La cybersécurité est l’une des composantes de nombreuses professions, mais c’est également devenu un secteur d’activité à part entière. Penchons-nous sur quelques options de carrière dans ce domaine.
Les professions actuelles de la cybersécurité revêtent bien des formes et des missions à la croisée de la vie privée, du développement, de la sécurité physique et de l’audit.
Des professions dans le monde de l’entreprise
Dans le passé, les organisations de haute sécurité (la défense ou le renseignement) et les organismes de traitement des transactions financières (secteur des services financiers, bourse, systèmes de paiement par carte) s’occupaient avant tout de sécuriser leurs propres systèmes. Les entreprises du secteur se concentraient donc sur les contrôles en interne afin de sécuriser leurs informations.
Dans les années 1960, l’essor de l’utilisation commerciale des ordinateurs (p. ex. les ordinateurs centraux d’IBM) a créé un besoin de contrôle et d’audit des technologies de l’information. En est né un cœur de métier articulé autour du contrôle et de l’audit qui se retrouve aujourd’hui dans les tâches quotidiennes de nombreuses professions des organisations modernes.
L’Electronic Data Processing Auditors Association (EDPAA) (« Association des contrôleurs du traitement des données électroniques » en français) s’est constituée en 1969 à Los Angeles, en Californie (États-Unis). Elle est aujourd’hui connue sous le nom d’ISACA. C’est l’une des organisations qui offre des formations et délivre des certifications (CISA, CISM et CSX-P) aux professionnels du secteur de la cybersécurité.
Historiquement, le secteur de la sécurité des entreprises (gardiennage, alertes incendies, serrures et cadenas) voyait tout au mieux la cybersécurité comme un aspect mineur de la profession. À l’époque, la sécurité informatique était uniquement liée aux services informatiques internes : les postes de travail, les ordinateurs centraux et les réseaux.
Peu à peu, les systèmes de sécurité physiques ont été connectés à des réseaux et les contrôles de sécurité physiques (p. ex. les portes et les verrous) n’ont plus été en mesure de protéger l’information contre les accès externes via Internet.
Désormais, les responsables de la sécurité des entreprises s’intéressent à la sécurité de l’information, car les processus numériques constituent une part bien plus importante des opérations d’une entreprise. L’informatique s’est également transformée en sécurité de l’information : la sécurisation de l’information sous n’importe quel format – aussi bien papier que numérique.
La sécurité informatique et la sécurité de l’information (plus tard qualifiée de cybersécurité) ont d’abord été pensées comme des activités distinctes. Mais la convergence technologique a fait évoluer et fusionner ces professions. Toutefois, les rôles traditionnels (responsables de la sécurité des entreprises et responsables de la sécurité informatique) existent encore.
L’adoption du RGPD en 2018 a forcé les entreprises à nommer des « délégués à la protection des données » (DPD), chargés de mettre en place des pratiques de protection de la vie privée des employés et des clients. La confidentialité repose sur les contrôles de sécurité – c’est ainsi que des professionnels de la sécurité et de la vie privée travaillent en étroite collaboration et coopération pour atteindre le même objectif.
Bien que certains intitulés de postes (notamment DPD) soient largement répandus, les rôles effectifs varient d’une entreprise et d’une industrie à l’autre. En outre, ces rôles ou du moins certaines de leurs tâches peuvent être externalisés et confiés à des prestataires de services et leurs consultants.
Les métiers de la cybersécurité les plus courants dans les entreprises
Responsable de la sécurité des systèmes d’information (RSSI)
Généralement, les RSSI sont responsables du développement d’une culture de la sécurité et de processus de sécurité. Ils dirigent les opérations et les fonctionnalités de sécurisation des systèmes informatiques. Les RSSI assurent le dialogue entre l’entreprise, sa gouvernance, les fabricants, les autorités et les experts techniques de la cybersécurité.
