Sélection de la langue

Intervenants/intervenantes en cas de cyberincident

Le ou la titulaire propose des activités d’intervention immédiates et détaillées pour atténuer ou limiter les menaces et les incidents non autorisés de cybersécurité au sein d’une organisation, notamment la planification et l’élaboration de plans d’action, l’établissement des priorités des activités et le soutien desopératio ns de reprise et de l’analyse après incident.

Sur cette page

Référence au cadre de la NICE

Protect and Defend, Cyber Defence Incident Responder, PR-CIR-001

Conséquence d’une erreur ou risque

Une erreur, une négligence, une information désuète, un manque d’attention aux détails ou un mauvais jugement pourrait mener à une défaillance catastrophique des systèmes de TI et de données de l’organisation et avoir des répercussions graves sur les fonctions organisationnelles qui dépendent de ces systèmes.

Parcours de perfectionnement

Il s’agit d’un emploi de premier échelon courant au sein du Centre des opérations de sécurité (COS). Une formation et une expérience supplémentaires pourraient permettre d’accéder à des rôles plus techniques ou plus opérationnels axés sur les opérations de cybersécurité (p. ex. l’évaluation et la gestion des vulnérabilités, la criminalistique numérique, l’analyse des menaces et l’analyse des maliciels) et offrir des possibilités de gestion.

Autres titres

  • Intervenants/intervenantes en cas d’incident lié à la cybersécurité
  • Responsables du traitement des incidents – centre des opérations de sécurité
  • Premiers intervenants/premières intervenantes en cybersécurité
  • Intervenants/intervenantes en cas d’incident de sécurité lié à la technologie opérationnelle

Classifications nationale des professions connexes

2171 – Analystes et consultants/consultantes en informatique

2147 – Ingénieurs informaticiens/ingénieures informaticiennes (sauf ingénieurs/ingénieures et concepteurs/conceptrices en logiciel)

2173 – Ingénieurs/ingénieures et concepteurs/conceptrices en logicie

Tâches

Ces tâches visent tant les systèmes des TI que les systèmes de la TO.

  • Exécuter des tâches de prise en charge des incidents de cyberdéfense en temps réel (p. ex. collecte d’éléments de preuve, corrélation et suivi des intrusions, analyse des menaces et correction directe du système)
  • Procéder au triage de la sécurité pour déterminer et analyser les cyberincidents et les cybermenaces
  • Surveiller activement les réseaux et les systèmes en cas de cyberincident et de cybermenace
  • Procéder à l’analyse des risques et à l’examen de la sécurité des journaux du système afin de cerner les cybermenaces possibles
  • Effectuer des analyses et des examens ou déployer des scanneurs de réseau, des outils d’évaluation des vulnérabilités, des protocoles de réseau, des protocoles de sécurité Internet, des systèmes de détection des intrusions, des pare-feu, des vérificateurs de contenu et des logiciels de point terminal
  • Recueillir et analyser des données pour cerner les lacunes et les vulnérabilités en matière de cybersécurité et formuler des recommandations qui permettent de les corriger rapidement
  • Élaborer et préparer des analyses et des rapports sur les incidents de cyberdéfense
  • Définir et tenir à jour les jeux d’outils et les procédures
  • Élaborer, mettre en œuvre et évaluer des plans et des activités de prévention et d’intervention en cas d’incident, et les adapter pour contenir, atténuer ou éliminer les effets des incidents de cybersécurité
  • Fournir un soutien à l’analyse des incidents sur les plans et les activités d’intervention
  • Effectuer de la recherche et du développement sur les incidents et les mesures d’atténuation en matière de cybersécurité
  • Créer un plan d’élaboration de programme qui comprend des évaluations des lacunes en matière de sécurité, des politiques, des procédures, des manuels et des manuels de formation
  • Passer en revue, concevoir et fournir du matériel de formation pertinent

Compétences requises pour l’éducation

Diplôme d’études collégiales dans le domaine des technologies de l’information avec une spécialisation en informatique, en cybersécurité, en sécurité des réseaux ou dans un domaine équivalent.

Formation requise

Formation en opérations de cybersécurité avec certification de niveau industriel dans un domaine connexe (p. ex. opérations de sécurité, sécurité des réseaux, détection et atténuation des menaces, exploitation d’appliances de sécurité).

Formation spécialisée obligatoire pour la technologie opérationnelle et les systèmes connexes.

Expérience professionnelle requise

L’expérience initiale requise est d’avoir travaillé avec succès dans un environnement informatique et au sein d’une équipe technique.

