Dossier SecNumedu - Agence nationale de la … · Web viewles cours/conférences, les thèmes, le nombre d’heures les TP, projets…, le nombre d’heures, les moyens mis à disposition

Dossier de demande de labellisation SecNumedu ANSSI-SECNUMEDU-F-02-V1.2

ObjetCe document est le dossier qui accompagne la charte (cf. www.ssi.gouv.fr) pour une demande de labellisation SecNumedu par l’ANSSI des formations de l’enseignement supérieur en sécurité du numérique.

Conditions d’éligibilité à la labellisationPour être éligible à la labellisation SecNumedu, une formation doit répondre aux critères suivants :

- L’objet principal de la formation est la « sécurité du numérique » (sécurité des systèmes d’information, cyberdéfense, cybersécurité…).

- Le grade ou diplôme délivré à l’issue de la formation peut être :o un diplôme reconnu par l’État conférant un grade de Licence ou de Master ;o un diplôme d’ingénieur reconnu par la Commission des titres d’ingénieur (CTI) ;o un Mastère spécialisé de la Conférence des grandes écoles (CGE).

- L’établissement accepte la publication des informations signalées dans le présent document sur le site Internet de l’ANSSI.

Coordonnées où renvoyer le dossierIl doit être envoyé en version électronique par courriel dans une version modifiable (.doc, .odt) à l’adresse suivante :

SecNum-edu[at]ssi.gouv.fr

Le présent dossier peut également être envoyé par courrier à l’adresse suivante :

Agence nationale de la sécurité des systèmes d’informationCFSSI

51 boulevard de la Tour Maubourg75700 PARIS 07 SP

GlossaireCGE Conférence des grandes écoles.CTI Commission des titres d’ingénieur.CyberEdu Programme visant à intégrer de la cybersécurité dans les formations en

informatique non spécialisées en sécurité.SecNumedu Programme de labellisation géré par l’ANSSI attestant de la conformité d’une

formation de sécurité de l’enseignement supérieur à un ensemble d’exigences élaboré par l’ANSSI.

Formation Formation pour laquelle la labellisation est demandée.Organisme École d’ingénieur, université, IUT… qui dispense la formation pour laquelle la

labellisation est demandée.Référence ANSSI de la labellisation

Référence sous la forme ANSSI-SECNUMEDU-<année>-<N°> où année est l’année de délivrance de la labellisation et N°, un numéro d’ordre.

Page 1 sur 24


LégendeLe signalement des informations qui sont destinées à être publiées sur le site Web de l’ANSSI est écrit en bleu.Certaines informations demandées dans ce dossier peuvent évoluer durant la période de validité de la labellisation. Ces évolutions doivent être signalées à l’ANSSI. Certaines évolutions sont qualifiées de « mineures », d’autres de « majeures » ce qui modifie leur traitement dans le processus de labellisation. Le signalement « mineur », « majeur » en relation avec les informations demandées est écrit en rouge. Lorsque rien n’est signalé, la modification n’a pas à être remontée à l’ANSSI.

Objet du dossier

Date du dossier (jj/mm/aaaa)

Le dossier concerne : Objet du dossier Coche

zRéférence ANSSI de la labellisation

Une labellisation initiale (formation non labellisée)Le renouvellement de la labellisation d’une formationUne ou plusieurs modifications mineures en relations avec une formation déjà labelliséeUne ou plusieurs modifications majeures en relations avec une formation déjà labellisée

En cas de modifications mineures ou majeures, merci de bien vouloir résumer les modifications ci-après (en citant les numéros des points modifiés et en explicitant les raisons des modifications majeures).

Renseignements administratifs

(1) Nom de l’organisme qui dispense la formation (Mineur)Ce nom apparaitra sur le site Web de l’ANSSI.

(2) Adresse de la page d’accueil du site Web de l’organisme qui dispense la formation (Mineur)Cette adresse apparaitra sur le site Web de l’ANSSI.

Page 2 sur 24


(3) Statut de l’organisme (Majeur)

Fournir une référence récente (par exemple, liste au journal officiel) de la reconnaissance du titre délivré ou de l’autorisation à délivrer le titre par un organisme autorisé (CGE pour MS, CTI pour ingénieur…).

(4) Adresse postale de l’organisme qui dispense la formation (Mineur)

(5) Adresse du lieu où la formation est dispensée (Mineur)Cette adresse apparaitra sur le site Web de l’ANSSI.

Note : les formations doivent être localisées en France.

(6) Contact administratif pour la formation (nom, prénom, téléphone, courriel, adresse si différente de (4)) (Mineur)

(7) Contact technique et scientifique pour la formation (nom, prénom, téléphone, courriel, adresse si différente de (4)) (Mineur)

(8) Liste des formations dispensées par l’organisme déjà labellisées SecNumedu

Intitulé de la formation Référence ANSSI de la labellisation

Page 3 sur 24


Renseignements généraux sur la formation

Avertissement : les demandes de renseignements qui suivent ont été conçues selon l’hypothèse que, quel que soit le type de la formation, la partie dédiée à la sécurité est concentrée sur la dernière année. Dans certains cas, cette hypothèse est vérifiée de fait (durée de la formation inférieure ou égale à un an comme pour les Mastères spécialisés), dans d’autres elle se vérifie par l’analyse du programme.Les demandes d’information portent donc, par hypothèse, sur la dernière année d’enseignement. Si la formation candidate ne se trouve pas dans ce cas de figure, il est conseillé de tenter de remplir le dossier en l’adaptant et de prendre contact avec l’ANSSI pour exposer la situation.

