Répertoire des certifications
Inactif Niveau 7 RNCP36072

Expert en Cybersécurité (MS)

Cette certification est inactive. Elle a été remplacée par RNCP40640.
25 certifiés en 2019

Présentation

  • Diagnostic de l’incident de cybersécurité et de son ampleur
  • Analyse de l’incident de cybersécurité
  • Remédiation à l’incident de cybersécurité
  • Participation à l’élaboration de la PSSI
  • Supervision des infrastructures et des événements de sécurité
  • Détection des incidents et les menaces
  • Analyse et catégorisation des codes malveillants
  • Remédiation aux menaces
  • Veille permanente sur les menaces émergentes
  • Préparation de l’audit de sécurité
  • Réalisation des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles
  • Rédaction du rapport de résultat de l’audit de sécurité
  • Identification des preuves numériques
  • Définition de la stratégie de préservation des données numériques
  • Collecte des preuves numériques selon la procédure technico-légale
  • Traitement et analyse des preuves numériques collectées
  • Production des preuves numériques analysées

Compétences attestées

  • Collecter l’ensemble des informations relatives aux incidents informatiques à l’aide des outils adéquats afin d’avoir une première idée sur l’ampleur de la crise
  • Trier les éléments liés à l’incident en les catégorisant afin d’organiser des éléments de preuves analysables
  • Analyser les preuves numériques collectées selon la méthodologie forensique, méthode dont l’objectif est de produire des preuves numériques de l'attaque informatique en vue d’une procédure judiciaire ou d'une action interne à l’aide de la collecte de données brutes ou altérées pour reconstituer le déroulement de l'attaque, afin d’identifier la nature de l’incident
  • Contextualiser l’incident en faisant la corrélation entre signe d’incident et l’analyse de traces informatique (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation afin d’établir des scenarii potentiels d’incident
  • Élaborer un plan de remédiation afin d’appliquer les actions nécessaires à la résolution de l’incident telles que décrites dans la politique de sécurité des systèmes d’information (PSSI) en émettant notamment des recommandations aux collaborateurs afin de répondre à la crise cyber
  • Enrichir la politique de sécurité (PSSI) et des documents associés avec le Responsable de la sécurité des systèmes d'information (RSSI) et/ou Directeur des systèmes d'information (DSI) en utilisant les méthodologies d’analyse de risques telles que Méhari ou EBIOS, ainsi que la norme iso 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc. afin d’améliorer la sécurité et la résilience du SI
  • Améliorer de façon continue ses pratiques en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques
  • Assurer la supervision des infrastructures et des événements de sécurité en exploitant un système de gestion de l’information et des événements de sécurité (SIEM), en utilisant ces informations pour retracer la chronologie d’une cyberattaque afin de mettre en évidence les signaux faibles, qui d’ordinaire, passent inaperçus et d’éviter que ces mêmes attaques se reproduisent dans le futur
  • Détecter en temps réel les incidents et les menaces en identifiant leurs sources afin de bloquer leur accès au système informatique
  • Analyser le code malveillant par les techniques d’analyse statique et/ou dynamique pour le qualifier et le catégoriser
  • Produire un correctif à l’aide de la distribution Kali Linux (langage python, script bash sous linux, exécutable écrit en C++.) qui sera appliqué par les équipes afin de réponse à incident
  • Attribuer l’incident en établissant une grille d’analyse d’intrusion en utilisant les méthodes adéquates : Kill Chain, Diamond Model, la matrice MITRE ATT&CK, afin de modéliser une intrusion ciblée
  • Anticiper les futures évolutions des menaces à l’aide de la mise en place d’un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les média sociaux (SOCMINT), le renseignement d'origine humaine et capacité d'analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un hacker
  • Analyser le périmètre d’intervention des tests d’intrusion afin de lancer des tests cadrés
  • Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles en utilisant les outils adéquats selon la méthodologie de tests d’intrusion (définition du plan d’audit, des scenarii, etc.), tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion en respectant le Code pénal, notamment des articles 323-1 et suivants, spécifique à la cybercriminalité afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions
  • Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et systématiquement comporter une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation
  • Identifier le périmètre et l’environnement technique afin d’évaluer la quantité de données à acquérir
  • Définir la stratégie de préservation des données (en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes) afin de rédiger le document de traçabilité des actions effectuées
  • Réaliser la collecte de façon technico-légale à l’aide d’outils de collecte dédiés (suivant les cas, en extrayant les données sur un support de type clé USB, ou bien, de réaliser une copie technico-légale avec des outils open source, tels que dd, dcfldd, présents sur la distribution Kali Linux, ou bien des outils commerciaux comme ftk imager), afin de préserver les preuves numériques
  • Analyser les artefacts identifiés (disque dur, mémoire, traces réseaux, journaux d’évènements, e-mail, navigateurs, smartphones …) afin de tracer les preuves numériques ·
  • Rédiger un rapport d’analyse en adaptant son discours afin de le présenter à divers publics, techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incident).

