Expert en sécurité des développements informatiques
Certification RNCP37173
Formacodes 31006 | Sécurité informatique 31054 | Informatique et systèmes d'information 31067 | Analyse programmation 72054 | logiciel serveur applications
Nomenclature Europe Niveau 7
Formacodes 31006 | Sécurité informatique 31054 | Informatique et systèmes d'information 31067 | Analyse programmation 72054 | logiciel serveur applications
Nomenclature Europe Niveau 7
Les métiers associés à la certification RNCP37173 : Expertise et support en systèmes d'information Études et développement informatique
Codes NSF 326n | Analyse informatique, conception d'architecture de réseaux 326t | Programmation, mise en place de logiciels
Voies d'accès : Contrat d'apprentissage VAE
Prérequis : Être titulaire d’un titre de niveau 6 ou justifier d'une expérience professionnelle significative dans le domaine Informatique
Certificateurs :
Voies d'accès : Contrat d'apprentissage VAE
Prérequis : Être titulaire d’un titre de niveau 6 ou justifier d'une expérience professionnelle significative dans le domaine Informatique
Certificateurs :
| Certificateur | SIRET |
|---|---|
| AIROBJECT | 53970902200039 |
Activités visées :
Bloc 1 : Auditer la se?curite? des applications d’un syste?me d’information L’expert en se?curite? des de?veloppements informatiques doit garantir la conformite? de l’application d’une entreprise avec un ensemble spe?cifique de crite?res de se?curite?.
Pour cela il proce?de a? une analyse des risques reposant sur un me?thodologie d’audit et d’analyse de risque reconnue.
Il identifie les risques pour en de?gager les causes potentielles et analyse ces re?sultats.
Il en de?duit un plan d’action permettant de renforcer la se?curite?.
Ces diffe?rentes actions doivent permettre a? l’entreprise d’e?tre en mesure de valider une accre?ditation d’une certification reconnue.
Bloc 2 : E?laborer une politique de se?curisation des applications Sur l’appui de son expe?rience, des proce?dures internes et des re?sultats d’audit potentiels, l’expert en se?curite? des de?veloppements informatiques de?finit la politique de se?curite? des de?veloppements informatiques de l’entreprise.
Il effectue une veille permanente technique et re?glementaire pour se tenir informer des failles pouvant e?tre exploite?es par des cybercriminels, au regard des technologies et composants utilise?s par l’entreprise.
Il coordonne le plan de formation des e?quipes.
Il e?vange?lise et anime des ateliers de formations pour sensibiliser notamment les e?quipes de de?veloppements aux meilleures pratiques.
Bloc 3 : Concevoir et de?velopper une application se?curise?e L’expert en se?curite? des de?veloppements informatiques s’assure que les hypothe?ses de se?curite? relatives a? l’environnement de son architecture applicative sont clairement e?nonce?es et prises en compte dans sa conception.
Il veille a? ce que les exigences de se?curisation applicables aux diffe?rents constituants de son architecture ou aux outils permettant de la produire soient effectivement mises en œuvre.
Il participe a? la conception de l’architecture et de l’imple?mentation de l’application a? de?velopper en s’assurant que les diffe?rentes briques disposent du niveau de se?curite? adapte? aux contextes du projet sur les aspects techniques et me?tiers.
L’expert en se?curite? des de?veloppements informatiques analyse et prend en charge les volets se?curite? (objectifs, niveau de criticite? et attentes en termes de re?silience), en liaison avec les e?quipes de de?veloppement et de se?curite?, des projets informatiques et programmes dans l’infrastructure.
Il planifie, coordonne, en relation avec les autres secteurs concerne?s (syste?mes, re?seaux, syste?me de gestion base de donne?es, etc.), les besoins d’inte?gration exprime?s.
Il contribue a? la qualification technique et a? l’inte?gration des de?veloppements informatiques dans l’environnement de production, afin de s'assurer que seuls les utilisateurs autorise?s pourront y acce?der.
Il de?veloppe des composants se?curise?s, ainsi que des scripts de simulation pour les tests.
Bloc 4 : Piloter un projet d’application se?curise?e L’expert en se?curite? des de?veloppements informatiques intervient de?s la conception d’un projet.
Ses compe?tences lui permettent de comprendre les proble?matiques a? traiter dans un contexte de se?curite?.
Au-dela? de ces compe?tences techniques, il sait analyser les besoins des utilisateurs et anticiper les nouveaux usages.
Il re?alise les spe?cifications des applications et produit les documents techniques a? destination des e?quipes de de?veloppement et de production, en veillant a? ce qu’elles re?sistent aux attaques a? tous les niveaux : interface, design, code source et ce que de?s sa conception.
Pour cela, il mobilise des me?thodes de gestion de projet agile et des me?thodes d'analyse en besoin de se?curite?.
L’expert en se?curite? des de?veloppements informatiques traduit les exigences techniques en plans re?alisables pour de?velopper et mettre en œuvre les solutions propose?es.
Il encadre l’e?quipe projet afin d’atteindre les objectifs fixe?s et contro?ler que les programmes de?veloppe?s sont se?curise?s.
Il apporte l'outillage DevSecOps qui automatise les ta?ches du de?veloppeur.
Il optimise la se?curite? d’une application au niveau du codage, ce qui la rend moins vulne?rable aux menaces, en ope?rant un contro?le plus e?tendu sur le re?sultat d’entre?es inattendues.