(9) Intitulé de la formation (Mineur)Cet intitulé apparaitra sur le site Web de l’ANSSI.

(10) Titre délivré (Majeur)Ce titre apparaitra sur le site Web de l’ANSSI. Il sert d’entrée dans la liste des labellisations publiées.

Titre CochezLicence, licence proMasterIngénieur (CTI)Mastère spécialisé (CGE)

(11) Nombre d’étudiants d’une promotion et nombre de promotions (Mineur, à actualiser annuellement)

Cette information apparaitra sur le site Web de l’ANSSI.

Nombre maximum d’étudiants dans une promotionNombre d’étudiants diplômés de la dernière promotion (précisez l’année de la promotion)

Total Français UE Hors UE

Nombre de promotions depuis la création

(12) Information aux étudiants : programme détaillé de la formation (Majeur, à actualiser annuellement)

Un programme détaillé de la formation doit être publiquement disponible et doit détailler :

- les cours/conférences, les thèmes, le nombre d’heures

Page 4 sur 24


- les TP, projets…, le nombre d’heures, les moyens mis à disposition (plateformes…).

Lien sur un site Web présentant le programme détaillé

Ce lien apparaitra sur le site Web de l’ANSSI.

(13) Dominante de la formation (Majeur)

Formation à dominante techniqueLa formation est considérée comme étant à dominante technique lorsque plus de 50% du volume horaire hors stage est consacré à des activités techniques pratiques dans le domaine de la sécurité (par exemple, des TP ou des projets techniques).

Les activités typiques entrant dans cette catégorie sont :- le développement logiciel ;- les travaux en lien avec les applications et les services sécurisés (mise en œuvre et

configuration, analyse de la sécurité…) ;- les travaux en lien avec les systèmes d’exploitation (mise en œuvre et configuration, audit de

configuration, test de pénétration…) ;- les travaux en lien avec les réseaux (mise en œuvre et configurations d’équipements sécurité,

test de pénétration…) ;- les travaux en liens avec du matériel (mesures de signaux compromettants, analyse logique,

conception de produits matériels sécurisés…) :- la rétro ingénierie (logicielle ou matérielle) ;- la cryptographie (implémentation sûres…) ;- l’analyse post-mortem (investigation numérique, forensique) ;- et de manière générale, les activités à caractère technique ou scientifique.

Formation à dominante organisationnelle (managériale, méthodologique…)La formation est à mettre dans cette catégorie lorsque les activités techniques pratiques font moins de 50% du volume horaire hors stage.

Les activités typiques entrant dans cette catégorie sont :- les travaux méthodologiques ;- les analyses de risques ;- les audits organisationnels ;- l’utilisation d’outils destinés à mettre en œuvre les activités d’analyse de risques, d’audit, de

gestion de projet sécurité ;- les travaux autour de la définition de politiques de sécurité ;- les travaux visant à l’entraînement au management de la sécurité.

Type de formation CochezFormation à dominante techniqueFormation à dominante organisationnelle

Ce tableau apparaitra sur le site Web de l’ANSSI.

(14) Formation spécialisée (Majeur)La formation est dite spécialisée lorsqu’elle vise notamment à former à un domaine particulier de la sécurité. Par exemple, la cryptographie, la sécurité des circuits intégrés, la sécurité de la biométrie…

Le volume horaire dans ce domaine de spécialisation doit correspondre à au moins 50% du volume horaire hors stage (TP et cours).

Page 5 sur 24


Le fait qu’une formation soit spécialisée peut autoriser que certains thèmes de la sécurité des technologies de l’information ne soient pas abordés et peut modifier l’appréciation de certains des autres critères de ce dossier.

Laissez « sans objet » dans le tableau ci-dessous si la formation candidate n’est pas une formation spécialisée.

ThèmeSans objet

(15) Niveau de compétence en sécurité attendu en entrée de la formation et niveau de compétence visé en sortie de la formation (Majeur)

Indiquez le niveau attendu en sécurité en entrée de la formation et le niveau visé à la sortie de la formation selon les codes suivants :

0 : Pas de compétence.1 : SENSIBILISATION : comprendre les principaux enjeux et problèmes liés à la

compétence.Pour les fondamentaux : avoir suivi les formations de CyberEdu.

2 : APPLICATION : réaliser des actes simples et certains actes complexes liés à la compétence.Pour les fondamentaux : être en mesure de relier les actes à la compétence et de proposer des améliorations.

3 : MAÎTRISE : réaliser des actes complexes ou tous les actes liés à la compétence.Pour les fondamentaux : être en mesure de spécifier des pratiques pour les niveaux 2 et 3 liées à la compétence.

4 : SPÉCIALISÉ : avoir reçu une formation dédiée à la compétence sur une durée longue permettant de justifier d’un niveau allant au-delà de la maitrise.

L’ANSSI s’attend à ce que pour l’ensemble des compétences issues de CyberEdu, le niveau en sortie soit au moins de 1 (sensibilisé). Si ce n’est pas le cas, un argumentaire justifiant la non-prise en compte des compétences concernées est attendu.

