Expert en gouvernance de la sécurité des réseaux et des systèmes (MS)
Certification RNCP36855
Formacodes 24293 | Sécurité télécommunication 31006 | Sécurité informatique
Nomenclature Europe Niveau 7
Formacodes 24293 | Sécurité télécommunication 31006 | Sécurité informatique
Nomenclature Europe Niveau 7
Les métiers associés à la certification RNCP36855 : Expertise et support en systèmes d'information Études et développement informatique
Codes NSF 326n | Analyse informatique, conception d'architecture de réseaux
Voies d'accès : Formation initiale Contrat d'apprentissage Formation continue Contrat de professionnalisation VAE
Prérequis : Sont recevables les candidatures de titulaires d’un des diplômes suivants : Diplôme d’ingénieur habilité par la Commission des Titres d’Ingénieur (liste CTI) ; Diplôme d’une école de management habilitée à délivrer le grade national de Master (liste CEFDG
Certificateurs :
Voies d'accès : Formation initiale Contrat d'apprentissage Formation continue Contrat de professionnalisation VAE
Prérequis : Sont recevables les candidatures de titulaires d’un des diplômes suivants : Diplôme d’ingénieur habilité par la Commission des Titres d’Ingénieur (liste CTI) ; Diplôme d’une école de management habilitée à délivrer le grade national de Master (liste CEFDG
Certificateurs :
| Certificateur | SIRET |
|---|---|
| INSTITUT MINES TELECOM - TELECOM SUDPARIS | 18009202500055 |
Activités visées :
L’Expert en gouvernance de la sécurité des réseaux et systèmes conçoit des architectures de sécurité, élabore et met en place un plan de sécurité destiné à la protection des ressources vitales des entreprises, des collectivités locales ou territoriales contre les attaques de toute nature : intrusions, destruction ou exfiltration de données.
Il a pour principales activités : L'analyse et le traitement des problématiques de cybersécurité, en particulier celles spécifiques aux Opérateurs de Services Essentiels (OSE) : il identifie les problématiques juridiques des opérateurs puis élabore et met en place des solutions y répondant ; La conduite de projets de cybersécurité : il conçoit des solutions répondant à un cahier des charges, les réalise et les déploie, rédige un rapport sur les réalisations ; L’analyse des menaces réseau et des mécanismes de sécurisation : il identifie les vulnérabilités, met en place des mécanismes de filtrage, dans le cadre d’une politique de sécurité ; L’analyse des vulnérabilités et la sécurisation des applications informatiques : il analyse les applications existantes et met en œuvre des méthodologies de développement d’applications sécurisées ; L’audit du système d’information : il analyse les risques du SI, identifie les vulnérabilités du web, élabore des règles pour la détection d’intrusion ; Le déploiement de services d'authentification, de chiffrement et de protection de la vie privée dans un système d'information.
L’Expert en gouvernance de la sécurité des réseaux et systèmes conçoit des architectures de sécurité, élabore et met en place un plan de sécurité destiné à la protection des ressources vitales des entreprises, des collectivités locales ou territoriales contre les attaques de toute nature : intrusions, destruction ou exfiltration de données.
Il a pour principales activités : L'analyse et le traitement des problématiques de cybersécurité, en particulier celles spécifiques aux Opérateurs de Services Essentiels (OSE) : il identifie les problématiques juridiques des opérateurs puis élabore et met en place des solutions y répondant ; La conduite de projets de cybersécurité : il conçoit des solutions répondant à un cahier des charges, les réalise et les déploie, rédige un rapport sur les réalisations ; L’analyse des menaces réseau et des mécanismes de sécurisation : il identifie les vulnérabilités, met en place des mécanismes de filtrage, dans le cadre d’une politique de sécurité ; L’analyse des vulnérabilités et la sécurisation des applications informatiques : il analyse les applications existantes et met en œuvre des méthodologies de développement d’applications sécurisées ; L’audit du système d’information : il analyse les risques du SI, identifie les vulnérabilités du web, élabore des règles pour la détection d’intrusion ; Le déploiement de services d'authentification, de chiffrement et de protection de la vie privée dans un système d'information.
