Remarque : Ce rôle comprend ce qui suit :
- Analystes des opérations de cybersécurité
- Spécialistes des maliciels
- Analystes en menaces informatiques : gestion et défense active
Le ou la titulaire occupe un poste d’opérateur ou opératrice de centre des opérations de cybersécurité de première ligne chargé de surveiller et de maintenir les dispositifs de sécurité des TI. Il est souvent responsable de la détection initiale et de la prise de mesures d’intervention et d’atténuation.
Sur cette page
- Référence au cadre de la NICE
- Conséquence d’une erreur ou risque
- Parcours de perfectionnement
- Autres titres
- CNP connexes
- Tâches
- Compétences requises pour l’éducation
- Formation requise
- Expérience professionnelle requise
- Outils et technologies
- Compétences
- Futures tendances ayant une incidence sur les compétences clés
Référence au cadre de la NICE
Protect and Defend, Cyber Defence Analyst, PR-CDA-001
Conséquence d’une erreur ou risque
Une erreur, une négligence, une information désuète, un manque d’attention aux détails ou un mauvais jugement pourrait mener à une défaillance catastrophique des systèmes de TI et de données de l’organisation et avoir des répercussions graves sur les fonctions organisationnelles qui dépendent de ces systèmes.
Parcours de perfectionnement
Il s’agit d’un emploi de premier échelon courant au sein du Centre des opérations de sécurité (COS). Une formation et une expérience supplémentaires pourraient permettre d’accéder à des rôles plus techniques ou plus opérationnels axés sur les opérations de cybersécurité (p. ex. l’évaluation et la gestion des vulnérabilités, la criminalistique numérique, l’analyse des menaces et l’analyse des maliciels) et offrir des possibilités de gestion. Il est à noter que les rôles de niveau 2 et 3 peuvent nécessiter une formation et une éducation plus poussées en plus d’une expérience pertinente. Un diplôme en informatique ou en génie informatique est souvent une condition préalable étant donné le niveau de connaissances et de compétences requis pour des tâches plus complexes. Cela dit, plusieurs titulaires sont passés d’un poste d’analyste en cybersécurité à un poste supérieur lié à la cybersécurité sans détenir un diplôme connexe.
Autres titres
- Opérateurs/opératrices de COS
- Opérateurs/opératrices de cybersécurité
- Analystes de la sécurité des infrastructures
- Analystes de la sécurité des réseaux
- Administrateurs/administratrices de la sécurité des réseaux
- Analystes de la sécurité des données
Classifications nationale des professions connexes
2171 – Analystes et consultants/consultantes en informatique
2173 – Ingénieurs/ingénieures et concepteurs/conceptrices en logiciel
Tâches
- Identifier et analyser les menaces techniques et les vulnérabilités qui touchent les réseaux
- Identifier, contenir et signaler les compromission de système et prendre les mesures d’atténuation initiales
- Examiner, analyser ou appliquer les protocoles de sécurité Internet, les algorithmes cryptographiques, les normes d’annuaire, les protocoles de réseau, le renforcement de la sécurité des réseaux, les contrôles techniques de sécurité des TI, les outils et techniques de sécurité des TI, les systèmes d’exploitation, les systèmes de détection et de prévention d’intrusion, les pare-feu, les routeurs, les multiplexeurs, les commutateurs et les dispositifs sans fil
- Analyser les données de sécurité et fournir des conseils, des bulletins et des rapports
- Installer, configurer, intégrer et régler les dispositifs et systèmes de sécurité, surveiller leurs performances et détecter les lacunes sur ceux-ci
- Effectuer une analyse des répercussions entraînées par le déploiement de nouveaux logiciels, les changements majeurs apportés à la configuration et la gestion des correctifs
- Développer des modèles de validation de principe et de tests pour les produits et services de sécurité des TI
- Résoudre les problèmes touchant les produits et les incidents de sécurité
- Concevoir et développer des protocoles de sécurité des TI
- Effectuer des tâches liées à l’autorisation et à l’authentification dans des environnements physiques et logiques
- Développer des options et des solutions qui permettent d’atteindre les objectifs des projets en matière de sécurité
- Choisir des produits de sécurité et des configurations qui permettent d’atteindre les objectifs des projets en matière de sécurité
- Mettre en œuvre et à l’essai les caractéristiques des configurations
- Développer des manuels de configuration et de conception opérationnelle
- Passer en revue, concevoir et fournir du matériel de formation pertinent
Compétences requises pour l’éducation
Diplôme d’études collégiales dans le domaine des technologies de l’information avec une spécialisation en informatique, en cybersécurité, en sécurité des réseaux ou dans un domaine équivalent.
Formation requise
Formation en opérations de cybersécurité avec certification de niveau industriel dans un domaine connexe (p. ex. opérations de sécurité, sécurité des réseaux, détection et atténuation des menaces, exploitation d’appliances de sécurité). Une formation plus poussée est exigée pour les analystes de niveau 2 et de niveau 3.
Expérience professionnelle requise
L’expérience initiale requise est d’avoir travaillé avec succès dans un environnement informatique et au sein d’une équipe technique.
Outils et technologies
- Processus et procédures de gestion des incidents
- Systèmes de défense, y compris les pare-feu, les logiciels et systèmes antivirus, les systèmes de détection des intrusions et de protection contre les intrusions, les scanneurs et les alarmes.
- Systèmes de gestion des événements et des incidents de sécurité ou systèmes et réseaux de signalement des incidents
Compétences
Dans les COS plus importants, les analystes pourraient avoir l’occasion de passer d’un niveau 1 à un niveau 2. Les analystes de niveau 3 sont rares et on les retrouve presque exclusivement dans des environnements militaires ou liés à la sécurité nationale. Les compétences nécessaires aux niveaux 1 et 2 sont mentionnées ci- dessous.