L’usage du niveau 4 devrait être exceptionnel, pour une formation initiale. Il concerne essentiellement certaines formations spécialisées dédiées à un domaine particulier.

Pour des précisions sur les compétences provenant de la liste de CyberEdu, voir annexe 1, « Thèmes de la cybersécurité ». Si certaines compétences n’apparaissent pas dans le tableau ci-après, il est possible de les ajouter dans la rubrique « autres ». Dans ce cas, il faut également compléter le tableau « niveau de compétence par métier » présenté au point (16).


Compétences sécurité,liste de CyberEdu

Nb heures cours

Nb heures

pratique

Niveau Entrée

Niveau Sortie

FondamentauxÉlectronique et architectures matériellesSystèmes d’exploitationRéseaux et protocoles

Page 6 sur 24


CryptologieStéganographie et tatouageBases de donnéesAspects systèmes et systèmes de systèmesNormes, certifications, guides (organisationnel)Certifications et évaluations de produitsPolitique de cybersécurité et SMSIDroit et réglementationDéveloppement logiciel et ingénierie logicielleGestion de projetCyberdéfenseAnalyse post-mortem (Forensic)Systèmes spécifiques, informatique industrielleAspects sociaux et sociétauxTests d’intrusionSécurité physiqueProblématique SSI en contexte spécifique

Compétences sécuritéen dehors de la liste de CyberEdu

Nb heures cours

Nb heures

pratique

Niveau Entrée

Niveau Sortie

Rétro-ingénierieAspects économique de la sécurité

Compétences Sécurité autres Nb heures cours

Nb heures

pratique

Niveau Entrée

Niveau Sortie

Le tableau ci-dessous n’apparaitra pas sur le site de l’ANSSI. Il permet d’associer, si nécessaire, un commentaire permettant de faciliter l’interprétation du tableau précédent par l’ANSSI.

Compétences sécurité,liste de CyberEdu

Commentaires éventuels

FondamentauxÉlectronique et architectures matériellesSystèmes d’exploitationRéseaux et protocolesCryptologieStéganographie et tatouageBases de donnéesAspects systèmes et systèmes de systèmesNormes, certifications, guides (organisationnel)Certifications et évaluations de produitsPolitique de cybersécurité et SMSIDroit et réglementationDéveloppement logiciel et ingénierie logicielleGestion de projetCyberdéfenseAnalyse post-mortem (Forensic)Systèmes spécifiques, informatique industrielleAspects sociaux et sociétauxTests d’intrusionSécurité physiqueProblématique SSI en contexte spécifique

Page 7 sur 24


Compétences sécuritéen dehors de la liste de CyberEdu

Commentaires éventuels

Rétro-ingénierieAspects économique de la sécurité

Compétences Sécurité autres Commentaires éventuels

(16) Niveau de compétence par métier (Majeur en cas de baisse d’un niveau de compétence)La matrice ANSSI-SECNUMEDU-matrice_competences_metier_AAAA-MM-JJ.xls permet de vérifier si les compétences en sorties du tableau en (15) sont adaptées aux métiers visés (cf. point (20)) :

Les compétences sont en colonne Les métiers sont en ligne La valeur de l’intersection (compétences x métiers) donne le niveau attendu de la compétence

pour le métier visé.

Pour vérifier si la formation candidate à la labellisation forme bien aux métiers annoncés, recopiez la colonne « Niveau Sortie » du tableau en (15) dans la colonne « Compétences Formation » de la matrice « Master+ » ou « Licence » selon les cas (pour MS et ingénieur, utilisez la matrice « Master+ ») :

Les intersections (compétences x métiers) qui répondent au niveau de sortie de la formation s’affichent en bleu.

Les métiers (première ligne) correspondants aux niveaux de compétences attendues s’affichent avec un fond jaune.

Cas particulier : les niveaux indiqués dans la matrice doivent être interprétés. Ainsi, dans la colonne « expert », le niveau minimum attendu sur l’ensemble des compétences est de 1 (sensibilisé). Il est clair que pour au moins une des compétences, le niveau devra être (4) « expert » ou « spécialisé ». En d’autres termes, une formation qui prétendrait former des experts en laissant « 1 » comme niveau acquis pour toutes les compétences de la colonne « expert » amènerait à un avis négatif pour la labellisation.

Si un niveau de compétence pour un métier à l’issue de la formation est inférieur au niveau visé dans la matrice, il est attendu un argumentaire expliquant et justifiant cette situation. Ainsi, il peut être acceptable qu’un expert en test d’intrusion sur les composants électroniques de type « carte à puce » n’ait pas une compétence de niveau 3 en « réseaux et protocoles ».

Page 8 sur 24


Les compétences et les métiers sont décrits en annexe.

(17) Répartition des pratiques d’enseignement et de leur évaluation dans l’obtention du diplôme (Majeur)

Ces tableaux apparaitront sur le site Web de l’ANSSI.