Capacités attestées :
Analyser les besoins en cybersécurité des systèmes industriels et des Opérateurs de Services Essentiels dans le cadre de la loi du 26 février 2018 transposant la directive NIS (3) au droit français et dans le respect des obligations requises par l’ANSSI(2) Proposer et déployer une solution technique répondant aux besoins et aux contraintes d’un Opérateur de Service Essentiel, c’est-à-dire conforme aux 23 règles de sécurité à appliquer dans les 4 domaines que sont : la gouvernance de la sécurité des réseaux et systèmes d’information, la protection des réseaux et systèmes d’information, la défense des réseaux et systèmes d’information et la résilience des activités. Identifier les réglementations des cadres juridiques français et européen qui s’appliquent dans des situations concrètes liées à la cybersécurité, notamment au sein des Opérateurs de Services Essentiels Déterminer le rôle et les missions des acteurs cybersécurité de l’entreprise pour organiser efficacement la gestion et la mise en œuvre de solutions Établir et analyser l’état de l’art associé à une problématique de cybersécurité afin d’en déterminer les enjeux et de concevoir une contribution scientifique permettant d’y répondre Concevoir un prototype répondant à un cahier des charges et permettant de traiter la problématique identifiée en argumentant les choix réalisés Réaliser et déployer un prototype de la solution permettant d’évaluer sa faisabilité technique afin de s’assurer que la solution réponde fonctionnellement au cahier des charges Identifier les différents types d’attaques portant sur le réseau ainsi que les mécanismes de sécurité permettant de faire face à chacun de ces types d’attaques afin de mettre en œuvre les mécanismes de sécurité les plus efficaces face aux menaces identifiées Mettre en œuvre les règles de filtrage appropriées afin de bloquer des attaques réseau sans entraver le fonctionnement des applications Configurer et tester un pare-feu nouvelle génération (NGFW) afin de mettre en place une politique de sécurité qui vise à protéger un réseau interne tout en filtrant l’accès à certains services pour les utilisateurs de ce réseau interne Analyser les vulnérabilités classique des systèmes d’exploitation et des applications informatiques, identifier les solutions permettant d’y remédier Mettre en œuvre des mécanismes de contrôle d’accès et d’isolation de fichiers sur un système Unix afin d’empêcher des attaques en confidentialité et en intégrité sur ces fichiers Analyser une vulnérabilité du noyau Linux pouvant conduire à une élévation de privilèges afin de déterminer les correctifs à apporter Identifier les risques, découvrir les vulnérabilités afin d'évaluer la sécurité du système d’information · Appliquer la démarche d'analyse de risque EBIOS et employer les outils d'audit d'un réseau afin de professionnaliser la démarche d’audit d’un SI afin de professionnaliser la démarche d’audit d’un SI Concevoir des règles pour la détection d'intrusion dans le contexte d'un centre de sécurité opérationnelle (SOC) afin de réduire le niveau d'exposition des SI aux risques externes comme internes Élaborer une méthodologie de réponse à incident pour faire face à des intrusions réelles afin de plus rapidement et efficacement réagir en cas d’attaques Auditer une application Web et rédiger un rapport d'audit afin d’identifier les vulnérabilités web Établir les besoins en chiffrement et en authentification dans l'architecture d'un système d'information afin de garantir la confidentialité des données sensibles et de certifier l’identité des utilisateurs de manière robuste Générer des certificats numériques X.509 et déployer une infrastructure à clés publiques (PKI) afin de mettre en œuvre des connexions sécurisées en HTTPS Configurer et déployer un réseau privé virtuel (VPN) IPsec entre deux sites distants afin de déterminer les options adéquates à utiliser pour répondre aux différents besoins, notamment en confidentialité et en authentification Mettre en œuvre des mécanismes d’anonymisation des données afin d’assurer la conformité avec le RGPD