Responsable ou spécialiste de la sécurité informatique/ sécurité de l’information/ cybersécurité
Ces professionnels sont chargés des processus quotidiens de sécurité, accompagnent les projets en lien avec la sécurité et gèrent les incidents de sécurité. Ils préparent également des guides de formation et des règles pour le personnel. Ils convertissent ces règles et ces principes en tâches concrètes au sein de l’organisation.
Responsable ou spécialiste de la sécurité
Les responsables de la sécurité sont chargés des services de sécurité plus traditionnels qui deviennent de plus en plus numériques – notamment les contrôles d’accès physique. Les responsables de la sécurité garantissent la sécurité réelle du personnel et contrôlent la cybersécurité du service en lui-même.
Contrôleur/se des systèmes d’information
Un(e) contrôleur/se teste les dispositifs de sécurité (physiques et numériques) et prodigue des conseils en vue de les améliorer. Ils utilisent parfois des outils spéciaux, comme des scanneurs de vulnérabilité pour tester les configurations en place. Les contrôleurs préparent des opinions indépendantes et objectives qui aident les autres acteurs à concevoir de bonnes pratiques.
Les consultants
Les consultants participent à l’embauche, la formation, le tutorat et l’accompagnement de ces professionnels. Les consultants ont généralement de l’expérience dans l’un des postes susmentionnés.
Le hacking éthique : une passion qui devient carrière
Comme nous l’avons vu dans le chapitre 1, les hackers ont différents types de « chapeaux ». Alors que ce n’était pas le cas aux premières heures du secteur, les white hats et les autres passionnés de cybersécurité éthique peuvent désormais transformer leur passion en métier.
Dans les entreprises, les journées sont chargées, remplies de réunions avec des collègues et des clients internes ou externes. À moins que l’on puisse en tirer un bénéfice immédiat, il ne reste plus beaucoup de temps pour explorer ou tester des idées créatives (les fameux « hacks »). À l’exception des institutions de recherche financées par l’État, très peu d’organisations peuvent se permettre d’embaucher des chercheurs à plein temps.
La croissance du marché de la cybersécurité et l’internationalisation des offres de travail ont toutefois créé une niche pour la recherche et le travail à distance dans laquelle se sont engouffrés des chercheurs/passionnés – ces « hackers éthiques » – qui en ont fait un gagne-pain.
Les bug bounties
Certaines plateformes de financement participatif, notamment HackerOne, YesWeHack et Intigriti offrent aux hackers un moyen de monétiser leurs « hacks » ou de participer à des bug bounties (« primes aux bogues » en français). Tout un chacun peut s’inscrire sur ces plateformes de façon plus ou moins anonyme pour participer à des programmes de bug bounty créés par des sociétés. Dans le cadre de ces programmes, ces sociétés proposent de tester un produit, un service, une application ou un morceau de code. Lorsqu’un(e) hacker de la plateforme trouve une vulnérabilité logicielle, il/elle reçoit une prime dont le montant dépend de la qualité et des implications de leur découverte.
Ce choix de carrière a d’abord été vu comme le travail du futur par excellence : on peut travailler n’importe où et n’importe quand et bien gagner sa vie. Des critiques sont toutefois apparues. Tout d’abord, très peu de hackers éthiques gagnent suffisamment d’argent sur le long terme. Les entreprises pourraient également être amenées à penser qu’elles peuvent remplacer les tests systématiques par les résultats opportunistes et très souvent aléatoires des bug bounties.
Toutes les organisations devraient disposer de leur propre programme de divulgation de vulnérabilités. Les bug bounties ne sont généralement pas nécessaires. Un programme de divulgation de vulnérabilités définit à l’intention des chercheurs des méthodes sécurisées de communication des vulnérabilités et spécifie la façon dont elles sont gérées et résolues en interne. Un programme de bug bounty peut être envisagé si les bénéfices qui en seront tirés sont susceptibles de surpasser les coûts potentiels et le temps qu’il faudra y dédier.
En outre, d’après certaines enquêtes, les plateformes de bug bounty demandent à ces chasseurs de primes de signer des accords de confidentialité comme condition au versement des sommes dues. Certaines entreprises préfèrent donc se contenter de réduire les hackers au silence plutôt que de combler les failles de sécurité découvertes les plus graves. Les utilisateurs de ces logiciels sont donc exposés à des atteintes potentielles.