Répartition des pratiques d’enseignementCatégories Nombre

d’heuresPourcentage Commentaires éventuels

Cours magistraux, conférences

Présentiel1

Distance2

MOOC3

Travaux pratiques

PrésentielDistance

Projets4

Cursus à l’étranger possible5

AlternanceStagesAutres (précisez)

PrésentielDistance

Totaux 100%

Pour être éligibles à la labellisation :- la partie pratique de la formation (TP/TD, projets et stages) doit être d’au moins 60%.- les TP/TD de les formations doivent se dérouler en présentiel pour au moins 50% de leur

durée.- les formations doit proposer au moins un stage en entreprise dont le sujet a trait à la sécurité

du numérique.

Répartition des pratiques d’évaluationCatégories Poids dans

l’évaluationCommentaires éventuels

Examen sur table %Dossier seul %Oral seul %Dossier + Oral %Alternance %Soutenance de stage6 %Autres (précisez) %Totaux 100%

Pour être éligibles à la labellisation, le poids de la soutenance de stage doit être non nul.

1 Cours ayant lieu dans l’établissement d’enseignement.2 Cours suivi à distance à partir d’un cours intégralement retransmis.3 Indiquez le nombre d’heures en « heure-équivalent-présentiel » (cf. définition de la CTI).4 Un projet est défini comme un travail qui se déroule sur plusieurs semaines, en général en équipe (binôme, trinôme, voire, promotion complète), permettant de valider des compétences acquises durant la formation et mettant les étudiants dans une situation rappelant celle que l’on peut trouver en milieu professionnel (délais, réponse aux besoins, organisation et déroulement du projet, restitution…). L’établissement doit s’engager sur la disponibilité de moyens (salle, ressources informatiques) durant toute la durée du projet afin de permettre aux étudiants de travailler sur place en équipe selon les besoins.5 Indiquer si le cursus est proposé ou obligatoire. S’il est proposé, indiquer à quoi il se substitue en commentaire.6 Doit être supérieur à 0%.

Page 9 sur 24


(18) Volume de cours et TP dédiés à la sécurité par rapport au volume de cours et TP non dédiés à la sécurité (Majeur)

En s’appuyant sur le tableau précédent (cf. (17)), indiquez en pourcentage le volume de cours et TP dédiés à la sécurité (hors stage) par rapport aux autres cours et TP (mise à niveau, matières générales…).

Pour être éligibles à la labellisation, le volume de cours et TP dédiés à la sécurité doit être supérieur ou égal à 70% du volume de cours et TP de la formation.

Volume de cours et TP dédiés à la sécurité (en pourcentage)

(19) Aspects juridiques dans la formation (Majeur)Les aspects juridiques et légaux de la sécurité et de la protection des données personnelles doivent être abordés au niveau général et doivent être instanciés au niveau de chaque thème de la formation qui le justifie.

L’établissement s’engage à ce que ce thème soit abordé dans sa formation ou fasse partie des pré requis à l’entrée de la formation.

Explication en texte libre de la façon dont ce thème est traité dans la formationNombre d’heures

(20) Métiers visés nominalement (Mineur, à actualiser annuellement)

Indiquez les métiers pouvant être visés et/ou pratiqués par les diplômés :

- En sortie de formation- Après 5 ans d’expérience professionnelle

Pour remplir ce tableau :

- Colonne « métiers visés » : o « 1 » - métiers visés principalement.o « 2 » - métiers visés marginalement.o Non rempli : métiers non visés.

- Colonne « métiers pratiqués » : l’établissement dispose de statistiques concernant au moins 50% des diplômés pour la période considérée. Le tableau est alors rempli avec des pourcentages de la population en choisissant une dominante pour les personnes ayant plusieurs métiers. Pour les pourcentages inférieurs à 5%, on indiquera « < 5% ». Si l’établissement ne dispose pas de statistiques suffisamment consistantes, cette colonne ne doit pas être remplie.

- Si certains métiers n’apparaissent pas dans le tableau, il est possible de les ajouter. Dans ce cas, il faut également compléter le tableau « niveau de compétence par métier » présenté au point (16).


Page 10 sur 24


Métiers En sortie Après 5 ansVisés Pratiqués Pratiqués

Technicien support (technique et administratif)Auditeur, contrôleur, évaluateurPost-auditeurExpert en investigation numérique légaleIntégrateurArchitecte de sécuritéDéveloppeur de sécuritéFormateur, InstructeurExpert (préciser domaine)Expert en test d’intrusionsConsultant en sécuritéSpécialiste en gestion de criseOpérateurAnalysteExpert connexeJuriste spécialisé en cyberdéfenseResponsable de la sécurité des systèmes d’information (RSSI)

(21) Intervenants (Mineur)Les noms et qualité des intervenants qui interviennent au moins 3h00 dans la formation accompagnés d’une courte biographie (une dizaine de lignes maximum).

Il est admis que certaines conférences ont pour objet la présentation d’un organisme par un intervenant désigné par cet organisme et qui peut changer d’une année sur l’autre. Dans ce cas, les noms, prénoms et biographie peuvent ne pas être renseignés.

Pour faciliter la manipulation du présent dossier, merci de bien vouloir fournir ces informations dans un document à part.

Nom Prénom Organisme

Domaine / nom de l’intervention Durée de l’intervention en heures

Biographie

(22) Indiquez en pourcentage la part (en volume horaire) des intervenants provenant de milieux académiques des intervenants provenant du milieu professionnel (industrie, administration) (Mineur)

Ce ratio apparaitra sur le site Web de l’ANSSI.