Analyser les besoins en cybersécurité des systèmes industriels et des Opérateurs de Services Essentiels dans le cadre de la loi du 26 février 2018 transposant la directive NIS (3) au droit français et dans le respect des obligations requises par l’ANSSI(2) Proposer et déployer une solution technique répondant aux besoins et aux contraintes d’un Opérateur de Service Essentiel, c’est-à-dire conforme aux 23 règles de sécurité à appliquer dans les 4 domaines que sont : la gouvernance de la sécurité des réseaux et systèmes d’information, la protection des réseaux et systèmes d’information, la défense des réseaux et systèmes d’information et la résilience des activités. Identifier les réglementations des cadres juridiques français et européen qui s’appliquent dans des situations concrètes liées à la cybersécurité, notamment au sein des Opérateurs de Services Essentiels Déterminer le rôle et les missions des acteurs cybersécurité de l’entreprise pour organiser efficacement la gestion et la mise en œuvre de solutions Établir et analyser l’état de l’art associé à une problématique de cybersécurité afin d’en déterminer les enjeux et de concevoir une contribution scientifique permettant d’y répondre Concevoir un prototype répondant à un cahier des charges et permettant de traiter la problématique identifiée en argumentant les choix réalisés Réaliser et déployer un prototype de la solution permettant d’évaluer sa faisabilité technique afin de s’assurer que la solution réponde fonctionnellement au cahier des charges Identifier les différents types d’attaques portant sur le réseau ainsi que les mécanismes de sécurité permettant de faire face à chacun de ces types d’attaques afin de mettre en œuvre les mécanismes de sécurité les plus efficaces face aux menaces identifiées Mettre en œuvre les règles de filtrage appropriées afin de bloquer des attaques réseau sans entraver le fonctionnement des applications Configurer et tester un pare-feu nouvelle génération (NGFW) afin de mettre en place une politique de sécurité qui vise à protéger un réseau interne tout en filtrant l’accès à certains services pour les utilisateurs de ce réseau interne Analyser les vulnérabilités classique des systèmes d’exploitation et des applications informatiques, identifier les solutions permettant d’y remédier Mettre en œuvre des mécanismes de contrôle d’accès et d’isolation de fichiers sur un système Unix afin d’empêcher des attaques en confidentialité et en intégrité sur ces fichiers Analyser une vulnérabilité du noyau Linux pouvant conduire à une élévation de privilèges afin de déterminer les correctifs à apporter Identifier les risques, découvrir les vulnérabilités afin d'évaluer la sécurité du système d’information · Appliquer la démarche d'analyse de risque EBIOS et employer les outils d'audit d'un réseau afin de professionnaliser la démarche d’audit d’un SI afin de professionnaliser la démarche d’audit d’un SI Concevoir des règles pour la détection d'intrusion dans le contexte d'un centre de sécurité opérationnelle (SOC) afin de réduire le niveau d'exposition des SI aux risques externes comme internes Élaborer une méthodologie de réponse à incident pour faire face à des intrusions réelles afin de plus rapidement et efficacement réagir en cas d’attaques Auditer une application Web et rédiger un rapport d'audit afin d’identifier les vulnérabilités web Établir les besoins en chiffrement et en authentification dans l'architecture d'un système d'information afin de garantir la confidentialité des données sensibles et de certifier l’identité des utilisateurs de manière robuste Générer des certificats numériques X.509 et déployer une infrastructure à clés publiques (PKI) afin de mettre en œuvre des connexions sécurisées en HTTPS Configurer et déployer un réseau privé virtuel (VPN) IPsec entre deux sites distants afin de déterminer les options adéquates à utiliser pour répondre aux différents besoins, notamment en confidentialité et en authentification Mettre en œuvre des mécanismes d’anonymisation des données afin d’assurer la conformité avec le RGPD
Secteurs d'activité :
Toutes entreprises, collectivités, sociétés de conseil et entreprises de services du numérique (ESN).
