Sélection de la langue

Architectes de la sécurité

Le ou la titulaire conçoit, élabore et surveille la mise en œuvre des structures de sécurité des réseaux et des ordinateurs pour une organisation, s’assure que les exigences de sécurité sont prises en compte adéquatement dans tous les aspects de l’infrastructure et que le système soutient les processus organisationnels.

Sur cette page

Référence au cadre de la NICE

Securely provision, SP-ARC 002, security architect.

Conséquence d’une erreur ou risque

Une erreur, une négligence, une information désuète ou un mauvais jugement pourrait mener à des conceptions ou à des architectures déficientes susceptibles de donner lieu à des défaillances ou à l’exploitation de vulnérabilités qui pourraient mettre en péril les systèmes informatiques dont dépend l’organisation. Ne pas comprendre pleinement les besoins opérationnels en matière de sécurité mettra en péril la posture de sécurité de l’organisation face aux menaces grandissantes.

Parcours de perfectionnement

Les personnes qui occupent ce poste suivent essentiellement l’éducation et le parcours de carrière du rôle d’architecte d’entreprise. Il s’agit d’un rôle de spécialiste émergent que l’on retrouve principalement dans de grandes sociétés des technologies ou des fournisseurs de services partagés, de systèmes ou de sécurité.

Autres titre

Architectes de sécurité d’entreprise

Classification nationale des professions connexes

2147 – Ingénieurs informaticiens/ingénieures informaticiennes (sauf ingénieurs/ingénieures et concepteurs/conceptrices en logiciel)

2171 – Analystes et consultants/consultantes en informatique

Tâches

  • Collaborer avec les principaux intervenants pour mettre en place un programme efficace de gestion des risques liés à la sécurité
  • Assurer la conformité aux lois et aux réglementations en vigueur
  • Définir et passer en revue les systèmes de technologie et d’information de l’organisation, et s’assurer qu’ils sont conformes aux exigences en matière de sécurité
  • Reconnaître les plans de reprise après sinistre appropriés et les fonctions de continuité des activités, notamment les exigences en matière de basculement ou de sauvegarde pour la restauration des systèmes
  • Planifier et développer des architectures de sécurité robustes pour les systèmes et les réseaux et faire des recherches à ce sujet
  • Faire des recherches sur les technologies actuelles et nouvelles pour comprendre les capacités des réseaux ou des systèmes requis
  • Préparer des estimations de coûts et cerner les problèmes d’intégration
  • Effectuer des tests de vulnérabilité, des analyses des risques et des évaluations de sécurité
  • Faire des recherches et élaborer un contexte de sécurité des systèmes, et définir les exigences d’assurance de la sécurité en fonction des normes de l’industrie et des politiques et pratiques en matière de cybersécurité
  • S’assurer que les systèmes et les architectures acquis ou développés sont conformes aux politiques et aux pratiques de cybersécurité d’une organisation
  • Effectuer des examens de sécurité, cerner les lacunes ou déterminer la capacité des architectures et des conceptions de sécurité (p. ex. pare-feu, réseaux privés virtuels, routeurs, serveurs, etc.) et élaborer un plan de gestion des risques pour la sécurité
  • Préparer des rapports techniques qui documentent le processus de développement de l’architecture
  • Documenter et traiter les exigences de l’organisation en matière de sécurité de l’information, d’architecture de cybersécurité et d’ingénierie de la sécurité des systèmes tout au long du cycle de vie des systèmes
  • Donner des conseils sur les exigences en matière de sécurité et les activités du processus de gestion des risques
  • Soutenir la gestion des incidents et l’analyse postérieure qui oriente les opérations de reprise
  • Concevoir, fournir et superviser le matériel de formation sur la cybersécurité et les efforts d’éducation liés au rôle

Compétences requises pour l’éducation

Études postsecondaires en infrastructure et architecture informatique (p. ex. génie informatique, architecture de systèmes informatiques).

Formation requise

Formation spécialisée dans les concepts, les principes et les pratiques de l’architecture de sécurité. Formation sur le soutien des outils de sécurité nécessaires à l’exécution des tâches liées au rôle.

Expérience professionnelle requise

Il est préférable d’avoir de la formation et de l’expérience en infrastructure de sécurité des TI, en analyse des besoins ou en gestion de programme – de 5 à 10 ans d’expérience pertinente en TI pour un niveau avancé.