Intervenants milieu académique

Intervenants milieu professionnel

Note : le total doit faire 100%

Page 11 sur 24


(23) Certifications professionnelles passées dans le cadre de la formation (Mineur)Cette liste apparaitra sur le site de l’ANSSI.

Le tableau suivant permet d’indiquer les certifications professionnelles obtenues durant le cursus de formation.

- « Optionnel » vs « obligatoire » : indiquez « obligatoire » si l’obtention de la certification est une condition pour l’obtention du diplôme. Dans ce cas, le % des étudiants ayant obtenu la certification doit être « 100% ». Dans les autres cas, indiquez « optionnel ».

- Organisme certificateur : en plus du nom de l’organisme, vous pouvez préciser si le certificat est inscrit à l’inventaire de la CNCP7 et sa référence dans cet inventaire.

Nom de la certification Organisme certificateur

Indiquez « Optionnel »

ou « Obligatoire »

% des étudiants ayant obtenu la

certification l’année précédente

(24) Formations labellisées par la CNIL (Mineur)Cette liste apparaitra sur le site de l’ANSSI.

Indiquez dans le tableau ci-dessous les formations labellisées par la CNIL qui sont suivies par les étudiants.

Nom de la formation Référence du label CNIL

7 Commission Nationale de la Certification Professionnelle.

Page 12 sur 24


(25) Niveau d’anglais (Mineur)Ce tableau apparaitra sur le site de l’ANSSI.De plus en plus d’employeurs imposent un niveau d’anglais dans les critères d’embauches. Les renseignements8 qui suivent informent les étudiants et employeurs sur la façon dont la formation labellisée aborde ce sujet.

Niveau en entréeLa formation impose-t-elle un niveau d’anglais minimum vérifié en entrée ?

Oui / Non

Si oui, comment le niveau est-il vérifié (précisez) ?

L’établissement Sans objetUne certification9 Sans objet

Si oui, niveau minimum demandé CECRL10 Sans objetAutre Sans objet

Niveau en sortieNiveau minimum visé par la formation en sortie

CECRL NéantAutre Néant

Comment le niveau est-il vérifié ? L’établissement NéantUne certification Néant

L’atteinte du niveau est-il obligatoire pour l’obtention du diplôme ?

Oui / Non / Sans objet

Si l’atteinte du niveau n’est pas obligatoire pour l’obtention du diplôme mais qu’il y a un examen ou une certification, indiquez le pourcentage de diplômés ayant atteint le niveau pour la dernière promotion connue (précisez l’année)

Sans objet

(26) Points en texte libre que vous souhaitez porter à l’attention de l’ANSSI

8 Modifiez les valeurs par défaut dans le tableau s’il y a lieu. Les valeurs par défaut correspondent à « pas de niveau minimum attendu en entrée » et « pas de niveau minimum imposé en sortie ».9 Pour les certifications ou les niveaux demandés ou obtenus, indiquez le référentiel d’évaluation (TOEFL, TOEIC, IELTS…).10 Cadre européen commun de référence pour les langues : http://www.coe.int/t/dg4/linguistic/Source/Framework_FR.pdf

Page 13 sur 24


Annexe 1 : thèmes de la cybersécuritéTiré de CyberEdu (www.cyberedu.fr), Guide pédagogique pour l’intégration de la cybersécurité dans les formations en informatique.

Compétences DescriptionFondamentaux Historique (de la cybersécurité, de la sécurité des

systèmes d’information), vocabulaire et principes fondamentaux de la cybersécurité, objectifs et propriétés de la cybersécurité, objectifs et profils des attaquants, typologie des attaques, vulnérabilités, menaces et contre-mesures, malwares, type et évolution, principes de fonctionnement, protection contre les malwares, analyse et gestion de risques, acteurs de la cybersécurité, sûreté de fonctionnement.

Électronique et architectures matérielles Attaques physiques, conception de composants sécurisés, architecture des ordinateurs, systèmes embarqués, cartes à puce / éléments sécurisés.

Systèmes d’exploitation Principes, Windows, Unix / Linux / MacOS…, systèmes d’exploitation embarqués, mobiles, hyperviseurs et virtualisation, logiciels malveillants, rétro ingénierie, équipements et produits de sécurité (anti-virus, pare- feu…).

Réseaux et protocoles Modèle d’interconnexion des systèmes ouverts (ISO), types de réseaux (réseaux privés, locaux, réseaux sans fil, réseaux étendus…), protocoles et services, équipements et produits de sécurité réseaux (pare-feu, sondes, passerelles, réseaux privés virtuels, concentrateurs, TLS, commutateurs…).

Cryptologie Fondamentaux des principes (symétrique, asymétrique, hachage), fondamentaux des services (chiffrement, signature…), ingénierie de la cryptologie, infrastructures de gestion de clés (IGC), certificats, implantations matérielles et logicielles de la cryptographie, algorithmes, modes…

Stéganographie et tatouage Définitions, principes, applications.Bases de données Sécurité des bases de données, problématique Big Data,

Open Data, vulnérabilités des applications.Aspects systèmes et systèmes de systèmes

Architectures produits, architectures systèmes, architectures applicatives, notion de systèmes complexes…

Normes, certifications, guides (organisationnel)

ISO2700x, ISO22301, plan de continuité d’activité (PCA), plan de reprise d’activité (PRA), standards industriels et métiers (PCI-DSS, W3C, IEEE, IETF, UIT, UEFI…), management de la qualité… guides (ANSSI, ENISA, NIST, SANS, NSA/CSS…).