Il s’assure que ses e?quipes testent la se?curite? des applications logicielles lors du processus de de?veloppement, afin de ve?rifier que l’application et sa mise a? jour ne pre?sentent aucune vulne?rabilite?.
Il encadre et anime les audits et revues de code au sein de l’e?quipe puis automatise plusieurs types de tests.
Par sa mai?trise des techniques d’audits de se?curite?, il re?alise e?galement des pentest (test de pe?ne?tration) afin d’essayer d’acce?der a? l’application.
Ils administrent les analyses de se?curite? non authentifie?es et authentifie?es (en tant qu’utilisateurs connecte?s) afin de de?tecter les vulne?rabilite?s de se?curite? susceptibles d’apparai?tre pour ces deux types d’analyse.
Bloc 5 : De?ployer et maintenir la se?curisation des applications d’un SI L’expert en se?curite? des de?veloppements informatiques de?ploie l'infrastructure se?curise?e ne?cessaire au de?veloppement, au test, au de?ploiement dans l’environnement de production des applications afin de garantir la se?curite? de l’application de bout en bout.
Il construit les pipelines CI/CD pour des de?ploiements automatise?s gra?ce a? l'utilisation de la technologie de gestion de la configuration.
Il est ainsi garant de la continuite? de l’application et en porte la responsabilite?.
Les applications d’aujourd’hui sont souvent disponibles sur divers re?seaux et connecte?es au Cloud, ce qui augmente leur vulne?rabilite? aux menaces et aux violations de se?curite?.
Il est garant de la se?curite? au niveau du re?seau, mais e?galement au sein des applications elles-me?mes a? travers la mise en place de pare-feu d’applications Web.
Il accompagne les e?quipes Ops sur la se?curisation des applications et leur de?ploiement, y compris dans des environnements Cloud.
Il supervise e?galement la maintenance une fois le produit mis en route et teste? en contro?lant le fait que l’application inte?gre toujours la dimension se?curite? face aux menaces et vulne?rabilite?s communes.
Il veille et assure la mise a? jour automatise?e des applications et de ses composants face aux failles reconnues.
Il s’assure que les utilisateurs ont uniquement acce?s aux donne?es qu’ils sont autorise?s a? afficher dans leurs applications Cloud, ou? les donne?es sensibles sont plus vulne?rables.
En cas d’incident de se?curite? dans une application, il s’appuie sur des outils d’analyse (journalisation) pour identifier les utilisateurs ayant eu acce?s aux donne?es concerne?es et comprendre comment ils ont pu y parvenir.
Bloc 1 : Auditer la se?curite? des applications d’un syste?me d’information L’expert en se?curite? des de?veloppements informatiques doit garantir la conformite? de l’application d’une entreprise avec un ensemble spe?cifique de crite?res de se?curite?.
Pour cela il proce?de a? une analyse des risques reposant sur un me?thodologie d’audit et d’analyse de risque reconnue.
Il identifie les risques pour en de?gager les causes potentielles et analyse ces re?sultats.
Il en de?duit un plan d’action permettant de renforcer la se?curite?.
Ces diffe?rentes actions doivent permettre a? l’entreprise d’e?tre en mesure de valider une accre?ditation d’une certification reconnue.
Bloc 2 : E?laborer une politique de se?curisation des applications Sur l’appui de son expe?rience, des proce?dures internes et des re?sultats d’audit potentiels, l’expert en se?curite? des de?veloppements informatiques de?finit la politique de se?curite? des de?veloppements informatiques de l’entreprise.
Il effectue une veille permanente technique et re?glementaire pour se tenir informer des failles pouvant e?tre exploite?es par des cybercriminels, au regard des technologies et composants utilise?s par l’entreprise.
Il coordonne le plan de formation des e?quipes.
Il e?vange?lise et anime des ateliers de formations pour sensibiliser notamment les e?quipes de de?veloppements aux meilleures pratiques.
Bloc 3 : Concevoir et de?velopper une application se?curise?e L’expert en se?curite? des de?veloppements informatiques s’assure que les hypothe?ses de se?curite? relatives a? l’environnement de son architecture applicative sont clairement e?nonce?es et prises en compte dans sa conception.
Il veille a? ce que les exigences de se?curisation applicables aux diffe?rents constituants de son architecture ou aux outils permettant de la produire soient effectivement mises en œuvre.
Il participe a? la conception de l’architecture et de l’imple?mentation de l’application a? de?velopper en s’assurant que les diffe?rentes briques disposent du niveau de se?curite? adapte? aux contextes du projet sur les aspects techniques et me?tiers.
L’expert en se?curite? des de?veloppements informatiques analyse et prend en charge les volets se?curite? (objectifs, niveau de criticite? et attentes en termes de re?silience), en liaison avec les e?quipes de de?veloppement et de se?curite?, des projets informatiques et programmes dans l’infrastructure.
Il planifie, coordonne, en relation avec les autres secteurs concerne?s (syste?mes, re?seaux, syste?me de gestion base de donne?es, etc.), les besoins d’inte?gration exprime?s.
Il contribue a? la qualification technique et a? l’inte?gration des de?veloppements informatiques dans l’environnement de production, afin de s'assurer que seuls les utilisateurs autorise?s pourront y acce?der.
Il de?veloppe des composants se?curise?s, ainsi que des scripts de simulation pour les tests.
Bloc 4 : Piloter un projet d’application se?curise?e L’expert en se?curite? des de?veloppements informatiques intervient de?s la conception d’un projet.
Ses compe?tences lui permettent de comprendre les proble?matiques a? traiter dans un contexte de se?curite?.