Blocs de compétences (4)

Traiter les incidents de cybersécurité RNCP36072BC01

Compétences

  • Collecter l’ensemble des informations relatives aux incidents informatiques (journaux d’évènements systèmes et réseau, diagrammes de topologie réseau, images systèmes) à l’aide d’outils open-source (autopsy, foremost, scalpel, volatility, plaso, log2timeline, etc.) souvent présents sur la distribution Kali Linux afin d’avoir une première idée sur l’ampleur de la crise.
  • Trier les éléments liés à l’incidenten les catégorisant afin d’organiser des éléments de preuves analysables
  • Analyser les preuves numériquescollectées selon la méthodologie forensique, à l’aide de la collecte de données brutes ou altérées permettant d’identifier la nature de l’incident et de reconstituer le déroulement de l'attaque, afin lancer une action interne ou une procédure judiciaire
  • Contextualiser l’incident en faisant la corrélation entre signe d’incident et l’analyse de traces informatiques (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation afin d’établir des scenarii potentiels d’incidents
  • Élaborer un plan de remédiation afin d’appliquer les actions nécessaires à la résolution de l’incident telles que décrites dans la politique de sécurité des systèmes d’information (PSSI) en émettant notamment des recommandations aux collaborateurs afin de répondre à la crise cyber
  • Enrichir la politique de sécurité (PSSI)et des documents associés avec le RSSI et/ou DSI en utilisant les méthodologies d’analyse de risques telles que Méhari ou EBIOS, ainsi que la norme ISO 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc., afin d’améliorer la sécurité et la résilience du SI
  • Améliorer de façon continue ses pratiques en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques (CERT, plateforme de partage, virus total) dans le but de partager les failles, les vulnérabilités, les indices de compromission, et éviter que d’autres structures ne soient affectées par les mêmes menaces

Modalités d'évaluation

Cas d’étude

Analyser la menace cyber pesant sur une organisation RNCP36072BC02

Compétences

  • Assurer la supervision des infrastructures et des événements de sécurité en exploitant un système de gestion de l’information et des événements de sécurité (SIEM) et en utilisant ces informations pour retracer la chronologie d’une cyberattaque, pour mettre en évidence les signaux faibles, qui d’ordinaire, passent inaperçus. Cela permettra de mettre à jour de nouveaux risques identifiés, et d’apporter des modifications sur les équipements pour éviter que ces mêmes attaques ne se reproduisent dans le futur
  • Détecter en temps réel les incidents et les menaces en identifiant leurs sources afin de bloquer leur accès au système informatique
  • Analyser le code malveillant par les techniques d’analyse statique et/ou dynamique pour le qualifier et le catégoriser
  • Produire un correctif à l’aide de la distribution Kali Linux (langage python, script bash sous linux, exécutable écrit en C++.) qui sera appliqué par les équipes afin de produire une réponse à incident
  • Attribuer l’incident en établissant une grille d’analyse d’intrusion en utilisant les méthodes adéquates : Kill Chain, Diamond Model, la matrice MITRE ATT&CK, afin de modéliser une intrusion ciblée
  • Anticiper les futures évolutions des menaces à l’aide de la mise en place d’un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les médias sociaux (SOCMINT), le renseignement d’origine humaine et la capacité d’analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web, afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un hacker

Modalités d'évaluation

Cas pratique Test écrit

Auditer la sécurité technique d’une organisation RNCP36072BC03

Compétences

  • Analyser le périmètre d’intervention des tests d’intrusion (après avoir défini le périmètre d’intervention, et la modalité des tests à utiliser, les outils de la distribution Kali Linux seront utilisés, tels que nmap, metasploit et armitage) afin de lancer des tests cadrés
  • Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles en utilisant les outils adéquats selon la méthodologie de tests d’intrusion (définition du plan d’audit, des scenarii, etc.), tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion en respectant le Code pénal spécifique à la cybercriminalité, les articles 323-1 et suivants notamment, afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions
  • Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et, systématiquement, une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre-mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation

Modalités d'évaluation

Cas d’étude Cas pratique

Réaliser une analyse technico-légale (forensique) RNCP36072BC04

Compétences

  • Identifier le périmètre et l’environnement technique, en accédant si nécessaire au système d’exploitation ou au matériel pour avoir une vision précise de la volumétrie des données afin d’évaluer la quantité de données à acquérir
  • Définir la stratégie de préservation des données (en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes) afin de rédiger le document de traçabilité des actions effectuées
  • Réaliser la collecte de façon technico-légale à l’aide d’outils de collecte dédiés soit en extrayant les données sur un support de type clé USB, ou bien, soit en réalisant une copie technico-légale avec des outils open source, tels que dd, dcfldd, présents sur la distribution Kali Linux, ou bien des outils commerciaux comme ftk imager, afin de préserver les preuves numériques
  • Analyser des artefacts identifiés (disque dur, mémoire, traces réseaux, journaux d’évènements, e-mail, navigateurs, smartphones…) afin de tracer les preuves numériques
  • Rédiger un rapport d’analyse en adaptant son discours afin de le présenter à divers publics, techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incidents)

Modalités d'évaluation

Cas d’étude

Voies d'accès

  • Après un parcours de formation sous statut d’élève ou d’étudiant
  • En contrat de professionnalisation
  • Après un parcours de formation continue
  • Par expérience
  • En contrat d’apprentissage

Emplois accessibles

  • Directeur du Système d’Information
  • Responsable de la Sécurité des Systèmes d’Information
  • Responsable CERT (Computer Emergency Response Team) ou équipe de réponse à incidents
  • Toutes les fonctions d’expertise en cabinet de conseil : audit, consultant, intégrateur, formateur...
  • Ingénieur sécurité, cybersécurité, Ingénieur Sécurité d'information
  • Consultant en SSI, Sécurité, Sécurité informatique
  • Information Security Officer
  • Responsable formation forensic et cybersécurité
  • Analyste forensic
  • Directeur adjoint des enquêtes de l'AMF (Autorité des marchés financiers)
  • Chef de laboratoire de criminalistique numérique
  • Enquêteur en cybercriminalité
  • Consultant (analyste CERT)
  • Consultant CERT
  • Analyste Sécurité CERT
  • Analyste SOC (security operation center)
  • SOC Security Analyst

Secteurs d'activité

  • Grands groupes industriels
  • Secteur bancaire
  • Entreprises publiques
  • Administrations
  • PME/TPE

Réglementations

  • Le métier n'est pas règlementé, néanmoins dans l'exercice professionnel de son activité, l'Expert en Cybersécurité doit respecter et tenir compte des droits, obligations et normes en matière de sécurisation du système d'information pour garantir sa mise en conformité. Il doit prendre en compte les obligations règlementaires et normatives en vigueur notamment le règlement général sur la protection des données (RGPD) et veiller à ce que le plan de sécurisation soit adapté au besoin de sécurisation du système.
  • La prise en compte des décrets suivants reste une nécessite dans l’exercice de l’activité de l’Expert en Cybersécurité : le décret 2015-350, et 2015-351, surtout lors des activités de veille et de management du risque.

Composition des jurys

Formation initiale

Le jury de délivrance de la certification sera composé 5 membres, dont 3 professionnels externes.

Contrat d'apprentissage

Le jury de délivrance de la certification sera composé 5 membres, dont 3 professionnels externes.

Formation continue

Le jury de délivrance de la certification sera composé 5 membres, dont 3 professionnels externes.

Contrat de professionnalisation

Le jury de délivrance de la certification sera composé 5 membres, dont 3 professionnels externes.

VAE

Le jury de délivrance de la certification sera composé 5 membres, dont 3 professionnels externes.

Métiers visés (codes ROME)

M1802 — Expertise et support en systèmes d''information M1801 — Administration de systèmes d''information M1806 — Conseil et maîtrise d''ouvrage en systèmes d''information

Statistiques de certification

AnnéeCertifiésdont VAE
2019 25
2018 11

Informations générales

Code
RNCP36072
Type d'enregistrement
Enregistrement sur demande
Date de décision
15/12/2021
Date d'effet
Fin d'enregistrement
15/12/2024