Sélection de la langue

Technologues et ingénieurs/ingénieures en sécurité

Cela comprend les technologues et ingénieurs/ingénieures en chiffrement et les technologues et ingénieurs/ingénieures en technologie opérationnelle.

En tenant compte des références, de la documentation sur la sécurité organisationnelle, des conseils en matière de sécurité des TI et des outils et ressources nécessaires, le ou la titulaire recherche et définit les besoins opérationnels en matière de sécurité et il veille à ce qu’ils soient pris en compte dans tous les aspects de l’ingénierie des systèmes et toutes les phases du cycle de développement de système (CDS).

Sur cette page

Référence au cadre de la NICE

Securely Provision, R&D Specialist, SP-TRD-001.

Conséquence d’une erreur ou risque

Une erreur, une négligence, une information désuète ou l’omission de tenir compte des exigences organisationnelles, des besoins opérationnels et des menaces pourrait mener à une mauvaise conception du système ou à l’intégration de systèmes ou dispositifs vulnérables à la compromission, ce qui peut avoir des implications importantes sur les objectifs de l’organisation, y compris mener à une possible défaillance irrémédiable des systèmes.

Parcours de perfectionnement

Le ou la titulaire du rôle a généralement reçu une éducation formelle et possède de cinq à dix ans d’expérience dans des fonctions connexes liées à l’ingénierie des TI, à la conception de systèmes ou à l’intégration de systèmes. L’occupation d’un tel poste est généralement précédée par une formation, une éducation ou une expérience spécialisée dans les capacités des systèmes. Il peut être utilisé dans des contextes généraux ou spécialisés comme la cryptographie et le chiffrement, la mise à l’essai et l’évaluation de la sécurité, ou les technologies opérationnelles (SCI, SCO/SCADA).

Autres titres

  • Concepteurs/conceptrices en sécurité
  • Analystes des exigences de sécurité
  • Ingénieurs/ingénieures de la sécurité réseau
  • Technologues et ingénieurs/ingénieures en sécurité
  • Ingénieurs/ingénieures en technologie opérationnelle
  • Ingénieurs/ingénieures en chiffrement

Classification nationale des professions connexes

2133 – Ingénieurs électriciens et électroniciens/ingénieures électriciennes et électroniciennes

2147 – Ingénieurs informaticiens/ingénieures informaticiennes (sauf ingénieurs/ingénieures et concepteurs/conceptrices en logiciel)

2171 – Analystes et consultants/consultantes en informatique

2241 – Technologues et techniciens/techniciennes en génie électronique et électrique

Tâches

  • Définir ou valider les besoins opérationnels en matière de sécurité et les exigences de sécurité
  • Examiner et analyser les architectures et les documents de conception des TI et de la TO, ainsi que les systèmes, les protocoles, les services, les contrôles, les appareils, les applications, les algorithmes cryptographiques et de chiffrements connexes conformément aux exigences de sécurité et aux normes de l’industrie
  • Élaborer et passer en revue les cas d’utilisation des systèmes
  • Identifier les menaces techniques et les vulnérabilités qui touchent les systèmes
  • Gérer la configuration de la sécurité des TI et de la TO
  • Analyser les outils et techniques de sécurité liés aux TI et à la TO
  • Analyser les données de sécurité et fournir des conseils et des rapports
  • Analyser les statistiques de sécurité liées aux TI et à la TO
  • Préparer des rapports techniques comme l’analyse des options relatives à des solutions de sécurité informatique et des plans de mise en œuvre
  • Procéder à la vérification et à la validation indépendantes (VVI) des projets de sécurité des TI et de la TO
  • Superviser les audits de sécurité informatique liés aux TI et à la TO
  • Prodiguer des conseils sur la sécurité des projets des TI ou de la TO
  • Prodiguer des conseils sur les politiques, les plans et les pratiques liés à la sécurité des TI ou de la TO
  • Passer en revue les plans de systèmes, les plans de continuité des activités (PCA) et les plans de reprise après sinistre (PRS)
  • Concevoir, développer et exécuter des tests et exercices des protocoles de sécurité liés aux TI et à la TO
  • Passer en revue, concevoir et fournir le matériel de formation

Compétences requises pour l’éducation

Diplôme d’ingénieur/ingénieure ou de technologue pertinent (selon les exigences de l’organisation).

Formation requise

Certificat valide de l’industrie avec spécialisation en cybersécurité (p. ex. sécurité de réseau, cryptographie, intégration de systèmes, etc.).

Expérience professionnelle requise

Expérience modérée (de 3 à 5 ans) de la sécurité, ainsi que de la conception, de l’intégration, de la mise à l’essai et du soutien des systèmes connexes.