Au-dela? de ces compe?tences techniques, il sait analyser les besoins des utilisateurs et anticiper les nouveaux usages.
Il re?alise les spe?cifications des applications et produit les documents techniques a? destination des e?quipes de de?veloppement et de production, en veillant a? ce qu’elles re?sistent aux attaques a? tous les niveaux : interface, design, code source et ce que de?s sa conception.
Pour cela, il mobilise des me?thodes de gestion de projet agile et des me?thodes d'analyse en besoin de se?curite?.
L’expert en se?curite? des de?veloppements informatiques traduit les exigences techniques en plans re?alisables pour de?velopper et mettre en œuvre les solutions propose?es.
Il encadre l’e?quipe projet afin d’atteindre les objectifs fixe?s et contro?ler que les programmes de?veloppe?s sont se?curise?s.
Il apporte l'outillage DevSecOps qui automatise les ta?ches du de?veloppeur.
Il optimise la se?curite? d’une application au niveau du codage, ce qui la rend moins vulne?rable aux menaces, en ope?rant un contro?le plus e?tendu sur le re?sultat d’entre?es inattendues.
Il s’assure que ses e?quipes testent la se?curite? des applications logicielles lors du processus de de?veloppement, afin de ve?rifier que l’application et sa mise a? jour ne pre?sentent aucune vulne?rabilite?.
Il encadre et anime les audits et revues de code au sein de l’e?quipe puis automatise plusieurs types de tests.
Par sa mai?trise des techniques d’audits de se?curite?, il re?alise e?galement des pentest (test de pe?ne?tration) afin d’essayer d’acce?der a? l’application.
Ils administrent les analyses de se?curite? non authentifie?es et authentifie?es (en tant qu’utilisateurs connecte?s) afin de de?tecter les vulne?rabilite?s de se?curite? susceptibles d’apparai?tre pour ces deux types d’analyse.
Bloc 5 : De?ployer et maintenir la se?curisation des applications d’un SI L’expert en se?curite? des de?veloppements informatiques de?ploie l'infrastructure se?curise?e ne?cessaire au de?veloppement, au test, au de?ploiement dans l’environnement de production des applications afin de garantir la se?curite? de l’application de bout en bout.
Il construit les pipelines CI/CD pour des de?ploiements automatise?s gra?ce a? l'utilisation de la technologie de gestion de la configuration.
Il est ainsi garant de la continuite? de l’application et en porte la responsabilite?.
Les applications d’aujourd’hui sont souvent disponibles sur divers re?seaux et connecte?es au Cloud, ce qui augmente leur vulne?rabilite? aux menaces et aux violations de se?curite?.
Il est garant de la se?curite? au niveau du re?seau, mais e?galement au sein des applications elles-me?mes a? travers la mise en place de pare-feu d’applications Web.
Il accompagne les e?quipes Ops sur la se?curisation des applications et leur de?ploiement, y compris dans des environnements Cloud.
Il supervise e?galement la maintenance une fois le produit mis en route et teste? en contro?lant le fait que l’application inte?gre toujours la dimension se?curite? face aux menaces et vulne?rabilite?s communes.
Il veille et assure la mise a? jour automatise?e des applications et de ses composants face aux failles reconnues.
Il s’assure que les utilisateurs ont uniquement acce?s aux donne?es qu’ils sont autorise?s a? afficher dans leurs applications Cloud, ou? les donne?es sensibles sont plus vulne?rables.
En cas d’incident de se?curite? dans une application, il s’appuie sur des outils d’analyse (journalisation) pour identifier les utilisateurs ayant eu acce?s aux donne?es concerne?es et comprendre comment ils ont pu y parvenir.
Capacités attestées :
Définir un plan d'audit adapté en termes de moyens, ressources, organisation et contraintes réglementaires, par l’application d’une méthodologie d’audit, afin de déterminer précisément les failles et non conformités des applications d’un système d’information. Conduire une analyse de sécurité de l’information et des données des applications d’un système d'information, en s’appuyant sur un plan d’audit, afin d'identifier les risques et menaces et d'en dégager les causes. Analyser les écarts au regard des procédures définis au plan d'audit en rédigeant un rapport d’audit, afin de déterminer le plan d’action permettant de renforcer la sécurité des applications et du SI. Établir un plan d’action comportant les mesures de sécurité techniques et organisationnelles correctives et préventives, afin de corriger les non conformités et remédier aux failles de sécurité des applications et de leurs interactions avec le système d’information. Préparer l’entreprise à la certification en sécurité de l’information, par une démarche d’accréditation à partir d’une norme de certification, afin de rassurer les clients et les partenaires. Définir une politique de sécurité des applications du système d'information adaptée à l’activité de l’entreprise, à l’aide des différents acteurs et procédures existantes, afin de répondre à ses enjeux. Mettre en place un référentiel “développeur se?curite?” à destination des développeurs, en définissant des protocoles de développement et de tests issus du Security by Design, afin d’élaborer des bonnes pratiques par l’utilisation des outils (framework, composants…) les