Outils et technologies

  • Plans stratégiques et d’activités
  • Évaluations des menaces et des risques
  • Architectures de système
  • Outils et applications de mise en correspondance des TI
  • Processus et procédures de gestion des incidents
  • Systèmes de gestion des événements et des incidents de sécurité ou systèmes et réseaux de signalement des incidents
  • Processus et politiques de gestion des incidents de cybersécurité
  • Lois relatives à la sécurité et au respect de la vie privée
  • Infrastructure de sécurité organisationnelle et systèmes de production de rapports

Compétences

Cette profession repose sur les compétences démontrées à un niveau de cadre supérieur, ce qui comprend celles mentionnées dans le cadre de la NICE.

Application avancée des connaissances, compétences et aptitudes suivantes :

  • Besoins opérationnels en matière de sécurité
  • Exigences juridiques et relatives aux politiques et à la conformité
  • Concepts, principes et pratiques de sécurité intégrée ou organisationnelle (logiciels, systèmes, données, matériel et personnel)
  • Contrôles préventifs techniques, opérationnels et de gestion disponibles et responsabilités organisationnelles pour ces contrôles
  • Menaces, infrastructures techniques et besoins opérationnels liés au secteur ou au contexte
  • Gestion de projet et exigences de sécurité tout au long du cycle de vie du projet
  • Concepts de la cryptographie et de la gestion des clés cryptographiques
  • Dispositifs de réseau privé virtuel et chiffrement
  • Concepts et pratiques d’ingénierie appliqués à la sécurité et à l’architecture des systèmes
  • Concepts d’architecture de sécurité et modèles de référence relatifs à l’architecture d’entreprise
  • Processus d’évaluation et d’autorisation de sécurité
  • Authentification, autorisation et méthodes de contrôle de l’accès
  • Méthodes et processus de mise à l’essai et d’évaluation de la sécurité
  • Concepts et fonctions des systèmes de sécurité des applications
  • Principes de gestion du cycle de vie des systèmes, y compris la sécurité et la convivialité des logiciels
  • Normes de l’industrie, et principes et méthodes d’analyse acceptés par l’organisation
  • Configuration et utilisation des outils de protection informatique basés sur des logiciels
  • Conception de solutions matérielles et logicielles
  • Gestion, mesures et suivi du programme de cybersécurité
  • Gestion des incidents et planification et exécution de la reprise des systèmes

Futures tendances ayant une incidence sur les compétences clés

  • La dépendance accrue aux services virtuels ou « basés sur l’infonuagique » exigera une connaissance approfondie des architectures organisationnelles et des fournisseurs de services pour déterminer et gérer les risques liés à la cybersécurité.
  • Si le rôle est exercé au sein de l’organisation, il sera nécessaire de comprendre pleinement les implications que l’option « Prenez vos appareils personnels » (PAP) pourrait avoir sur la sécurité et la façon dont les contrôles de sécurité sont intégrés à l’architecture de l’organisation.
  • L’utilisation accrue des outils automatisés, facilitée par l’intelligence artificielle, nécessitera une bonne compréhension de la façon dont ces outils s’intégreront à l’architecture et à l’infrastructure de sécurité globales et des répercussions sur le personnel, les ressources, les procédures et les politiques.
  • L’utilisation accrue des outils automatisés par les auteurs de menace pose des problèmes aux organisations qui ne disposent pas d’outils défensifs complémentaires. Des stratégies d’atténuation créatives et pertinentes devront donc être intégrées localement à l’architecture de sécurité.
  • Des mécanismes visant à soutenir le degré requis de confiance et de risque organisationnel devront être mis en place pour soutenir le suivi et la communication des résultats des outils automatisés. Par conséquent, il faudra comprendre les risques qui pèsent sur l’organisation, ainsi que les mesures de sécurité et les politiques, processus ou procédures à mettre en place pour soutenir une architecture de sécurité intégrée.
  • L’émergence et l’utilisation des technologies quantiques par les auteurs de menace modifieront fondamentalement la sécurité du chiffrement. Des connaissances et des compétences seront nécessaires pour mettre en œuvre une stratégie post-quantique au sein de l’organisation et l’intégrer dans toute l’architecture.
Date de modification :