Outils et technologies

  • Outils et méthodologies d’évaluation de la menace et des risques
  • Systèmes de protection et de défense, y compris les pare-feu, les logiciels et systèmes antivirus, les systèmes de détection des intrusions et de protection contre les intrusions, les scanneurs et les alarmes
  • Systèmes de gestion des événements et des incidents de sécurité ou systèmes et réseaux de signalement des incidents
  • Logiciels et systèmes d’authentification
  • Processus de gestion des vulnérabilités et systèmes d’évaluation des vulnérabilités, y compris les tests de pénétration le cas échéant
  • Services de sécurité fournis, le cas échéant
  • Outils et techniques d’essai et d’évaluation de la sécurité

Compétences

Les technologues et ingénieurs/ingénieures en sécurité doivent posséder des connaissances, compétences et aptitudes de base, tandis que les ingénieurs/ingénieures de la sécurité doivent posséder des connaissances, compétences et aptitudes avancées dans les domaines suivants :

  • Modèles d’ingénierie de la sécurité
  • Définition et communication des approches de sécurité qui soutiennent les exigences organisationnelles
  • Normes de sécurité internationales et conformité
  • Concepts d’architecture de sécurité et modèles de référence relatifs à l’architecture d’entreprise
  • Réseautage logiciel (SDN), virtualisation des fonctions réseau (NFV) et fonctions réseau virtualisées (VNF)
  • Sécurité des systèmes pendant l’intégration et la configuration
  • Processus d’évaluation et d’autorisation de sécurité
  • Méthodes et processus de mise à l’essai et d’évaluation de la sécurité
  • Sécurité tout au long du cycle de développement de systèmes et de logiciels
  • Méthodologies et applications d’évaluation des vulnérabilités et de tests de pénétration
  • Méthodes d’essais et d’évaluation des systèmes et des logiciels
  • Conception de la sécurité basée sur les preuves
  • Élaboration et mise à l’essai des modèles de menace
  • Gestion de projet et évaluation de la sécurité tout au long du cycle de vie du projet
  • Processus d’approvisionnement et évaluations de l’intégrité de la chaîne d’approvisionnement
  • Prestation de conseils sur les exigences, les politiques, les plans et les activités de sécurité
  • Rédaction et prestation de séances d’information et de rapports à différents niveaux d’auditoire (utilisateurs, gestionnaires, cadres)

De plus, dans les environnements à assurance élevée, de chiffrement et de cryptographie :

  • Gouvernance de la sécurité dans les environnements à assurance élevée, de chiffrement et de cryptographie
  • Modélisation avancée des menaces et gestion des risques dans les environnements comportant de l’information sensible
  • Politiques et pratiques liées à la gestion des clés (y compris la sécurité des communications [COMSEC pour Communications Security])
  • Normes de sécurité des émissions
  • Établissement de zones de sécurité physiques et des TI
  • Cryptographie et chiffrement, dont les algorithmes et les chiffres
  • Sténographie
  • Mise à l’essai et en œuvre de solutions interdomaines
  • Gestion des clés, produits de gestion des clés et cycle de vie de la certification
  • Tactiques, techniques et procédures employées par des auteurs de menaces persistantes avancées dotés de moyens sophistiqués
  • Technologie post-quantique et à résistance quantique
  • Évaluation et audit des réseaux et des systèmes cryptographiques et de chiffrement

De plus, dans des environnements de technologie opérationnelle (SCI, SCO/SCADA) :

  • Normes de l’industrie, et principes et méthodes d’analyse acceptés par l’organisation
  • Système de contrôle :
    • Défenses de l’architecture et des systèmes
    • Gouvernance et gestion dans des environnements divers
    • Surfaces d’attaque, menaces et vulnérabilités
    • Surveillance de la sécurité, outils et techniques
  • Systèmes et protocoles de TI dans les configurations des systèmes de contrôle
  • Intégration des systèmes de contrôles de TI et de TO
  • Renforcement de la sécurité et surveillance des systèmes de contrôle liés à la TO
  • Processus d’évaluation et d’autorisation de sécurité des systèmes de TO
  • Plans et activités d’intervention en cas d’incident dans les environnements des systèmes de contrôle
  • Planification de la continuité des activités et plans et activités de reprise après sinistre dans les environnements de systèmes de contrôle

Futures tendances ayant une incidence sur les compétences clés

  • La dépendance accrue aux services virtuels ou « basés sur l’infonuagique » exigera une connaissance des responsabilités des services à offrir et de la façon dont ils sont intégrés aux réseaux de l’organisation.
  • Si le rôle est exercé au sein de l’organisation, il sera nécessaire de comprendre pleinement les répercussions de l’option « Prenez vos appareils personnels » (PAP). Cela signifie que, peu importe les capacités du dispositif, il faudra évaluer les risques qui pèsent sur l’organisation et mettre en œuvre des mesures d’atténuation au niveau de risque acceptable.
  • L’utilisation accrue des outils automatisés, facilitée par l’intelligence artificielle, nécessitera une bonne compréhension de la façon dont ces outils s’intégreront dans l’organisation et des possibles implications sur le plan de la sécurité. Si des outils de sécurité automatisés sont utilisés, il conviendra de définir les exigences en matière de mise à l’essai, d’intégration et de contrôle, ainsi que de conseiller ou de former les responsables de ces activités par rapport aux changements de processus et de procédures qui en découleront.
  • L’utilisation accrue des outils automatisés par les auteurs de menace pose des problèmes aux organisations qui ne disposent pas d’outils défensifs complémentaires. Des stratégies d’atténuation créatives et pertinentes seront donc nécessaires localement. Cela exigera une bonne maîtrise de la pensée critique et abstraite.
  • Des mécanismes visant à soutenir le degré requis de confiance et de risque organisationnel devront être mis en place pour soutenir le suivi et la communication des résultats des outils automatisés. Par conséquent, il faudra mieux comprendre les risques qui pèsent sur l’organisation dans l’environnement dynamique de la menace.
  • L’émergence et l’utilisation des technologies quantiques par les auteurs de menace modifieront fondamentalement la sécurité du chiffrement. Des connaissances et des compétences seront nécessaires pour mettre en œuvre une stratégie post-quantique au sein de l’organisation.
Date de modification :