plus pertinents. Evaluer les dernières vulnérabilités connues et les opportunités technologiques, enorganisant une veille axée juridique, réglementaire et technique, afin de répondre aux enjeux de sécurité de l’entreprise. Analyser les compétences des équipes en matière de sécurité des applications, au moyen de questionnaires et d’entretiens, afin de concevoir et mettre en place un plan de formation. Sensibiliser et former les équipes, à un niveau approprié, aux meilleures pratiques de sécurité, risque et conformité à travers un plan de formation, afin d’améliorer leur niveau de compréhension des problématiques de sécurité informatique. Utiliser le référentiel général d’amélioration de l’accessibilité (RGAA), afin d’adapter le formation interne de la sécurité aux personnes handicapées. Modéliser une architecture applicative et technique sécurisée, en s’appuyant sur une analyse des besoins et des spécificités du SI, afin de répondre aux exigences de sécurité durant tout le cycle de vie de l’application. Structurer les choix technologiques et méthodologiques, en sélectionnant les solutions adaptées, afin de qualifier leur intégrations dans l’environnement de production et minimiser surface d’attaque à laquelle l’application va être exposée. Définir l’automatisation des tests, par la mise en oeuvre des processus et outils adaptés aux tests techniques et fonctionnels automatisés, afin de garantir l’intégrité au niveau applicatif et des données. Rédiger les spécifications techniques des attentes en matière d’architecture de solutions de sécurité, en vue de la rédaction du cahier des charges, afin de permettre la réalisation de l’application par les équipes de développement. Coder des composants web, logiciel ou mobile conformes aux spécifications fonctionnelles et techniques, de sécurité et de performance, afin tester leur robustesse à travers des outils de tests. Intégrer des composants technologiques externes, en appliquant des règles de conception des fonctionnalités définies, afin de mettre en œuvre une architecture applicative sécurisée. Concevoir un projet de développement sécurisé, par l’application d’une méthode de gestion de projet agile, afin de gérer les besoins de sécurité lors du développement d’une application, afin de minimiser les attaques et garantir la sécurité des programmes. Planifier les différentes activités à réaliser à travers des outils collaboratifs nécessaires à la collaboration et au partage d’informations, afin d’assurer la bonne diffusion des informations liées à la sécurité auprès de l’ensemble des équipes de développement. Coordonner et motiver les équipes pour implémenter de manière appropriée les fonctionnalités spécifiées, afin de contrôler que les règles de codage préalablement définie sont appliquées dans le cycle de vie du projet de manière pertinente. Mettre à disposition des outils et des infrastructures de développement pour optimiser et industrialiser les travaux des équipes de développement, afin d’atteindre les objectifs du projet. Accompagner une personne en situation de handicap afin de faciliter son intégration dans l’équipe et dans son environnement de travail. Mener une analyse statique (analyse de code et de dépendance) et dynamique (pentest) des développements réalisés à travers des outils sélectionnés et automatisés, afin de tester la sécurité de l’application. Analyser les ambiguïtés non détectées lors des tests et corriger les failles détectées, afin de remédier aux attaques avant le déploiement de l’application. Déployer une architecture technique sécurisée, en appliquant les méthodes et outils définis par la politique de sécurité de l’entreprise, afin de garantir le niveau de sécurité et fonctionnement opérationnel des applications. Superviser la sécurité des applications en mettant œuvre des solutions techniques de protection automatisées, afin de protéger les données sensibles de l’application. Déployer des solutions de monitoring pour e?tre alerte? de l’apparition des anomalies de sécurité dans le syste?me, afin d’établir une surveillance la plus complète des évènements et limiter l’impact d’un incident de sécurité. Assurer la continuité d’activité des applications en concevant un plan de reprise d’activité, en s’appuyant sur la norme ISO, afin d’automatiser le traitement des incidents. Suivre l’obsolescence et maintenir à jour les composants et de stacks logiciels devenus vulnérables, en installant les patchs correctifs, afin de corriger les menaces et failles de se?curite? et maintenir l’intégrité des applications. Définir un plan de remédiation permettant de réagir aux incidents de sécurité , en s’appuyant sur des mesures de contournements et des solutions techniques précédemment identifiées, afin de pallier à de nouveaux incidents de sécurité et en réduire les impacts. Mener une investigation technico légale , en s’appuyant sur les outils adéquats afin d’identifier la cause des incidents de sécurité et d’y apporter des solutions. Évaluer la performance des mesures de sécurité en place, à travers la définition, la mise en œuvre et le pilotage des indicateurs clés de sécurité, afin d’assurer l’amélioration continue des dispositifs de sécurité et mettre à jour les procédures.