Certifications et évaluations de produits Schémas d’évaluation et de certification (Critères Communs (CC), Certification sécurité de premier niveau

Page 14 sur 24


(CSPN)…).Politique de cybersécurité et SMSI Organisation de la cybersécurité en France et à

l’étranger, démarche d’analyse de risque, conception et mise en place d’une politique de sécurité des systèmes d’information (PSSI), supervision, contrôle audit, Computer Emergency Response Team (CERT), Security Operating Center (SOC), traitement des incidents de sécurité.

Droit et réglementation Droit et réglementation en France, cas des opérateurs d’infrastructures vitales (OIV), droit et réglementation au niveau international.

Développement logiciel et ingénierie logicielle

Compilation / interprétation et exécution, développement sécurisé, durcissement de code, analyse formelle, architecture logicielle, relecture, analyse statique de code, tests, environnement de développement.

Gestion de projet Gestion de la sécurité des systèmes d’information dans les projets, démarche d’homologation.

Cyberdéfense Doctrine d’emploi, détection, agrégation, normalisation, corrélation, reporting, stockage, gestion de crise, communication, préservation de la preuve, réponse juridique, réaction, traitement, Computer Security Incident Response Team (CISRT), coordination, plan de continuité d’activité (PCA), plan de reprise d’activité (PRA), cyber résilience.

Analyse post-mortem (Forensic) Analyse post-mortem, sûreté des logs.Systèmes spécifiques, informatique industrielle

SCADA, objets connectés...

Aspects sociaux et sociétaux Ingénierie sociale, phishing, contournement de la politique de sécurité, ergonomie de la sécurité, hygiène informatique, géopolitique et intelligence économique.

Tests d’intrusion Principes, droits, outils.Sécurité physique Contrôle d’accès, sécurité physique des systèmes

d’information.Problématique SSI en contexte spécifique Informatique nébuleuse, mobilité, multi-niveaux,

infogérance, externalisation.Aspects économiques de la sécurité Connaissance des éléments de coûts de la sécurité, par

exemple :- ordres de grandeur du coût des

interventions/prestations (experts, consultants, SOC…) selon la durée ;

- ordres de grandeur du coût de la mise en conformité vis-à-vis de certains référentiels (27000, PCI-DSS…) ;

- ordres de grandeur du coût de l’évaluation sécurité des produits de sécurité ;

- ordres de grandeur du coût des produits de sécurité (investissements / fonctionnement).

- impacts sociaux-économiques suite à une attaque réussie ;

- impacts économiques suite à la divulgation de données personnelles ;

- …

Page 15 sur 24


Page 16 sur 24


Annexe 2 : métiers de la sécuritéListe établie dans le cadre de l’initiative gouvernementale « nouvelle France industrielle » en 2015 dans le domaine de la sécurité. Cette liste et les descriptions sont susceptibles d’évoluer. Pour une version à jour, voir sur www.ssi.gouv.fr. Certaines définitions ont été modifiées.

Métiers DescriptionsTechnicien support (technique et administratif)

De niveau licence, le technicien support est responsable d’activités de support, de gestion ou d’administration de la sécurité aux plans techniques ou administratifs : conception, production, conditionnement et gestion des réseaux de chiffrement et des éléments secrets.

Selon le profil d’emploi et la formation reçue, il est en mesure de déployer et d’administrer des solutions de gestion de la sécurité, ainsi que de paramétrer les éléments de sécurité des équipements serveurs et des terminaux traitants.

Il est en capacité d’effectuer des tâches de contrôles administratifs de conformité dans le domaine des habilitations du personnel, du suivi comptable et des inventaires réglementaires, de l’application des procédures d’exploitation de sécurité, apportant ainsi son soutien aux opérations d’audit et de contrôle.

Il contribue aux séances de sensibilisation pour l’usage des ressources par les utilisateurs finaux.

Dans le domaine de la cybersécurité, le technicien veilleur analyse et interprète les alertes, les événements corrélés et recherche les vulnérabilités.

Source : professionnels de la SSI.Auditeur, contrôleur, évaluateur De niveau licence à master, l’auditeur ou l’évaluateur est

quelqu’un qui vérifie la conformité d’un produit, d’un système ou d’une organisation à un référentiel (normatif ou spécifique) selon des critères et en mettant en œuvre une méthode.

Exemples :- dans les évaluations sécurité de produits,

l’évaluateur vérifie la conformité d’un produit par rapport à sa cible de sécurité en mettant en œuvre des critères (Critères Communs) selon une méthode (CEM).

- Dans le domaine des systèmes de paiements, l’auditeur vérifie la conformité d’un système (et de l’organisation associée) par rapport à un ensemble de points de contrôles du standard PCI-DSS.

Page 17 sur 24

http://www.ssi.gouv.fr/


Généralement, les auditeurs ou évaluateurs ont soit une orientation technique, soit une orientation organisationnelle.

