Sciences et Ingénierie - Cybersécurité

Compétences

• Identifier les sources et groupes de travail fiables pour détecter les évolutions technologiques des systèmes numériques dont les aspects cyber menaces (colloques, forums, sites, journalistes spécialisés…)
• Hiérarchiser et référencer les informations en fonction des risques numériques pour l’organisation afin de prioriser leur prise en compte
• Contribuer à l’élaboration d’un bulletin de veille pour diffuser les éléments de la veille numérique et s’assurer qu’il soit accessible à tous, notamment des collègues en situation de handicap
• Assurer une veille légale pour respecter la règlementation et les exigences légales en termes de sécurité de l’information (ANSSI et ENISA) et de protection des données personnelles (RGPD)

Modalités d'évaluation

1. Epreuve écrite : Etude de cas réalisée de manière collective sur un facteur de risque : recherche d’un scénario de sources officielles en anglais (CVE, CERT, CSIRT, OWASP, MITRE) en fonction d’un contexte professionnel. Cette étude de cas donne lieu à la réalisation d’un bulletin de veille en français et en anglais qui contextualise et hiérarchise les risques pour l’organisation du scénario. 2. Epreuve orale : restitution en groupe et questions individuelles

Compétences

• Analyser la grammaire et le format des logs afin de permettre leur traitement automatique selon les règles définies
• Mettre en œuvre les protocoles de traitement des risques en fonction des alertes afin de contribuer à la résolution du problème
• Détecter les dysfonctionnements en cas d’absence de logs ou de logs incomplets afin d’alerter l’environnement de travail (utilisateurs, responsable)
• Informer et argumenter auprès de sa hiérarchie afin de l’alerter sur un risque non résolu
• Tester les nouveaux protocoles en fonction des nouvelles alertes afin de vérifier leur efficacité
• Rédiger des reportings afin de faciliter la continuité du service
• Renseigner les tableaux de bord rendant compte de l’activité opérationnelle afin de respecter les préconisation de l’ANSSI

Modalités d'évaluation

1. Exercice individuel de programmation (1 heure) : développer un « parser de logs » basique selon un scénario proposé 2. Etude de cas (réalisée sur ordinateur) : à partir d’un fichier transmis sur la provenance multiple de traces et d’origines diverses en vue du déclenchement du protocole proposé le plus adéquat : a. Mettre en œuvre le ou les protocole(s) b. Présenter de manière hiérarchisée les protocoles retenus afin de les communiquer à sa hiérarchie c. Rédaction d’un reporting (état des actions de sécurité au sein de l’organisation), selon les préconisations de l’ANSSI pour assurer le suivi du service.

Compétences

• Mettre en œuvre les outils d’investigation numériques appropriés pour établir une levée de doutes afin d’invalider ou de valider l’incident
• Contextualiser l’alerte afin d’identifier quels types de réponses à mettre en œuvre et évaluer la gravité des incidents de sécurité
• Mettre en place une alerte auprès de la personne concernée ou du responsable hiérarchique afin de qualifier l’action réalisée par l’utilisateur
• Pré qualifier la cyber menace afin d’en évaluer la nature et l’importance
• Proposer une série d’actions immédiates sur le système d’information pour réduire ou résoudre le problème
• Préconiser des recommandations aux utilisateurs pour répondre à leurs questions afin de partager de bons usages et de bonnes pratiques
• Contribuer à la mise en place du service de détection (SIEM, etc)

Modalités d'évaluation

Etude de cas sur la base d’un scénario proposé : 1. Rechercher les compromissions (Threat hunting) : cartographier et identifier les différentes techniques d’attaques à partir du référentiel MITRE (2 heures). 2. Proposer un plan de remédiation (3 heures) en fonction de la nature des attaques et de leur importance (mesures immédiates, recommandations et rappel des règles aux utilisateurs ; informations/alertes/propositions au niveau supérieur technique ou hiérarchique) pour l’amélioration des procédures.

Compétences

• Détecter ou repérer des améliorations possibles des règles mobilisées afin d’en affiner la pertinence et proposer des optimisations
• Réunir la liste des règles sources d’anomalies et les traces du fonctionnement des outils en vue de préparer la revue des règles
• Contribuer à l’élaboration de propositions d’optimisation afin de participer activement à une réunion de revue de règles
• Mettre en œuvre les optimisations d’expressions régulières (filtres ou capteurs) pour accélérer le traitement des données
• Mettre en place une veille permanente sur les outils de détection et de corrélation d’événements (SIEM, etc)

Modalités d'évaluation

Mise en situation en groupe : 1. Rédiger une revue de règles optimisées. Argumenter le choix effectué et justifier le non besoin éventuel d’optimisation. Proposer quelques voies d’accès pour des collaborateurs en situation de handicap 2. Sur la base d’expressions régulières fournies à partir de différents systèmes (épreuve individuelle et collective réalisée sur ordinateur) : analyser leur optimisation, argumenter et justifier leur choix (exemple : Firewall, accès à privilège, élévation de droits…). 3. Analyse des outils de détection et de corrélation mis en place et proposition d’améliorations

Compétences

• Paramétrer les équipements selon les normes de sécurité et les règles définies par le client pour les rendre opérationnels dans la chaîne de détection de surveillance
• Dérouler un cahier de tests en vue de vérifier le bon fonctionnement des équipements
• Repérer les anomalies (configuration des équipements et règles de fonctionnement) et les signaler afin de relancer l’opération de paramétrage
• Actualiser l’information concernant les modes opératoires ou procédures afin d’améliorer l’usage des nouveaux équipements
• Présenter les évolutions des nouveaux équipements pour former les futurs utilisateurs (et maintenir à jour la documentation)

Modalités d'évaluation

Mise en situation professionnelle individuelle (des équipements et un cahier des charges sont fournis au candidat.e) 1. Paramétrer les équipements en fonction du cahier des charges (3 niveaux de difficulté en 3 heures) Des anomalies ayant été introduites, il s’agit de repérer et corriger ces anomalies 2. Réaliser la recette (rapport écrit et ou adapté si besoin à une personne en situation de handicap) 3. Présenter à l’oral la recette (40 minutes de préparation ; 15 minutes de présentation ; 15 minutes de questions réponses)