Définir un plan d'audit adapté en termes de moyens, ressources, organisation et contraintes réglementaires, par l’application d’une méthodologie d’audit, afin de déterminer précisément les failles et non conformités des applications d’un système d’information. Conduire une analyse de sécurité de l’information et des données des applications d’un système d'information, en s’appuyant sur un plan d’audit, afin d'identifier les risques et menaces et d'en dégager les causes. Analyser les écarts au regard des procédures définis au plan d'audit en rédigeant un rapport d’audit, afin de déterminer le plan d’action permettant de renforcer la sécurité des applications et du SI. Établir un plan d’action comportant les mesures de sécurité techniques et organisationnelles correctives et préventives, afin de corriger les non conformités et remédier aux failles de sécurité des applications et de leurs interactions avec le système d’information. Préparer l’entreprise à la certification en sécurité de l’information, par une démarche d’accréditation à partir d’une norme de certification, afin de rassurer les clients et les partenaires. Définir une politique de sécurité des applications du système d'information adaptée à l’activité de l’entreprise, à l’aide des différents acteurs et procédures existantes, afin de répondre à ses enjeux. Mettre en place un référentiel “développeur se?curite?” à destination des développeurs, en définissant des protocoles de développement et de tests issus du Security by Design, afin d’élaborer des bonnes pratiques par l’utilisation des outils (framework, composants…) les plus pertinents. Evaluer les dernières vulnérabilités connues et les opportunités technologiques, enorganisant une veille axée juridique, réglementaire et technique, afin de répondre aux enjeux de sécurité de l’entreprise. Analyser les compétences des équipes en matière de sécurité des applications, au moyen de questionnaires et d’entretiens, afin de concevoir et mettre en place un plan de formation. Sensibiliser et former les équipes, à un niveau approprié, aux meilleures pratiques de sécurité, risque et conformité à travers un plan de formation, afin d’améliorer leur niveau de compréhension des problématiques de sécurité informatique. Utiliser le référentiel général d’amélioration de l’accessibilité (RGAA), afin d’adapter le formation interne de la sécurité aux personnes handicapées. Modéliser une architecture applicative et technique sécurisée, en s’appuyant sur une analyse des besoins et des spécificités du SI, afin de répondre aux exigences de sécurité durant tout le cycle de vie de l’application. Structurer les choix technologiques et méthodologiques, en sélectionnant les solutions adaptées, afin de qualifier leur intégrations dans l’environnement de production et minimiser surface d’attaque à laquelle l’application va être exposée. Définir l’automatisation des tests, par la mise en oeuvre des processus et outils adaptés aux tests techniques et fonctionnels automatisés, afin de garantir l’intégrité au niveau applicatif et des données. Rédiger les spécifications techniques des attentes en matière d’architecture de solutions de sécurité, en vue de la rédaction du cahier des charges, afin de permettre la réalisation de l’application par les équipes de développement. Coder des composants web, logiciel ou mobile conformes aux spécifications fonctionnelles et techniques, de sécurité et de performance, afin tester leur robustesse à travers des outils de tests. Intégrer des composants technologiques externes, en appliquant des règles de conception des fonctionnalités définies, afin de mettre en œuvre une architecture applicative sécurisée. Concevoir un projet de développement sécurisé, par l’application d’une méthode de gestion de projet agile, afin de gérer les besoins de sécurité lors du développement d’une application, afin de minimiser les attaques et garantir la sécurité des programmes. Planifier les différentes activités à réaliser à travers des outils collaboratifs nécessaires à la collaboration et au partage d’informations, afin d’assurer la bonne diffusion des informations liées à la sécurité auprès de l’ensemble des équipes de développement. Coordonner et motiver les équipes pour implémenter de manière appropriée les fonctionnalités spécifiées, afin de contrôler que les règles de codage préalablement définie sont appliquées dans le cycle de vie du projet de manière pertinente. Mettre à disposition des outils et des infrastructures de développement pour optimiser et industrialiser les travaux des équipes de développement, afin d’atteindre les objectifs du projet. Accompagner une personne en situation de handicap afin de faciliter son intégration dans l’équipe et dans son environnement de travail. Mener une analyse statique (analyse de code et de dépendance) et dynamique (pentest) des développements réalisés à travers des outils sélectionnés et automatisés, afin de tester la sécurité de l’application. Analyser les ambiguïtés non détectées lors des tests et corriger les failles détectées, afin de remédier aux attaques avant le déploiement de l’application. Déployer une architecture technique sécurisée, en appliquant les méthodes et outils définis par la politique de sécurité de l’entreprise, afin de garantir le niveau de sécurité et fonctionnement opérationnel des applications. Superviser la sécurité des applications en mettant œuvre des solutions techniques de protection automatisées, afin de protéger les données sensibles de l’application. Déployer des solutions de monitoring pour e?tre alerte? de l’apparition des anomalies de sécurité dans le syste?me, afin d’établir une surveillance la plus complète des évènements et limiter l’impact d’un incident de sécurité. Assurer la continuité d’activité des applications en concevant un plan de reprise d’activité, en s’appuyant sur la norme ISO, afin d’automatiser le traitement des incidents. Suivre l’obsolescence et maintenir à jour les composants et de stacks logiciels devenus vulnérables, en installant les patchs correctifs, afin de corriger les menaces et failles de se?curite? et maintenir l’intégrité des applications. Définir un plan de remédiation permettant de réagir aux incidents de sécurité , en s’appuyant sur des mesures de contournements et des solutions techniques précédemment identifiées, afin de pallier à de nouveaux incidents de sécurité et en réduire les impacts. Mener une investigation technico légale , en s’appuyant sur les outils adéquats afin d’identifier la cause des incidents de sécurité et d’y apporter des solutions. Évaluer la performance des mesures de sécurité en place, à travers la définition, la mise en œuvre et le pilotage des indicateurs clés de sécurité, afin d’assurer l’amélioration continue des dispositifs de sécurité et mettre à jour les procédures.
Secteurs d'activité :
Les entreprises employeurs sont principalement celles qui développent des logiciels ou des applications SAAS. L’expert en sécurité des développements informatiques peut être employé dans des entreprises de toutes tailles : entreprises et institutions publiques et privées dotées de systèmes d’informations (éditeur de logiciel, cabinet de conseil en informatique, ESN) dans tous les secteurs, ou entreprises de services numériques et organismes spécialisés en cybersécurité.
Les entreprises employeurs sont principalement celles qui développent des logiciels ou des applications SAAS. L’expert en sécurité des développements informatiques peut être employé dans des entreprises de toutes tailles : entreprises et institutions publiques et privées dotées de systèmes d’informations (éditeur de logiciel, cabinet de conseil en informatique, ESN) dans tous les secteurs, ou entreprises de services numériques et organismes spécialisés en cybersécurité.