Pour les analystes des opérations de cybersécurité de niveau 1
Les connaissances, compétences et aptitudes suivantes s’appliquent à un niveau de base :
- Administration et gestion de la sécurité des réseaux
- Architecture de sécurité des réseaux
- Sécurité du matériel et des micrologiciels
- Sécurité définie par logiciel et sécurité des applications
- Virtualisation et sécurité des réseaux privés virtuels (RPV)
- Sécurité infonuagique
- Sécurité des dispositifs mobiles et sans fil
- Établissement de zones de sécurité des TI
- Chiffrement et cryptographie, dont les concepts et les principes de gestion des clés
- Analyse des vulnérabilités
- Outils, processus et procédures de gestion des vulnérabilités
- Sécurité des applications Web
- Livres de configuration et de construction opérationnelle
- Acquisitions de systèmes et projets
- Responsabilités juridiques et en matière d’éthique associées aux opérations de cybersécurité, y compris la conduite des enquêtes, le respect de la vie privée et la préservation de la preuve
- Rédaction et présentation des questions techniques (p. ex. rapports d’incident, rapports techniques, etc.) pour assurer la compréhension des membres de la direction
Les connaissances, compétences et aptitudes suivantes s’appliquent à un niveau avancé :
- Concepts, exploitation et configuration des appliances de sécurité réseau (équipements basés sur le rôle - systèmes ou appliances de cyberdéfense des réseaux, des serveurs et des postes de travail)
- Types d’intrusions et indicateurs de compromission (IC)
- Sources d’information sur les menaces
- Tactiques, techniques et procédures (TTP) communes aux auteurs de cybermenace
- Processus, responsabilités et pouvoirs en matière de gestion des risques
- Méthodes, outils et systèmes de détection et de prévention des intrusions
- Analyse des intrusions et techniques d’atténuation
- Analyse de base des maliciels
Pour les analystes de niveau 2 - Spécialistes des maliciels
Les connaissances, compétences et aptitudes suivantes s’appliquent à un niveau avancé. Tout ce qui précède, en plus de ce qui suit :
- Tactiques, techniques et procédures employées par des auteurs de menaces persistantes dotés de moyens sophistiqués
- Outils, techniques et procédures liés à la cyberdéfense
- Développement et mise à l’essai des appliances de sécurité réseau (comme les scripts et le codage)
- Analyse avancée des maliciels et rétro-ingénierie des maliciels
- Mise en œuvre de contrôles de sécurité avancés en réponse à des menaces persistantes avancées
- Activités avancées d’intervention et de reprise en cas d’incident
Pour les analystes de niveau 3 – Analystes en menaces informatiques : gestion et défense active
Les connaissances, compétences et aptitudes suivantes s’appliquent à un niveau avancé :
- Gestion avancée des menaces
- TTP employées par les auteurs de menaces avancées, dont la spécialisation des auteurs de menaces persistantes (p. ex. États-nations, crime organisé)
- Interprétation et synthèse du renseignement classifié et sensible sur les menaces tiré de sources multiples
- Responsabilités juridiques et éthiques associées aux techniques de défense active
- Analyse de l’exploitation
- Chasse aux cybermenaces et cadres de défense active
- Élaboration de plans d’action complexes, dont des plans d’évaluation et d’atténuation des risques
- Tactiques, outils et procédures de défense active, dont des contre-mesures et contre-contre-mesures avancées aux menaces
- Approche antagoniste
- Développement, mise à l’essai et déploiement d’outils techniques dans un cadre de défense active pour protéger l’information et les systèmes à risque de l’organisation
Futures tendances ayant une incidence sur les compétences clés
- La dépendance accrue aux services virtuels ou « basés sur l’infonuagique » exigera une connaissance des responsabilités du fournisseur de services, notamment de ses responsabilités pour ce qui est de détecter les incidents de cybersécurité, d’intervenir dans de telles circonstances et d’assurer la reprise des activités.
- Si le rôle est exercé au sein de l’organisation, il sera nécessaire de comprendre pleinement les répercussions de l’option « Prenez vos appareils personnels » (PAP). Cela signifie que, peu importe les capacités de l’appareil, il faudra évaluer les risques qui pèsent sur l’organisation, mettre en œuvre des mesures d’atténuation pour tenir compte des possibles compromissions qui pourraient résulter de l’utilisation d’appareils personnels et déterminer les mesures que le Centre des opérations de sécurité (COS) devra prendre advenant un incident.
- L’utilisation accrue des outils automatisés, facilitée par l’intelligence artificielle, nécessitera une bonne compréhension de la façon dont ces outils s’intégreront au COS, ce qui comprend la mise en œuvre des changements liés au personnel et aux processus
- L’utilisation accrue des outils automatisés par les auteurs de menace pose des problèmes aux organisations qui ne disposent pas d’outils défensifs complémentaires. Des stratégies d’atténuation créatives et pertinentes seront donc nécessaires localement. Cela exigera une bonne maîtrise de la pensée critique et abstraite.
- Des mécanismes visant à soutenir le degré requis de confiance et de risque organisationnel devront être mis en place pour soutenir le suivi et la communication des résultats des outils automatisés. Par conséquent, il faudra mieux comprendre les risques qui pèsent sur l’organisation et les possibles réponses dans l’environnement dynamique de la menace.
- L’émergence et l’utilisation des technologies quantiques par les auteurs de menace modifieront fondamentalement la sécurité du chiffrement. Cela nécessitera des connaissances et des compétences pour ce qui est de la mise en œuvre d’une stratégie post-quantique, ainsi que les outils, les techniques et les protocoles employés par les auteurs de menace pour mener des attaques basées sur l’informatique quantique et la manière de se défendre contre celles-ci.