Il s’agit d’un poste de gestion spécial en cybersécurité qui touche principalement la supervision de la sécurité des systèmes d’information au sein d’un ministère, d’une direction générale ou d’une organisation, et la production de rapports à cet égard. Les fonctions consistent essentiellement à assurer la planification et la gestion locales de la sécurité des systèmes sous sa responsabilité. Le poste relève directement ou indirectement du DPSI ou d’une autre autorité (p. ex. agent/agente de sécurité de l’entreprise, dirigeant principal/dirigeante principale de l’information ou délégué/déléguée).
Sur cette page
- Référence au cadre de la NICE
- Conséquence d’une erreur ou risque
- Parcours de perfectionnement
- Autres titres
- Classification nationale des professions connexes
- Tâches
- Compétences requises pour l’éducation
- Formation requise
- Expérience professionnelle requise
- Outils et technologies
- Compétences
- Futures tendances ayant une incidence sur les compétences clés
Référence au cadre de la NICE
Aucune.
Conséquence d’une erreur ou risque
Une erreur, une négligence, une information désuète, un manque d’attention aux détails ou un mauvais jugement pourrait mener à des décisions ou à des actions susceptibles de compromettre la sécurité du système sous la responsabilité de l’ASSI. Selon le système touché, une telle compromission pourrait avoir des répercussions considérables sur les activités. Ne pas comprendre pleinement les besoins opérationnels en matière de sécurité mettra en péril la posture de sécurité de l’organisation face aux menaces grandissantes.
Parcours de perfectionnement
Il s’agit généralement d’un poste à temps partiel assumé par des personnes possédant une certaine expérience technique, sans toutefois être des « professionnels de la cybersécurité ». Dans de petites et moyennes organisations, ce poste pourrait également être occupé par des gestionnaires des TI ou des cadres supérieurs possédant une certaine expérience technique ou en sécurité.
Autres titres
- Dirigeants principaux/dirigeantes principales de la sécurité
- Agents/agentes de sécurité du ministère
- Directeurs/directrices de la sécurité de l’information
Remarque : Selon la taille de l’organisation et sa dépendance à l’égard des TI, ces fonctions professionnelles peuvent s’intégrer aux responsabilités des dirigeants principaux/dirigeants principales de l’information, des directeurs/directrices des techniques informatiques, des dirigeants principaux/dirigeantes principales de la résilience ou d’autres rôles similaires.
Classification nationale des professions connexes
Tâches
- Collaborer avec les principaux intervenants pour planifier et mettre en place un programme efficace de gestion des risques liés à la sécurité
- Assurer la conformité aux lois et aux réglementations en vigueur
- Développer et mettre en œuvre des plans stratégiques qui respectent les objectifs et les exigences de l’organisation en matière de sécurité
- Diriger et approuver la conception de systèmes de cybersécurité
- Déterminer, acquérir et superviser la gestion des ressources financières, techniques et humaines nécessaires pour appuyer les objectifs de cybersécurité
- Conseiller d’autres membres de la haute direction sur les programmes, les politiques, les processus, les systèmes et les éléments de cybersécurité
- Assurer le développement et la mise en œuvre de contrôles de sécurité pour soutenir les objectifs de l’organisation
- Examiner, approuver et superviser le suivi des politiques et des contrôles relatifs à la cybersécurité
- Veiller à ce que les plans d’intervention en cas d’incident, de reprise après sinistre et de continuité des activités soient mis en place et mis à l’essai
- Rédiger le mandat, superviser les enquêtes liées à la cybersécurité et les passer en revue
- Maintenir une compréhension actuelle du contexte des menaces informatiques dans l’organisation
- Planifier et superviser les évaluations et les contrôles de sécurité
- Superviser et gérer les relations avec les fournisseurs des produits et services de sécurité des TI acquis par l’organisation
- Superviser ou gérer les mesures de protection ou de correction lorsqu’une vulnérabilité ou un cyberincident est découvert
Compétences requises pour l’éducation
Études postsecondaires en cybersécurité ou dans un domaine lié à l’informatique (p. ex. génie informatique, informatique, technologies de l’information, gestion des technologies des affaires – sécurité numérique ou équivalent).
Formation requise
Pour soutenir ce rôle, par exemple, une formation en gestion d’une équipe de cybersécurité, en gestion des incidents et en planification de sécurité constituerait un atout.