Sources : professionnels de la SSI.Post-auditeur De niveau master, le post auditeur, architecte de sécurité

expérimenté et spécialiste en « système ou réseau », établit la cartographie et oriente les investigations des équipes d’analyse dans un contexte difficile. Il intervient sur sollicitation suite à un incident ou une intrusion, prend la mesure de la situation et propose un plan de remédiation.

Conjointement à l’élaboration du profil de l’agresseur et à son éviction du système, il aide à produire les informations qui seront nécessaires pour les activités aval de remédiation avec les potentiels impacts métiers, pilote les équipes et rend compte.

Ses compétences lui permettent de dialoguer efficacement avec les interlocuteurs et experts techniques dans le(s) domaine(s) touché(s), qu’il mobilise en tenant compte de la culture de l’entreprise.

Il propose les mesures techniques et processus palliatifs prioritaires à court terme.

Maîtrisant les outils et méthodes d’investigation Forensic, à la recherche de traces et d’outils d’intrusion, le post-auditeur travaille en équipe intégrée pour analyser les services utilisés, les configurations et les mises à jour des équipements afin d’y intégrer, si nécessaire, les moyens de détection manquants.

Source : professionnels de la SSI, groupe de travail SecNumedu.

Intégrateur De niveau licence à master, l’intégrateur de sécurité système analyse et prend en charge les volets sécurité (objectifs, niveau de criticité et attentes en termes de résilience) en liaison avec l’architecte des projets informatiques et programmes dans l’infrastructure.

Il définit et met en œuvre des plates-formes nécessaires à l’intégration des solutions (services ou produits de sécurité) dans les nouvelles applications.

Il planifie, coordonne, en relation avec les autres secteurs concernés (systèmes, réseaux, système de gestion base de données, etc.), les besoins d’intégration exprimés.

Il installe des composants matériels, des composants logiciels ou des sous-systèmes supplémentaires dans un système existant ou en cours de développement, respecte les processus et procédures établis (i.e. gestion de configuration), en tenant compte de la spécification, de la capacité et de la compatibilité des modules existants et des nouveaux modules afin de garantir intégrité et interopérabilité.

Page 18 sur 24


Il contribue à la qualification technique et à l’intégration dans l’environnement de production.

Il documente les processus de mise en œuvre, de mise à jour et d’exploitation des composants de sécurité et organise les conditions de mise en œuvre du maintien en condition de sécurité.

Source : professionnels de la sécurité.Architecte de sécurité De niveau master, l’architecte de sécurité structure les choix

techniques, technologiques et méthodologiques d’un ensemble [système, logiciel] répondant à des exigences de sécurité, en cohérence avec les activités équivalentes réalisées au niveau de la solution qui l’intègre.

Il s’assure de la déclinaison optimale des exigences techniques d’entrée (fonctionnalités à offrir, contraintes de performance, d’interopérabilité, d’interchangeabilité, de robustesse, d’intégration de solutions sur étagère, d’exportabilité), selon des critères de coût, d’efficacité, de stabilité, de maîtrise, de niveau de risque, de respect des standards, d’aptitude à la production, au déploiement et à la maintenance MCO (Maintien en Conditions Opérationnelles) & MCS (Maintien en Conditions de Sécurité).

Il identifie et valide la cartographie du système d’information et notamment s’assure que les hypothèses de sécurité relatives à l’environnement de son architecture sont clairement énoncées et prises en compte dans sa conception.

Il veille à ce que les exigences de sécurisation applicables aux différents constituants de son architecture ou aux outils permettant de la produire soient effectivement déclinées.

Il fournit la connaissance de l'état de l'art des architectures prenant en compte les développements futurs et il prépare les dossiers de conception et de justification.

Source : professionnels de la sécuritéDéveloppeur de sécurité De niveau master, le développeur de sécurité assure le

sous-ensemble des activités d’ingénierie nécessaires au développement de logiciels (design, interfaces, spécifications, conception, codage, production de binaire, assemblage, tests, préparation à l’intégration de niveau solution, gestion des sources, gestion de configuration, gestion des faits techniques, archivage, documentation) répondant à des exigences de sécurité.

En plus de sa connaissance des fondamentaux de la SSI qui lui permet de comprendre les problématiques à traiter et de ses compétences en développement, on attend du développeur sécurité des connaissances dans les domaines des vulnérabilités, des contre-mesures logicielles et/ou matérielles, des règles de développement sûr (au sens de la sécurité), des langages et de leurs propriétés, des chaînes de développement et de leur paramétrage, du test (sécuritaire) et éventuellement, des méthodes formelles.

Il développe de façon méthodique, en appliquant des

Page 19 sur 24


règles de conception / codage / tests (qu’il définit au besoin ou qu’il contribue à définir) et s’assure que les composants qu’il produit sont testables en termes de conformité fonctionnelle, de robustesse (tests aux limites et hors limites), de sécurité (résistance aux attaques identifiées en entrée de la conception), et de performances.

Il s’assure de l’applicabilité des licences des produits qu’il utilise, et au besoin de l’innocuité de leurs composants.

Sources : professionnels de la SSI.Formateur, Instructeur De niveau licence à master, il participe à (formateur) ou est

responsable de (instructeur) la formation ou la sensibilisation du personnel sur les volets réglementaires, techniques ou opératifs de la SSI et de la cyberdéfense.

