L’expert sécurité réalise des audits du système de sécurité, le plus souvent avec l’aide de prestataires. Il analyser les dysfonctionnements, les marges d’amélioration des systèmes de sécurité.
Aussi, l’expert sécurité définit ou fait évoluer les mesures et les normes de sécurité, en cohérence avec la nature de l’activité de l’entreprise et son exposition aux risques informatiques. Il choisit les dispositifs techniques les plus appropriés aux besoins de l’entreprise (firewall, programmes de back up, cryptographie, authentification…).
L’expert sécurité met en place les méthodes et outils de sécurité adaptés et accompagner leur implémentation auprès des utilisateurs. Il élabore et suit les tableaux de bord des incidents sécurité. Aussi, l’expert sécurité supervise les programmes de sauvegarde.
Par ailleurs, l’expert sécurité répare les dommages causés au SI en cas d’intrusion dans le système ou de contamination par un virus, en analyser les causes et consolider les mesures de sécurité. Il teste régulièrement le bon fonctionnement des mesures de sécurité mises en place pour en détecter les faiblesses et les carences.
L’expert sécurité est chargé de réaliser le référentiel de sécurité, l’actualiser régulièrement, en assurer la diffusion et veiller à son application. Il réalise également des supports de formation et en assurer la diffusion.
En outre, l’expert sécurité s’occupe de mettre en place des actions de communication en cas de risque majeur ou de dommages au SI causés par une attaque.
L’expert sécurité assure une veille technologique, notamment sur les évolutions des protections pour garantir la sécurité du système. Il identifie les nouveaux risques sur la sécurité du système d’information (apparition de nouveaux virus, lancement d’attaques informatiques sur le réseau mondial…).
D’autre part, l’expert sécurité suit les évolutions juridiques du marché en termes de sécurité afin de garantir la conformité du SI au droit individuel et collectif.
L’expert sécurité peut exercer une responsabilité d’encadrement vis-à-vis d’une équipe de techniciens, d’ingénieurs système réseau, d’ingénieurs de développement, voire de chefs de projet en sécurité informatique.
Il peut également avoir la responsabilité d’un budget annuel dédié exclusivement à la sécurité informatique qu’il gère alors intégralement. Dans ce cadre, le rôle de l’expert sécurité va s’orienter plus largement vers la sélection et le pilotage de prestataires intervenant en audit ou en intégration de solutions de sécurité.
Par ailleurs, l’expert sécurité peut être amené à animer en personne des sessions de formation à l’attention d’utilisateurs initiés ou non-initiés, en interne mais aussi lors de séminaires rassemblant des experts de la sécurité informatique.
L’expert sécurité a souvent un positionnement orienté vers l’expertise technique. Il garantit avant tout la pérennité et l’évolution de l’infrastructure pour faire face aux attaques et aux risques extérieurs. Il n’encadre généralement pas d’équipe.
Dans les secteurs tels que la banque/finance ou encore la défense, le poste d’expert sécurité revêt un enjeu stratégique et dispose en conséquence de moyens plus importants qu’ailleurs. Il gère son budget, encadre généralement une équipe d’experts techniques, voire fonctionnels, et occupe un positionnement transverse dans l’entreprise.
L’expert sécurité occupe un rôle de centralisation et d’animation du dispositif global de sécurité. Il encadre, sur un plan hiérarchique ou fonctionnel, des homologues rattachés à un site ou à un pays. Ainsi, l’expert sécurité doit garantir les synergies en termes de moyens, mais aussi la bonne diffusion des règles de sécurité à travers l’ensemble de ses correspondants sécurité.
Au moins 5 ans d’expérience sont généralement requis pour devenir expert sécurité, car il s’agit de postes nécessitant une certaine maturité ainsi qu’une bonne connaissance des systèmes d’information.
L’expert sécurité doit connaître les normes et procédures de sécurité. Il doit aussi maîtriser les outils et technologies de sécurité (firewall, antivirus, cryptographie, serveurs d’authentification, test d’intrusion, PKI, filtrages d’URL…).
Par ailleurs, l’expert sécurité doit avoir une bonne connaissance des principaux prestataires sur le marché de la sécurité informatique. Il doit aussi maîtriser les outils d’évaluation et de maîtrise des risques.
En outre, l’expert sécurité doit avoir une bonne connaissance des réseaux et systèmes. Il doit aussi comprendre la stratégie de l’entreprise, ses métiers et ses enjeux. L’expert sécurité doit ainsi maîtriser le système d’information global de l’entreprise.