Expérience professionnelle requise
De trois à cinq années d’expérience dans le domaine des TI avec une certaine expérience en gestion.
Outils et technologies
- Plans stratégiques et d’activités
- Évaluations des menaces et des risques
- Processus de gestion des vulnérabilités et évaluations des vulnérabilités
- Processus et procédures de gestion des incidents
- Systèmes de gestion des événements et des incidents de sécurité ou systèmes et réseaux de signalement des incidents
- Processus et politiques de gestion des incidents de cybersécurité
- Lois relatives à la sécurité et au respect de la vie privée
- Infrastructure de sécurité organisationnelle et systèmes de production de rapports
Compétences
Cette profession repose sur les compétences démontrées à un niveau de cadre supérieur, ce qui comprend celles mentionnées dans le cadre de la NICE.
Application de base des connaissances, compétences et aptitudes suivantes :
- Concepts, principes et pratiques de sécurité intégrée ou organisationnelle (logiciels, systèmes, données, matériel et personnel)
- Contrôles préventifs techniques, opérationnels et de gestion disponibles et responsabilités organisationnelles pour ces contrôles
- Menaces, infrastructures techniques et besoins opérationnels liés au secteur ou au contexte
- Gestion de projet et exigences de sécurité tout au long du cycle de vie du projet
- Vulnérabilité et intégrité de la chaîne d’approvisionnement
Application avancée des connaissances, compétences et aptitudes suivantes :
- Menaces et vulnérabilités organisationnelles, dont celles ci-dessous
- Situation de la menace à la cybersécurité
- Exigences en matière de gestion des vulnérabilités et gamme des mesures d’atténuation potentielles disponibles en l’absence de protocole de gestion des vulnérabilités
- Infrastructure de sécurité organisationnelle, dont les systèmes de protection et de défense
- Gestion d’une équipe de cybersécurité
- Développement, mise en œuvre et affectation des ressources, du personnel et des technologies de manière à atteindre les objectifs de l’organisation en matière de sécurité
- Détermination des besoins et élaboration des politiques et des procédures de gestion de la cybersécurité et des risques liés à la cybersécurité
- Gestion des fournisseurs (si les services de TI ou de sécurité sont externalisés)
- Communications organisationnelles, communications publiques et communications en cas de crise
- Gestion, mesures et suivi du programme de cybersécurité
Futures tendances ayant une incidence sur les compétences clés
- La dépendance accrue aux services virtuels ou « basés sur l’infonuagique » exigera une connaissance des responsabilités du fournisseur de services, notamment de ses responsabilités en matière de cybersécurité par rapport aux risques organisationnels liés à la cybersécurité. En tant que conseillers ou conseillères en sécurité auprès de la haute direction, les ASSI doivent avoir une bonne compréhension des risques opérationnels.
- Si le rôle est exercé au sein de l’organisation, il sera nécessaire de comprendre pleinement les implications que l’option « Prenez vos appareils personnels » (PAP) et la gestion des risques connexes pourraient avoir sur la sécurité.
- L’utilisation accrue des outils automatisés, facilitée par l’intelligence artificielle, nécessitera une bonne compréhension de la façon dont ces outils s’intégreront à l’infrastructure de sécurité organisationnelle et des répercussions sur le personnel, les ressources, les procédures et les politiques. Une telle utilisation devra être intégrée à une stratégie de sécurité et à un plan d’action pour l’organisation.
- L’utilisation accrue des outils automatisés par les auteurs de menace pose des problèmes aux organisations qui ne disposent pas d’outils défensifs complémentaires. Des stratégies d’atténuation créatives et pertinentes seront donc nécessaires localement.
- Des mécanismes visant à soutenir le degré requis de confiance et de risque organisationnel devront être mis en place pour soutenir le suivi et la communication des résultats des outils automatisés. Par conséquent, il faudra comprendre les risques qui pèsent sur l’organisation, ainsi que les mesures de sécurité et les politiques, processus ou procédures à mettre en place. Les mesures devront également tenir compte des contraintes et des solutions de rechange de l’organisation.
- L’émergence et l’utilisation des technologies quantiques par les auteurs de menace modifieront fondamentalement la sécurité du chiffrement. Cela nécessitera des connaissances et des compétences approfondies pour ce qui est de la mise en œuvre d’une stratégie post-quantique et du soutien des processus au sein de l’organisation.