Types d'emplois accessibles :
* Développeur sécurité * DevSecOps * Architecte sécurité * Champion security * Pentester * Architecte cybersécurité * Directeur cybersécurité * Intégrateur de solutions de sécurité * Développeur de solutions de sécurité * Consultant sécurité * Responsable SOC (security operation center) * Analyste SOC * Security Project Manager Officer (PMO) * Program Manager IT program manager * Architecte sécurité * Architecte Sécurité Informatique * Intégrateur de sécurité * Chef de projet sécurité * Product security officer * Chief Product Security Officer
* Développeur sécurité * DevSecOps * Architecte sécurité * Champion security * Pentester * Architecte cybersécurité * Directeur cybersécurité * Intégrateur de solutions de sécurité * Développeur de solutions de sécurité * Consultant sécurité * Responsable SOC (security operation center) * Analyste SOC * Security Project Manager Officer (PMO) * Program Manager IT program manager * Architecte sécurité * Architecte Sécurité Informatique * Intégrateur de sécurité * Chef de projet sécurité * Product security officer * Chief Product Security Officer
Objectif contexte :
Dans un contexte où la cybercriminalité croît, les cyberattaques de grande ampleur se multiplient aussi bien contre les services publics que les entreprises privées, partout dans le monde et dans tous les secteurs. La sécurité est au cœur des cybers-enjeu
Dans un contexte où la cybercriminalité croît, les cyberattaques de grande ampleur se multiplient aussi bien contre les services publics que les entreprises privées, partout dans le monde et dans tous les secteurs. La sécurité est au cœur des cybers-enjeu
Bloc de compétences
RNCP37173BC02 : Mettre en place une politique de sécurisation des applications
Compétences :
Définir une politique de sécurité des applications du système d'information adaptée à l’activité de l’entreprise, à l’aide des différents acteurs et procédures existantes, afin de répondre à ses enjeux. Mettre en place un référentiel “développeur sécurité” à destination des développeurs, en définissant des protocoles de développement et de tests issus du Security by Design, afin d’élaborer des bonnes pratiques par l’utilisation des outils (framework, composants…) les plus pertinents. Evaluer les dernières vulnérabilités connues et les opportunités technologiques, enorganisant une veille axée juridique, réglementaire et technique, afin de répondre aux enjeux de sécurité de l’entreprise. Analyser les compétences des équipes en matière de sécurité des applications, au moyen de questionnaires et d’entretiens, afin de concevoir et mettre en place un plan de formation. Sensibiliser et former les équipes, à un niveau approprié, aux meilleures pratiques de sécurité, risque et conformité à travers un plan de formation, afin d’améliorer leur niveau de compréhension des problématiques de sécurité informatique. Utiliser le référentiel général d’amélioration de l’accessibilité (RGAA), afin d’adapter le formation interne de la sécurité aux personnes handicapées.
Définir une politique de sécurité des applications du système d'information adaptée à l’activité de l’entreprise, à l’aide des différents acteurs et procédures existantes, afin de répondre à ses enjeux. Mettre en place un référentiel “développeur sécurité” à destination des développeurs, en définissant des protocoles de développement et de tests issus du Security by Design, afin d’élaborer des bonnes pratiques par l’utilisation des outils (framework, composants…) les plus pertinents. Evaluer les dernières vulnérabilités connues et les opportunités technologiques, enorganisant une veille axée juridique, réglementaire et technique, afin de répondre aux enjeux de sécurité de l’entreprise. Analyser les compétences des équipes en matière de sécurité des applications, au moyen de questionnaires et d’entretiens, afin de concevoir et mettre en place un plan de formation. Sensibiliser et former les équipes, à un niveau approprié, aux meilleures pratiques de sécurité, risque et conformité à travers un plan de formation, afin d’améliorer leur niveau de compréhension des problématiques de sécurité informatique. Utiliser le référentiel général d’amélioration de l’accessibilité (RGAA), afin d’adapter le formation interne de la sécurité aux personnes handicapées.
Modalités d'évaluation :
Etude de cas portant sur une entreprise qui souhaite former ses développeurs à travers des ateliers de développements sécurisés et notamment sur le Security by Design. Le candidat dispose des résultats d’une enquête pour connaître le niveau de chacun des collaborateurs, la cartographie des applications du SI et les résultats des audits de sécurité et des actions mises en place par l’entreprise.
Etude de cas portant sur une entreprise qui souhaite former ses développeurs à travers des ateliers de développements sécurisés et notamment sur le Security by Design. Le candidat dispose des résultats d’une enquête pour connaître le niveau de chacun des collaborateurs, la cartographie des applications du SI et les résultats des audits de sécurité et des actions mises en place par l’entreprise.
RNCP37173BC04 : Piloter un projet d’application sécurisée
Compétences :
Concevoir un projet de développement sécurisé, par l’application d’une méthode de gestion de projet agile, afin de gérer les besoins de sécurité lors du développement d’une application, afin de minimiser les attaques et garantir la sécurité des programmes. Planifier les différentes activités à réaliser à travers des outils collaboratifs nécessaires à la collaboration et au partage d’informations, afin d’assurer la bonne diffusion des informations liées à la sécurité auprès de l’ensemble des équipes de développement. Coordonner et motiver les équipes pour implémenter de manière appropriée les fonctionnalités spécifiées, afin de contrôler que les règles de codage préalablement définie sont appliquées dans le cycle de vie du projet de manière pertinente. Mettre à disposition des outils et des infrastructures de développement pour optimiser et industrialiser les travaux des équipes de développement, afin d’atteindre les objectifs du projet. Accompagner une personne en situation de handicap afin de faciliter son intégration dans l’équipe et dans son environnement de travail. Mener une analyse statique (analyse de code et de dépendance) et dynamique (pentest) des développements réalisés à travers des outils sélectionnés et automatisés, afin de tester la sécurité de l’application. Analyser les ambiguïtés non détectées lors des tests et corriger les failles détectées, afin de remédier aux attaques avant le déploiement de l’application.