Toutes entreprises, collectivités, sociétés de conseil et entreprises de services du numérique (ESN).
Types d'emplois accessibles :
Auditeur en sécurité des systèmes d'information - environnements informatiques Expert sécurité des système et environnements informatiques Consultant cybersécurité (ou Consultant sécurité) Évaluateur sécurité Architecte sécurité Ingénieur sécurité réseau informatique - système réseau informatique Expert sécurité des technologies d'information et de communication Responsable sécurité des systèmes d'information / informatique Responsable du centre de cyberdéfense Chef sécurité de projet informatique et/ou métier Responsable du centre opérationnel de sécurité / Responsable SOC (Security Operation Center)
Auditeur en sécurité des systèmes d'information - environnements informatiques Expert sécurité des système et environnements informatiques Consultant cybersécurité (ou Consultant sécurité) Évaluateur sécurité Architecte sécurité Ingénieur sécurité réseau informatique - système réseau informatique Expert sécurité des technologies d'information et de communication Responsable sécurité des systèmes d'information / informatique Responsable du centre de cyberdéfense Chef sécurité de projet informatique et/ou métier Responsable du centre opérationnel de sécurité / Responsable SOC (Security Operation Center)
Objectif contexte :
L’Expert en gouvernance de la sécurité des réseaux et systèmes conçoit les architectures de sécurité, élabore et met en place un plan de sécurité destiné à la protection des ressources vitales des entreprises, des collectivités locales, territoriales… con
L’Expert en gouvernance de la sécurité des réseaux et systèmes conçoit les architectures de sécurité, élabore et met en place un plan de sécurité destiné à la protection des ressources vitales des entreprises, des collectivités locales, territoriales… con
Statistiques : :
| Année | Certifiés | Certifiés VAE | Taux d'insertion global à 6 mois | Taux d'insertion métier à 2 ans |
|---|---|---|---|---|
| 2020 | 16 | 0 | 94 | 100 |
| 2019 | 15 | 0 | 93 | 100 |
| 2021 | 17 | 0 | 100 |
Bloc de compétences
RNCP36855BC03 : Analyser les menaces réseau et les mécanismes de sécurisation
Compétences :
Identifier les différents types d’attaques portant sur le réseau ainsi que les mécanismes de sécurité permettant de faire face à chacun de ces types d’attaques afin de mettre en œuvre les mécanismes de sécurité les plus efficaces face aux menaces identifiées Mettre en œuvre les règles de filtrage appropriées afin de bloquer des attaques réseau sans entraver le fonctionnement des applications Configurer et tester un pare-feu nouvelle génération (NGFW) afin de mettre en place une politique de sécurité qui vise à protéger un réseau interne tout en filtrant l’accès à certains services pour les utilisateurs de ce réseau interne
Identifier les différents types d’attaques portant sur le réseau ainsi que les mécanismes de sécurité permettant de faire face à chacun de ces types d’attaques afin de mettre en œuvre les mécanismes de sécurité les plus efficaces face aux menaces identifiées Mettre en œuvre les règles de filtrage appropriées afin de bloquer des attaques réseau sans entraver le fonctionnement des applications Configurer et tester un pare-feu nouvelle génération (NGFW) afin de mettre en place une politique de sécurité qui vise à protéger un réseau interne tout en filtrant l’accès à certains services pour les utilisateurs de ce réseau interne
Modalités d'évaluation :
Cas pratiques
Cas pratiques
RNCP36855BC01 : Analyser et traiter les problématiques de cybersécurité spécifiques aux Opérateurs de Services Essentiels
Compétences :
Analyser les besoins en cybersécurité des systèmes industriels et des Opérateurs de Services Essentiels dans le cadre de la loi du 26 février 2018 transposant la directive NIS (3) au droit français et dans le respect des obligations requises par l’ANSSI ; Proposer et déployer une solution technique répondant aux besoins et aux contraintes d’un Opérateur de Service Essentiel, c’est-à-dire conforme aux 23 règles de sécurité à appliquer dans les 4 domaines que sont : la gouvernance de la sécurité des réseaux et systèmes d’information, la protection des réseaux et systèmes d’information, la défense des réseaux et systèmes d’information et la résilience des activités ; Identifier les réglementations des cadres juridiques français et européen qui s’appliquent dans des situations concrètes liées à la cybersécurité, notamment au sein des Opérateurs de Services Essentiels ; Déterminer le rôle et les missions des acteurs cybersécurité de l’entreprise pour organiser efficacement la gestion et la mise en œuvre de solutions, en tenant compte de personnel avec un handicap.