L’expert sécurité doit avoir un sens de la confidentialité développé, car il a accès à des informations sensibles et stratégiques pour l’entreprise. Il doit également être rigoureux et avoir un sens de la méthode accru afin de mettre en place des programmes de sécurité efficaces.
Par ailleurs, l’expert sécurité doit faire preuve de pédagogie pour expliquer aux utilisateurs les règles à respecter pour ne pas mettre en danger le système d’information de l’entreprise. Il également être diplomate et avoir un sens du dialogue développé.
De plus, l’expert sécurité doit faire preuve de résistance au stress pour faire face à des situations de crise nombreuses et inattendues. Il doit également bénéficier d’un sens de la persuasion car le titulaire du poste doit convaincre les utilisateurs des risques encourus et du bien-fondé des procédures mises en place.
En somme, l’expert sécurité doit être curieux, car il doit se tenir au courant en permanence des nouveaux risques et des nouvelles parades (virus et antidotes).
Source : https://www.apec.fr/
Pilotage et à la coordination des domaines SSI et RGPD
Descriptif/contexte du projet
Direction des systèmes d’information,
§ Identifier les risques cyber sécurité
§ Définir et appliquer les plans d’action SSI et RGPD
§ Conseiller les entités dans l’évolution sécuritaire de leur SI
§ Répondre aux sollicitations SSI des directions métiers
§ Accompagner la prise en compte des exigences réglementaires
§ Participer au déploiement du SMSI 27001
§ Contribuer à l’élaboration et aux tests du plan de continuité d’activité IT
§ Informer, sensibiliser et diffuser une culture de protection de l’information
Mission : • Assistance/validation de PIA
• Mise en place des contrôles,
• Mise en conformité SOX, RGPD
• Rédaction/Préparation des audits
• Gestion de crises, Gestion des risques
• Question/réponses politiques de sécurité cyber
Fidens Projet : Règlementation et de contrôle de la maturité SSI des systèmes
d’information
Mission : • Réalisation Etat des lieux sécurité
• Réalisation d’analyse des risques
• Rédaction/Préparation des rapports d’analyse de risque,
Plan de traitement des risques, Plan d’actions
• Animation réunion de lancement, restitution d’analyse de
risque
fidens Projet : Accompagnement Certification ISO 27001
Mission :
• Animation réunion de lancement
• Réalisation Etat des lieux sécurité
• Réalisation d’analyse de risques EBIOS RM
• Rédaction corpus documentaires SMSI (PGSSI, PSSI, Plan
d’actions, DdA, etc.)
• Définition et suivi, des indicateurs,
• Participation aux comités de pilotage
Fidens Projet : Accompagnement Certification ISO 27001 et HDS
Mission :
• Animation réunion de lancement
• Réalisation Etat des lieux sécurité
• Préparation du rapport d’Etat des lieux
• Réalisation d’analyse de risques
• Rédaction rapport et plan de traitement des risques
fidens Projet : Analyse des risques Sur les Tunnels et Voies Rapides de la
Métropole de Lyon
Mission :
• Animation réunion de lancement
• Réalisation Etat des lieux sécurité
• Préparation du rapport d’Etat des lieux
• Réalisation d’analyse de risques
• Rédaction rapport et plan de traitement des risques
• Restitution d’analyse de risques
Fidens Projet : Audit de sauvegarde
Mission :
• Revue documentaire
• Réalisation d’entretien
• Contrôle internes
• Rédaction des rapports d’audit
Fidens Projet : Audit fournisseurs
Mission :
• Analyse documentaire
• Traitement des écarts
• Réalisation des entretiens
• Rédaction des rapports d’audit
Fidens Projet : Accompagnement Certification ISO 27001 et HDS
Mission :
• Animation réunion de lancement
• Réalisation Etat des lieux sécurité
• Réalisation d’analyse de risques EBIOS RM
• Rédaction corpus documentaires SMSI (PGSSI, PSSI, Plan
d’actions, DdA, etc.)
• Définition et suivi, des indicateurs,
• Participation aux comités de pilotage
Projet Intégration de la sécurité dans les projets
Descriptif Descriptif/contexte du projet
Équipes & méthodes Équipes et méthodologies
Tâches
§ Suivi des projets ISP (intégration de la sécurité dans les projets)
§ Analyses de risques (EBIOS)
§ Revue d'architecture
§ Accompagnement des chefs de projet dans l'application de la méthodologie (EBIOS)Validation de la
sécurité formelle des projets (donner un avis motivé et argumenté pour validation)
§ Accompagnement sur les demandes d'exception de sécurité sur les équipements de sécurité
§ Suivi et amélioration tableau de bord sécurité (KPI)
§ Contrôle des standards techniques Innovation et veille technologique