Concevoir un projet de développement sécurisé, par l’application d’une méthode de gestion de projet agile, afin de gérer les besoins de sécurité lors du développement d’une application, afin de minimiser les attaques et garantir la sécurité des programmes. Planifier les différentes activités à réaliser à travers des outils collaboratifs nécessaires à la collaboration et au partage d’informations, afin d’assurer la bonne diffusion des informations liées à la sécurité auprès de l’ensemble des équipes de développement. Coordonner et motiver les équipes pour implémenter de manière appropriée les fonctionnalités spécifiées, afin de contrôler que les règles de codage préalablement définie sont appliquées dans le cycle de vie du projet de manière pertinente. Mettre à disposition des outils et des infrastructures de développement pour optimiser et industrialiser les travaux des équipes de développement, afin d’atteindre les objectifs du projet. Accompagner une personne en situation de handicap afin de faciliter son intégration dans l’équipe et dans son environnement de travail. Mener une analyse statique (analyse de code et de dépendance) et dynamique (pentest) des développements réalisés à travers des outils sélectionnés et automatisés, afin de tester la sécurité de l’application. Analyser les ambiguïtés non détectées lors des tests et corriger les failles détectées, afin de remédier aux attaques avant le déploiement de l’application.
Modalités d'évaluation :
Etude de cas portant sur les tests lors de la finalisation d’un projet d’évolution d’application (nouvelles fonctionnalités) avant son déploiement, sur la base de programmes informatiques développés.
Etude de cas portant sur les tests lors de la finalisation d’un projet d’évolution d’application (nouvelles fonctionnalités) avant son déploiement, sur la base de programmes informatiques développés.
RNCP37173BC05 : Déployer et maintenir la sécurisation des applications d’un SI
Compétences :
Déployer une architecture technique sécurisée, en appliquant les méthodes et outils définis par la politique de sécurité de l’entreprise, afin de garantir le niveau de sécurité et fonctionnement opérationnel des applications. Superviser la sécurité des applications en mettant œuvre des solutions techniques de protection automatisées, afin de protéger les données sensibles de l’application. Déployer des solutions de monitoring pour être alerté de l’apparition des anomalies de sécurité dans le système, afin d’établir une surveillance la plus complète des évènements et limiter l’impact d’un incident de sécurité. Assurer la continuité d’activité des applications en concevant un plan de reprise d’activité, en s’appuyant sur la norme ISO, afin d’automatiser le traitement des incidents. Suivre l’obsolescence et maintenir à jour les composants et de stacks logiciels devenus vulnérables, en installant les patchs correctifs, afin de corriger les menaces et failles de sécurité et maintenir l’intégrité des applications. Définir un plan de remédiation permettant de réagir aux incidents de sécurité , en s’appuyant sur des mesures de contournements et des solutions techniques précédemment identifiées, afin de pallier à de nouveaux incidents de sécurité et en réduire les impacts. Mener une investigation technico légale , en s’appuyant sur les outils adéquats afin d’identifier la cause des incidents de sécurité et d’y apporter des solutions. Évaluer la performance des mesures de sécurité en place, à travers la définition, la mise en œuvre et le pilotage des indicateurs clés de sécurité, afin d’assurer l’amélioration continue des dispositifs de sécurité et mettre à jour les procédures.
Déployer une architecture technique sécurisée, en appliquant les méthodes et outils définis par la politique de sécurité de l’entreprise, afin de garantir le niveau de sécurité et fonctionnement opérationnel des applications. Superviser la sécurité des applications en mettant œuvre des solutions techniques de protection automatisées, afin de protéger les données sensibles de l’application. Déployer des solutions de monitoring pour être alerté de l’apparition des anomalies de sécurité dans le système, afin d’établir une surveillance la plus complète des évènements et limiter l’impact d’un incident de sécurité. Assurer la continuité d’activité des applications en concevant un plan de reprise d’activité, en s’appuyant sur la norme ISO, afin d’automatiser le traitement des incidents. Suivre l’obsolescence et maintenir à jour les composants et de stacks logiciels devenus vulnérables, en installant les patchs correctifs, afin de corriger les menaces et failles de sécurité et maintenir l’intégrité des applications. Définir un plan de remédiation permettant de réagir aux incidents de sécurité , en s’appuyant sur des mesures de contournements et des solutions techniques précédemment identifiées, afin de pallier à de nouveaux incidents de sécurité et en réduire les impacts. Mener une investigation technico légale , en s’appuyant sur les outils adéquats afin d’identifier la cause des incidents de sécurité et d’y apporter des solutions. Évaluer la performance des mesures de sécurité en place, à travers la définition, la mise en œuvre et le pilotage des indicateurs clés de sécurité, afin d’assurer l’amélioration continue des dispositifs de sécurité et mettre à jour les procédures.
Modalités d'évaluation :
Etude de cas portant sur l’analyse d’un incident sur une application en production dans le cloud, remontée par une équipe Ops.