Comme c’est souvent le cas dans l’économie des plateformes, des critiques s’élèvent également sur de possibles infractions aux règles du droit du travail qui obligent dans de nombreux pays les employeurs à veiller sur leurs employés. Les hackers de bug bounty étant en théorie des travailleurs indépendants, il est difficile de protéger leurs droits sur une plateforme.
Lisez cet entretien réalisé avec un hacker de bug bounty (en anglais).
Les emplois dans le domaine de la sécurité offensive et défensive
Dans les missions de sécurité offensive et défensive, « l’équipe rouge » est à l’offensive pour tester des contrôles, tandis que « l’équipe bleue » est en défense.
Un test d’intrusion (« penetration testing » ou « pentesting » en anglais) est une évaluation offensive et exploratrice d’un système, service, serveur, réseau, appareil, d’une application ou même d’un véhicule (un avion ou une voiture). Les équipes rouges ciblent des entités plus grandes, par exemple, des sociétés entières.
Contrairement aux bug bounties, cette forme de test a une cible, un cadre, un client, des critères de succès et un paiement fixe. Certaines organisations ont parfois des pentesters (« testeurs d’intrusion » en français) dans leurs rangs, mais la plupart du temps, ces tâches sont externalisées et confiées à des entreprises spécialisées. Les pentesters fournissent des garanties, adoptent une approche systématique et tentent de parer à la plupart des méthodes d’attaque. C’est ce qui les différencie des hackers opportunistes.
Exemples de tâches confiées à des équipes rouges/bleues
Équipes rouges: Pentester technique
Les pentesters utilisent des outils d’attaque offensifs, commerciaux et personnels en vue de tester la cible et de recueillir des informations à son sujet. Ils repèrent plus souvent des faiblesses de configuration que de nouvelles vulnérabilités logicielles. Ils pensent comme les black hats, mais utilisent le hacking à bon droit. Les pentesters préparent des recommandations à l’intention des autres professionnels techniques de la cybersécurité sur la meilleure manière de résoudre les faiblesses mises au jour.
Équipes rouges: Red teamer
Les red teamers (littéralement « membre de l’équipe rouge » en français) sont des testeurs compétents dans un grand nombre de domaines, aussi bien les tests d’intrusion classiques que le contournement des contrôles physiques et l’utilisation de méthodes d’ingénierie sociale. Ces experts travaillent au sein d’équipes aux compétences variées. Les red teamers testent de façon créative des combinaisons de défense pour trouver de nouvelles faiblesses.
Équipes bleues: Architecte de cybersécurité/informatique
À l’image de leurs cousins du secteur du bâtiment, les « architectes » de sécurité conçoivent et mettent en place des structures pour les services informatiques. Les architectes de sécurité planifient la structure des réseaux et des services de sécurité, et décident des services à contracter auprès d’un prestataire quand ils ne sont pas assurés en interne.
Les architectes de sécurité réfléchissent à la gestion des identités et des accès (GIA) pour chaque utilisateur/trice ou machine et à la façon dont les différents événements sont consignés. Un(e) architecte de sécurité peut être chargé(e) d’un aspect spécifique (GIA, réseau, services de cloud) ou envisager l’architecture de l’entreprise dans son ensemble.
Équipes bleues: Analyste/expert(e) du centre des opérations de sécurité
Le centre des opérations de sécurité (COS) (Security operations centre ou SOC en anglais) est une fonction qui permet à une organisation de contrôler de façon centrale la plupart des journaux et des événements de son environnement informatique. Le COS est équipé d’outils et de services spécifiques qui collectent et relient un très grand nombre d’entrées de journal ou d’événements déclenchés par des règles établies.
