RNCP37796 - Gestionnaire de la sécurité des données, des réseaux et des systèmes

La certification Gestionnaire de la sécurité des données, des réseaux et des systèmes, de niveau 7 et délivrée par l'Ecole Hexagone, vise à former des professionnels capables de formuler et formaliser une politique de sécurité des systèmes d'information en accord avec l'environnement et les risques de l'organisation, ainsi que de mettre en place les outils techniques et humains nécessaires à la sécurisation de ces systèmes.

Les compétences attestées par cette certification sont nombreuses et variées. Tout d'abord, le gestionnaire de la sécurité des données doit être capable d'identifier les enjeux stratégiques de la cyberdéfense de l'organisation, en se basant sur la lecture des normes et procédures internes, des textes législatifs et règlementaires, ainsi qu'en communiquant avec les parties prenantes de l'organisation et en utilisant le vocabulaire spécifique à celle-ci. Il doit ainsi avoir une vision globale des activités de l'organisation.

Ensuite, le gestionnaire de la sécurité des données doit être en mesure d'évaluer l'environnement dans lequel évolue l'organisation, en appliquant une méthodologie de sélection, de recherche, de collecte et d'analyse d'informations, afin d'identifier les priorités stratégiques de la cybersécurité. Cette évaluation permettra d'anticiper la stratégie de sécurité et de garantir la protection des intérêts de l'organisation.

Le gestionnaire de la sécurité des données doit également être capable de mettre en place une méthode d'analyse du risque numérique, en définissant l'objet d'étude, en identifiant les parties prenantes (partenaires, filiales, sous-traitants, etc.), en analysant les procédures métiers et en catégorisant les vulnérabilités par niveau de gravité. Il devra également appliquer le cadre normatif et règlementaire afin de détecter les failles et vulnérabilités de l'organisation.

La certification vise également à former des professionnels capables de déterminer des mesures de sécurité adaptées au contexte de l'organisation, en réalisant une cartographie des sources de risque, des menaces numériques et des scénarios d'attaque, en prenant en compte les moyens de l'organisation (financiers, humains, etc.) et en synthétisant ces informations pour adopter une politique de sécurité adaptée.

Le gestionnaire de la sécurité des données doit également être en mesure de formuler la politique de sécurité de l'organisation, en s'appuyant sur le guide PSSI de l'ANSSI, en prenant en compte l'existant et les usages, en intégrant une démarche qualité, en définissant les objectifs, les orientations et les responsabilités de chacun, et en mettant en place un cadre de suivi pour garantir l'usage sécurisé et efficace de l'ensemble du système d'information.

La communication est également un élément essentiel dans le métier de gestionnaire de la sécurité des données. Ce professionnel doit être en mesure de communiquer régulièrement auprès de l'ensemble des acteurs de l'organisation, en français et en anglais, en adoptant un langage et/ou des outils inclusifs adaptés aux éventuelles situations de handicap et à la multiculturalité. Il devra ainsi organiser des ateliers, des réunions ou des actions de sensibilisation pour impliquer les acteurs de l'organisation dans la prévention et la gestion du risque cyber.

Le gestionnaire de la sécurité des données doit également être en mesure d'identifier les équipements (logiciels et matériels) sur le marché qui offrent performance, confidentialité, intégrité et/ou disponibilité, en étudiant leurs qualifications (CSPN de l'ANSSI, EAL, Critères communs), en recueillant leurs vulnérabilités connues et en évaluant leur capacité à s'intégrer à une solution de supervision et de journalisation des évènements. Il devra ainsi constituer un catalogue d'éléments de sécurisation adaptés aux capacités, moyens et enjeux de l'organisation.

La certification vise également à former des professionnels capables de rédiger un cahier des charges fonctionnel pour un projet de sécurisation du système d'information, en prenant en compte l'existant, les besoins métiers et les priorités de l'organisation. Le gestionnaire de la sécurité des données devra ainsi formuler des recommandations de matériels et logiciels conformes à l'état de l'art, à la règlementation et aux normes, pour proposer une traduction des enjeux de l'organisation et des exigences en termes de sécurité adaptée et pérenne.

Le gestionnaire de la sécurité des données doit également être en mesure de modéliser une base de données, des flux d'information et des traitements, en utilisant le relevé des échanges d'informations existants ou nécessaires entre les différentes briques (logicielles et matérielles) de sécurisation du système d'information, pour établir une cartographie de l'architecture de sécurisation à mettre en place.

Le déploiement d'outils méthodologiques dans un cadre de projet de sécurisation d'un système d'information fait également partie des compétences attendues d'un gestionnaire de la sécurité des données. Pour cela, il devra sélectionner une méthode de gestion de projet (Agile, cycle en V) et des outils de suivi, en prenant en compte les normes ISO (9001, 14001), pour garantir les conditions les plus favorables à l'orchestration du projet.

Enfin, le gestionnaire de la sécurité des données doit être en mesure d'identifier les difficultés pouvant mettre en péril la réussite du projet, en suivant régulièrement les étapes du projet, en évaluant les réalisations de chaque équipe grâce à des entretiens individuels, des outils de planification et de suivi général (Gantt) et des grilles d'évaluation. Il devra ainsi assurer le bon déroulement du projet dans le respect du cahier des charges et du rétroplanning défini.

Pour terminer, la certification vise à former des professionnels maîtrisant les différentes solutions de chiffrement symétrique et asymétrique, en étudiant la cryptologie et en analysant les forces et faiblesses de chacune de ces solutions, afin d'opter pour la solution la plus adaptée en fonction des besoins de l'organisation. Le gestionnaire de la sécurité des données devra également être en mesure de déployer une infrastructure de gestion de clés en mettant en place une autorité de certification (AC) et un système de gestion de clés (SKS) conforme à la politique de sécurité de l'organisation.