Etude de cas portant sur l’analyse d’un incident sur une application en production dans le cloud, remontée par une équipe Ops.
RNCP37173BC01 : Auditer la sécurité des applications d’un système d’information
Compétences :
Définir un plan d'audit adapté en termes de moyens, ressources, organisation et contraintes réglementaires, par l’application d’une méthodologie d’audit, afin de déterminer précisément les failles et non conformités des applications d’un système d’information. Conduire une analyse de sécurité de l’information et des données des applications d’un système d'information, en s’appuyant sur un plan d’audit, afin d'identifier les risques et menaces et d'en dégager les causes. Analyser les écarts au regard des procédures définis au plan d'audit en rédigeant un rapport d’audit, afin de déterminer le plan d’action permettant de renforcer la sécurité des applications et du SI. Établir un plan d’action comportant les mesures de sécurité techniques et organisationnelles correctives et préventives, afin de corriger les non conformités et remédier aux failles de sécurité des applications et de leurs interactions avec le système d’information. Préparer l’entreprise à la certification en sécurité de l’information, par une démarche d’accréditation à partir d’une norme de certification, afin de rassurer les clients et les partenaires.
Définir un plan d'audit adapté en termes de moyens, ressources, organisation et contraintes réglementaires, par l’application d’une méthodologie d’audit, afin de déterminer précisément les failles et non conformités des applications d’un système d’information. Conduire une analyse de sécurité de l’information et des données des applications d’un système d'information, en s’appuyant sur un plan d’audit, afin d'identifier les risques et menaces et d'en dégager les causes. Analyser les écarts au regard des procédures définis au plan d'audit en rédigeant un rapport d’audit, afin de déterminer le plan d’action permettant de renforcer la sécurité des applications et du SI. Établir un plan d’action comportant les mesures de sécurité techniques et organisationnelles correctives et préventives, afin de corriger les non conformités et remédier aux failles de sécurité des applications et de leurs interactions avec le système d’information. Préparer l’entreprise à la certification en sécurité de l’information, par une démarche d’accréditation à partir d’une norme de certification, afin de rassurer les clients et les partenaires.
Modalités d'évaluation :
Etude de cas portant sur une organisation qui souhaite se préparer à la certification CSPN de l’ANSSI en s’appuyant sur une méthodologie d’analyse de risque afin de qualifier les enjeux, les menaces des applications du SI.
Etude de cas portant sur une organisation qui souhaite se préparer à la certification CSPN de l’ANSSI en s’appuyant sur une méthodologie d’analyse de risque afin de qualifier les enjeux, les menaces des applications du SI.
RNCP37173BC03 : Concevoir et développer une application sécurisée
Compétences :
Modéliser une architecture applicative et technique sécurisée, en s’appuyant sur une analyse des besoins et des spécificités du SI, afin de répondre aux exigences de sécurité durant tout le cycle de vie de l’application. Structurer les choix technologiques et méthodologiques, en sélectionnant les solutions adaptées, afin de qualifier leur intégrations dans l’environnement de production et minimiser surface d’attaque à laquelle l’application va être exposée. Définir l’automatisation des tests, par la mise en oeuvre des processus et outils adaptés aux tests techniques et fonctionnels automatisés, afin de garantir l’intégrité au niveau applicatif et des données. Rédiger les spécifications techniques des attentes en matière d’architecture de solutions de sécurité, en vue de la rédaction du cahier des charges, afin de permettre la réalisation de l’application par les équipes de développement. Coder des composants web, logiciel ou mobile conformes aux spécifications fonctionnelles et techniques, de sécurité et de performance, afin tester leur robustesse à travers des outils de tests. Intégrer des composants technologiques externes, en appliquant des règles de conception des fonctionnalités définies, afin de mettre en œuvre une architecture applicative sécurisée.
Modéliser une architecture applicative et technique sécurisée, en s’appuyant sur une analyse des besoins et des spécificités du SI, afin de répondre aux exigences de sécurité durant tout le cycle de vie de l’application. Structurer les choix technologiques et méthodologiques, en sélectionnant les solutions adaptées, afin de qualifier leur intégrations dans l’environnement de production et minimiser surface d’attaque à laquelle l’application va être exposée. Définir l’automatisation des tests, par la mise en oeuvre des processus et outils adaptés aux tests techniques et fonctionnels automatisés, afin de garantir l’intégrité au niveau applicatif et des données. Rédiger les spécifications techniques des attentes en matière d’architecture de solutions de sécurité, en vue de la rédaction du cahier des charges, afin de permettre la réalisation de l’application par les équipes de développement. Coder des composants web, logiciel ou mobile conformes aux spécifications fonctionnelles et techniques, de sécurité et de performance, afin tester leur robustesse à travers des outils de tests. Intégrer des composants technologiques externes, en appliquant des règles de conception des fonctionnalités définies, afin de mettre en œuvre une architecture applicative sécurisée.
Modalités d'évaluation :
Etude de cas portant sur la conception d’une nouvelle fonctionnalité sécurisée (web et mobile) au sein d’une application SAAS d’un éditeur de logiciel. Il est mis à disposition du candidat un cahier des charges et un environnement où il peut programmer sur l’application et réaliser les tests.
Etude de cas portant sur la conception d’une nouvelle fonctionnalité sécurisée (web et mobile) au sein d’une application SAAS d’un éditeur de logiciel. Il est mis à disposition du candidat un cahier des charges et un environnement où il peut programmer sur l’application et réaliser les tests.