Analyser les besoins en cybersécurité des systèmes industriels et des Opérateurs de Services Essentiels dans le cadre de la loi du 26 février 2018 transposant la directive NIS (3) au droit français et dans le respect des obligations requises par l’ANSSI ; Proposer et déployer une solution technique répondant aux besoins et aux contraintes d’un Opérateur de Service Essentiel, c’est-à-dire conforme aux 23 règles de sécurité à appliquer dans les 4 domaines que sont : la gouvernance de la sécurité des réseaux et systèmes d’information, la protection des réseaux et systèmes d’information, la défense des réseaux et systèmes d’information et la résilience des activités ; Identifier les réglementations des cadres juridiques français et européen qui s’appliquent dans des situations concrètes liées à la cybersécurité, notamment au sein des Opérateurs de Services Essentiels ; Déterminer le rôle et les missions des acteurs cybersécurité de l’entreprise pour organiser efficacement la gestion et la mise en œuvre de solutions, en tenant compte de personnel avec un handicap.
Modalités d'évaluation :
Étude de cas portant sur une problématique technique spécifique aux Opérateurs de Services Essentiels Étude de cas + soutenance visant à traiter des problématiques techniques et juridiques rencontrées par des entreprises Rapport écrit visant à cartographier les métiers et les pratiques de la cybersécurité au sein des opérateurs de services essentiels
Étude de cas portant sur une problématique technique spécifique aux Opérateurs de Services Essentiels Étude de cas + soutenance visant à traiter des problématiques techniques et juridiques rencontrées par des entreprises Rapport écrit visant à cartographier les métiers et les pratiques de la cybersécurité au sein des opérateurs de services essentiels
RNCP36855BC06 : Déployer des services d'authentification, de chiffrement et de protection de la vie privée dans un système d'information
Compétences :
Établir les besoins en chiffrement et en authentification dans l'architecture d'un système d'information afin de garantir la confidentialité des données sensibles et de certifier l’identité des utilisateurs de manière robuste Générer des certificats numériques X.509 et déployer une infrastructure à clés publiques (PKI) afin de mettre en œuvre des connexions sécurisées en HTTPS Configurer et déployer un réseau privé virtuel (VPN) IPsec entre deux sites distants afin de déterminer les options adéquates à utiliser pour répondre aux différents besoins, notamment en confidentialité et en authentification Mettre en œuvre des mécanismes d’anonymisation des bases de données afin d’assurer la conformité avec le RGPD
Établir les besoins en chiffrement et en authentification dans l'architecture d'un système d'information afin de garantir la confidentialité des données sensibles et de certifier l’identité des utilisateurs de manière robuste Générer des certificats numériques X.509 et déployer une infrastructure à clés publiques (PKI) afin de mettre en œuvre des connexions sécurisées en HTTPS Configurer et déployer un réseau privé virtuel (VPN) IPsec entre deux sites distants afin de déterminer les options adéquates à utiliser pour répondre aux différents besoins, notamment en confidentialité et en authentification Mettre en œuvre des mécanismes d’anonymisation des bases de données afin d’assurer la conformité avec le RGPD
Modalités d'évaluation :
Cas pratique
Cas pratique
RNCP36855BC05 : Auditer un système d’information
Compétences :