Un(e) analyste du COS est responsable de la création et du développement d’un ensemble de règles destinées à identifier des événements suspicieux et commencer le processus d’enquête, si besoin est, à partir d’outils donnés. Ils sont les premiers à intervenir (on parle de Tier 1) et sont disponibles vingt-quatre heures sur vingt-quatre, sept jours sur sept. Les analystes du COS peuvent transférer les recherches plus complexes au Tier 2 qui dispose potentiellement d’experts plus expérimentés dans le domaine de la criminalistique informatique – l’art de trouver des preuves électroniques de possibles violations de sécurité.
La sécurité dans le développement
Le développement de dispositifs de cybersécurité n’est pas l’apanage des experts spécialisés. Tous les professionnels de l’informatique sont concernés. Du point de vue technique, tout fonctionne à partir de code. Le code est un ensemble d’instructions lisibles par les humains. Il est écrit (développé), puis compilé en un objet exécutable par une machine. Cet « exécutable » est ensuite testé par un développeur. Après le test, l’exécutable est transféré sur un environnement opérationnel où il interagit avec d’autres programmes, serveurs et services.
Toutes ces phases sont susceptibles de générer des failles de sécurité, à dessein ou par inadvertance. Il est donc important de vérifier la sécurité du code, des composants et de leurs interactions dès le début du processus. À l’opposé des tests d’intrusion (c.-à-d. la recherche de faiblesses après la production du code), un nombre croissant d’activités de sécurité très efficaces sont effectuées avant ou pendant le développement.
Des exemples de métiers de la sécurité dans le développement
Développeur/se sécurité
Les développeurs sécurité se concentrent sur les services essentiels à la cybersécurité, comme l’identification et l’autorisation.
Security champion (dans un projet de développement)
Les security champions (littéralement « champions de la sécurité » en français) sont généralement des développeurs expérimentés qui s’appliquent à sécuriser les méthodes de programmation. Ce sont des tuteurs et des accompagnateurs pour les autres développeurs et les autres membres de l’équipe d’un projet. Ils s’assurent que les tests de sécurité et les autres activités en lien avec la sécurité (p. ex. la vérification du code) se déroulent comme prévu.
La cybersécurité : une carrière d’avenir
La demande d’experts de la cybersécurité est actuellement en plein essor dans toutes les industries. Promues par la transformation numérique de nos vies quotidiennes et du travail, ces compétences sont recherchées dans tous les secteurs et tous les domaines. Les gouvernements, les entreprises et les citoyens s’inquiètent du fait que la généralisation de la numérisation et des nouvelles technologies pourrait prendre de vitesse notre capacité à former les experts qualifiés de la cybersécurité dont nous avons besoin pour sécuriser notre monde en ligne.
Dans leur étude annuelle de 2020 (page en anglais), (ISC)², une organisation internationale à but non lucratif qui regroupe des acteurs de la cybersécurité, a estimé que le déficit de main-d’œuvre dans le domaine de la cybersécurité en Europe s’élevait à 168 000 professionnels qualifiés (page en anglais). Dans le monde, ce chiffre atteint 3 millions. Bien que cette demande de main-d’œuvre ait baissé à partir de 2020 en raison du ralentissement général de l’économie due au COVID-19, elle reste haute et l’on s’attend à ce qu’elle croisse de nouveau rapidement.
500 universités et institutions académiques proposent des certifications et des diplômes dans le domaine de la cybersécurité en Europe. Pourtant, la demande croissante d’experts continue de largement surpasser l’offre. Afin de contribuer à réduire ce manque, les travailleurs et les employeurs pourraient trouver des méthodes de formation continue ou de perfectionnement professionnel. En suivant ce cours, vous avez fait un excellent premier pas dans cette direction. Si vous souhaitez en savoir plus sur la meilleure façon d’acquérir de nouvelles compétences dans le domaine de la cybersécurité, consultez le site Web de Digital SkillUp.
Sign up to solve exercises
À l’issue du chapitre 5, vous devriez être en mesure :
De comprendre que les nouvelles technologies sont porteuses de nouvelles possibilités, mais également de nouveaux risques dans le domaine de la cybersécurité.
D’analyser certains des enjeux de demain en matière de cybersécurité.
De connaître les métiers de la cybersécurité.
