage, tests, préparation à, gestion des sources, gestion de configuration, gestion des faits techniques, archivage, documentation) répondant à des exigences de sécurité. En plus de sa connaissance des fondamentaux de la SSI qui lui permet de comprendre les problématiques à traiter et de ses compétences en développement, on attend du développeur sécurité des connaissances dans les domaines des vulnérabilités, des contre-mesures logicielles et/ou matérielles, des règles de développement sûr (au sens de la sécurité), des langages et de leurs propriétés, des chaînes de développement et de leur paramétrage, du test (de sécurité) et éventuellement des méthodes formelles. Il développe de façon méthodique, en appliquant des règles de conception / codage / tests (qu’il définit au besoin ou qu’il contribue à définir) et s’assure que les composants qu’il produit sont testables en termes de conformité fonctionnelle, de robustesse (tests aux limites et hors limites), de sécurité (résistance aux attaques identifiées en entrée de la conception) et de performance. Ses compétences lui permettent également de faire des revues, audits ou évaluations de code (Secure Software Assessor, Source Code Auditor).

Note : toute personne faisant du développement devrait avoir été initiée à la prise en compte des bonnes pratiques et des méthodes pour limiter l’introduction de vulnérabilités de construction. Cette initiation est typiquement ce que propose une formation labellisée CyberEdu. Le métier décrit ici correspond à une spécialité qui va au-delà de ce que l’on attend d’un développeur formé.

Architecte sécurité

Expérience / niveau de diplôme : Bac+3 à Bac+5 – 5 à 10 ans d’expérience

L’architecte de sécurité structure les choix techniques, technologiques et méthodologiques d’un ensemble [système, logiciel] répondant à des exigences de sécurité. Il s’assure de la déclinaison des exigences techniques (fonctionnalités à offrir, contraintes de performance, d’interopérabilité, d’interchangeabilité, de robustesse, d’intégration de solutions sur étagère, d’exportabilité) selon des critères de coût, d’efficacité, de stabilité, de maîtrise, de niveau de risque, de respect des standards, d’aptitude à la production, au déploiement et à la maintenance MCO (Maintien en Condition Opérationnelle) et MCS (Maintien en Condition de Sécurité). Il valide la cartographie du système d’information et s’assure notamment que les hypothèses de sécurité relatives à l’environnement de son architecture sont clairement énoncées et prises en compte dans sa conception.
Il veille à ce que les exigences de sécurisation applicables aux différents constituants de son architecture ou aux outils permettant de la produire soient effectivement mises en œuvre. Il prépare les dossiers de conception et de justification sur les aspects sécurité. Il participe à la conception de l’architecture et de l’implémentation du produit ou système à développer en s’assurant que les différentes briques disposent du niveau de sécurité adapté aux contextes du projet sur les aspects techniques, usages, métiers…

Métiers associés : Architecte Sécurité Informatique – Architecte Réseaux et Télécom – System architect – Information Security Architect – Security architect

Intégrateur de sécurité

Expérience / niveau de diplôme : Bac+3 à Bac+5

L’intégrateur de sécurité système analyse et prend en charge les volets sécurité (objectifs, niveau de criticité et attentes en termes de résilience) en liaison avec l’architecte informatique et/ou l’architecte sécurité et programmes dans l’infrastructure. Il définit et met en œuvre des plates-formes nécessaires à l’intégration des solutions (services ou produits de sécurité) dans les nouvelles applications. Il planifie, coordonne, en relation avec les autres secteurs concernés (systèmes, réseaux, système de gestion base de données, etc.), les besoins d’intégration exprimés. Il installe des composants matériels, des composants logiciels ou des sous-systèmes supplémentaires dans un système existant ou en cours de développement, respecte les processus et procédures établis (i.e. gestion de configuration) en tenant compte de la spécification, de la capacité et de la compatibilité des modules existants et des nouveaux modules afin de garantir intégrité et interopérabilité. Il contribue à la qualification technique et à l’intégration dans l’environnement de production. Il documente les processus de mise en œuvre, de mise à jour et d’exploitation des composants de sécurité et organise les conditions de mise en œuvre du maintien en condition de sécurité.