Outils et technologies

  • Processus et procédures de gestion des incidents
  • Systèmes de défense, y compris les pare-feu, les logiciels et systèmes antivirus, les systèmes de détection des intrusions et de protection contre les intrusions, les scanneurs et les alarmes
  • Systèmes de gestion des événements et des incidents de sécurité ou systèmes et réseaux de signalement des incidents

Compétences

Intervenants/intervenantes en cas d’incident lié à la cybersécurité

Les connaissances, compétences et aptitudes suivantes s’appliquent à un niveau de base :

  • Administration et gestion de la sécurité des réseaux
  • Architecture de sécurité des réseaux
  • Sécurité du matériel et des micrologiciels
  • Sécurité définie par logiciel et sécurité des applications
  • Virtualisation et sécurité des RPV
  • Sécurité infonuagique
  • Sécurité des dispositifs mobiles et sans fil
  • Établissement de zones de sécurité des TI
  • Chiffrement et cryptographie, dont les concepts et les principes de gestion des clés
  • Analyse des vulnérabilités
  • Outils, processus et procédures de gestion des vulnérabilités
  • Sécurité des applications Web
  • Livres de configuration et de construction opérationnelle
  • Acquisitions de systèmes et projets
  • Responsabilités juridiques et en matière d’éthique associées aux opérations de cybersécurité, y compris la conduite des enquêtes, le respect de la vie privée et la préservation de la preuve
  • Rédaction et présentation des questions techniques (p. ex. rapports d’incident, rapports techniques, etc.) pour assurer la compréhension des membres de la direction
  • Rudiments de la continuité des activités et de l’intervention en cas de sinistre

Les connaissances, compétences et aptitudes suivantes s’appliquent à un niveau avancé :

  • Concepts, exploitation et configuration des appliances de sécurité réseau (équipements basés sur le rôle – systèmes ou appliances de cyberdéfense des réseaux, des serveurs et des postes de travail)
  • Types d’intrusions et indicateurs de compromission (IC)
  • Sources d’information sur les menaces
  • Tactiques, techniques et procédures (TTP) communes aux auteurs de cybermenace
  • Processus, responsabilités et pouvoirs en matière de gestion des risques
  • Méthodes, outils et systèmes de détection et de prévention des intrusions
  • Analyse des intrusions et techniques d’atténuation
  • Analyse de base des maliciels
  • Enquêtes de cybersécurité et préservation des preuves

Pour les intervenants/intervenantes en cas d’incident lié à la technologie opérationnelle

En plus des connaissances, compétences et aptitudes pertinentes susmentionnées, les suivantes s’appliquent au niveau de base :

  • Logiciels et matériel de la TO, contrôleurs logiques programmables et relais numériques et analogiques
  • Évaluation de la menace et des risques liés à la TO connectée à Internet (y compris l’incidence et l’évaluation des dispositifs de l’IdO)
  • Exigences juridiques et relatives à la conformité, dont les responsabilités organisationnelles en matière de sécurité publique et dans les lieux de travail liées à la TO ou à la production
  • Systèmes de télémétrie, communications de données, acquisition de données et contrôle des processus
  • Systèmes d’exploitation, réseaux et systèmes de communication
  • Réseaux de distribution électrique, équipement du système électrique, fonctionnement des stations de transformation et théorie de l’électricité
  • Systèmes et applications de gestion des bases de données
  • Mesures ou indicateurs des problèmes de performances, de disponibilité, de capacité ou de configuration des systèmes de la TO
  • Outils d’analyse et protocoles de réseau
  • Outils de diagnostic et techniques d’identification des défaillances

Futures tendances ayant une incidence sur les compétences clés

  • La dépendance accrue aux services virtuels ou « basés sur l’infonuagique » exigera une connaissance des responsabilités du fournisseur de services, notamment de ses responsabilités pour ce qui est de détecter les incidents de cybersécurité, d’intervenir dans de telles circonstances et d’assurer la reprise des activités.
  • Si le rôle est exercé au sein de l’organisation, il sera nécessaire de comprendre pleinement les répercussions de l’option « Prenez vos appareils personnels » (PAP). Cela signifie que, peu importe les capacités de l’appareil, il faudra évaluer les risques qui pèsent sur l’organisation, mettre en œuvre des mesures d’atténuation pour tenir compte des possibles compromissions qui pourraient résulter de l’utilisation d’appareils personnels et déterminer les mesures que le Centre des opérations de sécurité (COS) devra prendre advenant un incident
  • L’utilisation accrue des outils automatisés, facilitée par l’intelligence artificielle, nécessitera une bonne compréhension de la façon dont ces outils s’intégreront au COS, ce qui comprend la mise en œuvre des changements liés au personnel et aux processus.
  • L’utilisation accrue des outils automatisés par les auteurs de menace pose des problèmes aux organisations qui ne disposent pas d’outils défensifs complémentaires. Des stratégies d’atténuation créatives et pertinentes seront donc nécessaires localement. Cela exigera une bonne maîtrise de la pensée critique et abstraite.
  • Des mécanismes visant à soutenir le degré requis de confiance et de risque organisationnel devront être mis en place pour soutenir le suivi et la communication des résultats des outils automatisés. Par conséquent, il faudra mieux comprendre les risques qui pèsent sur l’organisation et les possibles réponses dans l’environnement dynamique de la menace.
  • L’émergence et l’utilisation des technologies quantiques par les auteurs de menace modifieront fondamentalement la sécurité du chiffrement. Cela nécessitera des connaissances et des compétences pour ce qui est de la mise en œuvre d’une stratégie post-quantique, ainsi que les outils, les techniques et les protocoles employés par les auteurs de menace pour mener des attaques basées sur l’informatique quantique et la manière de se défendre contre celles-ci.
Date de modification :