Identifier les risques, découvrir les vulnérabilités afin d'évaluer la sécurité du système d’information Appliquer la démarche d'analyse de risque EBIOS et employer les outils d'audit d'un réseau afin de professionnaliser la démarche d’audit d’un SI Concevoir des règles pour la détection d'intrusion dans le contexte d'un centre de sécurité opérationnelle (SOC) afin de réduire le niveau d'exposition des SI aux risques externes comme internes Élaborer une méthodologie de réponse à incident pour faire face à des intrusions réelles afin de plus rapidement et efficacement réagir en cas d’attaques Auditer une application Web et rédiger un rapport d'audit afin d’identifier les vulnérabilités web
Identifier les risques, découvrir les vulnérabilités afin d'évaluer la sécurité du système d’information Appliquer la démarche d'analyse de risque EBIOS et employer les outils d'audit d'un réseau afin de professionnaliser la démarche d’audit d’un SI Concevoir des règles pour la détection d'intrusion dans le contexte d'un centre de sécurité opérationnelle (SOC) afin de réduire le niveau d'exposition des SI aux risques externes comme internes Élaborer une méthodologie de réponse à incident pour faire face à des intrusions réelles afin de plus rapidement et efficacement réagir en cas d’attaques Auditer une application Web et rédiger un rapport d'audit afin d’identifier les vulnérabilités web
Modalités d'évaluation :
Cas pratique, étude de cas, mise en situation pratique
Cas pratique, étude de cas, mise en situation pratique
RNCP36855BC04 : Analyser les vulnérabilités et sécuriser des applications informatiques
Compétences :
Analyser les vulnérabilités classiques des systèmes d’exploitation et des applications informatiques, identifier les solutions permettant d’y remédier Mettre en œuvre des mécanismes de contrôle d’accès et d’isolation de fichiers sur un système Unix afin d’empêcher des attaques en confidentialité et en intégrité sur ces fichiers Analyser une vulnérabilité du noyau Linux pouvant conduire à une élévation de privilèges afin de déterminer les correctifs à apporter
Analyser les vulnérabilités classiques des systèmes d’exploitation et des applications informatiques, identifier les solutions permettant d’y remédier Mettre en œuvre des mécanismes de contrôle d’accès et d’isolation de fichiers sur un système Unix afin d’empêcher des attaques en confidentialité et en intégrité sur ces fichiers Analyser une vulnérabilité du noyau Linux pouvant conduire à une élévation de privilèges afin de déterminer les correctifs à apporter
Modalités d'évaluation :
Cas pratiques et étude de cas
Cas pratiques et étude de cas
RNCP36855BC02 : Conduire un projet de cybersécurité
Compétences :
Établir et analyser l’état de l’art associé à une problématique de cybersécurité afin d’en déterminer les enjeux et de concevoir une contribution scientifique permettant d’y répondre Concevoir un prototype répondant à un cahier des charges et permettant de traiter la problématique identifiée en argumentant les choix réalisés Réaliser et déployer un prototype de la solution permettant d’évaluer sa faisabilité technique afin de s’assurer que la solution réponde fonctionnellement au cahier des charges
Établir et analyser l’état de l’art associé à une problématique de cybersécurité afin d’en déterminer les enjeux et de concevoir une contribution scientifique permettant d’y répondre Concevoir un prototype répondant à un cahier des charges et permettant de traiter la problématique identifiée en argumentant les choix réalisés Réaliser et déployer un prototype de la solution permettant d’évaluer sa faisabilité technique afin de s’assurer que la solution réponde fonctionnellement au cahier des charges
Modalités d'évaluation :
Un projet est à mener sur un sujet de cybersécurité avec livrable de dossiers et soutenance orale devant jury
Un projet est à mener sur un sujet de cybersécurité avec livrable de dossiers et soutenance orale devant jury