En mesure de monter des travaux pratiques sur les produits, réseaux (BAC +3), la forme la plus aboutie peut conduire à l’animation d’équipes attaque/défense sur des plates-formes d’entraînement représentatives des domaines IT ou des automates industriels, simulant en temps contraint la réponse à des attaques ou incidents de sécurité.

Disposant d’une expérience technique ou opérationnelle dans les domaines enseignés (administrateur, opérateur, réglementation, technique), il se tient informé de l’état de l’art dans son domaine et assure une veille permettant d’actualiser ses cours en fonction de l’évolution du contexte (technique, menaces, régulation).

Titulaire de références pédagogiques, il veille à illustrer ses cours de travaux pratiques, démonstrations ou exercices participatifs.

Source : professionnels de la SSI.Expert (préciser domaine) Le statut d’expert s’applique à quelqu’un qui « a fait ses

preuves », qui a acquis un grand savoir-faire dans une profession ou une discipline grâce à une longue expérience.

Le statut d’expert est généralement associé à une reconnaissance par des pairs.

Il n’est pas forcément lié à un niveau de formation mais une formation longue (BAC+6 à BAC+8) impliquant de la pratique peut accélérer l’acquisition d’expérience (BAC+6 à BAC+8).

Expert devrait toujours être associé à un qualificatif : en sécurité des réseaux, en test de pénétration, en organisation, en analyse de risques…

Sources : groupe de travail SecNumeduExpert en test d’intrusions De niveau licence à master l’expert en test d’intrusion

cherche à identifier des vulnérabilités techniques d’un

Page 20 sur 24


produit et/ou d’un système dans son environnement d’utilisation, d’identifier des chemins d’attaque et les exploiter. Il est également en mesure d’identifier les techniques des attaquants et d’en déterminer les profils (habitudes et méthode de travail, accès, dépôt, exfiltration, habitudes, périodicité…).

Il a une bonne connaissance des vulnérabilités, des produits permettant de détecter ou exploiter des vulnérabilités.

Il connaît les principes de protection des produits de sécurité, leurs limites voire leurs méthodes de contournement. Se tenant informé grâce aux forums ad hoc et revues spécialisées, il est en mesure de développer des scénarios d’intrusion à l’état de l’art et peut se spécialiser sur certaines cibles techniques (systèmes d’exploitation, téléphonie sur IP, protocoles réseau, etc).

Source : professionnels de la SSIConsultant en sécurité De niveau master, on attend du consultant en sécurité une

vision large de la sécurité, une compréhension des enjeux dans les organisations et les projets, une capacité à appréhender des situations complexes, à trouver des compromis et au final, à proposer et exposer des solutions.

Il anticipe et fait mûrir les nouveaux projets par une sensibilisation à l’apport des technologies et une analyse prospective des processus métiers.

Le consultant assiste la direction ou la maîtrise d’ouvrage pour la définition des besoins, de la politique et des solutions de sécurité à mettre en œuvre, dans un souci de meilleure intégration dans le système d’information d’entreprise.

Il prescrit et recommande des pistes pour le développement et la mise en œuvre de la sécurité d’une organisation, d’un projet ou d’une solution, participe à la définition des processus, des spécifications générales des projets, vérifie la cohérence de l’architecture applicative et fonctionnelle et de son évolution, peut participer à l'évaluation et au choix d’une solution de sécurité, assiste les métiers ou la maîtrise d’ouvrage pour le développement de la sécurité du projet et enfin propose des préconisations sur le management garant de la cyber résilience dans le cadre de l’accompagnement d’un projet.

On considère généralement qu’un consultant est une personne pouvant justifier d’une expérience professionnelle significative (au moins 10 ans) lui ayant permis d’exercer son métier dans de multiples environnements.

Page 21 sur 24


Toutefois, le terme consultant, associé à « junior » ou « senior » ou « confirmé » selon la situation, désigne de plus en plus toute personne que l’on consulte pour avoir un conseil, un avis circonstancié, sur un sujet.

Source : professionnels de la SSI, CIGREF, groupe de travail SecNumedu

Spécialiste en gestion de crise De niveau master, le spécialiste en gestion de crise cyber conseille l’organisme pour lui permettre de disposer d’une capacité de gestion de crise majeure dédiée aux systèmes d’information, ou avec un volet cyber prépondérant.

Il organise la gestion de crise pour :• agir et résoudre la crise ;• communiquer l’état de la crise aux personnes

et aux organismes concernés ;• coordonner l’action des différentes parties en

présence.

Il limite les volets organisationnels, l’entraînement et la simulation aux acteurs susceptibles d’intervenir en cas de crise majeure liée aux systèmes d’information et à leurs interlocuteurs métiers ou support concernés à contacter (gestionnaire de crise, RSSI, responsables de l’ingénierie, administrateurs systèmes / données).

À un autre niveau plus technique et sous la pression d’une attaque en cours, le profil de gestionnaire de crise technique peut être également identifié.

Source : professionnels de la SSI.Opérateur De niveau licence à master, l’opérateur, selon le domaine

concerné (mise en service ou soutien d’équipements de sécurité, supervision, gestion d’attaques...) met en œuvre la politique de sécurité de l’information, contrôle et prend des mesures contre les intrusions, les fraudes, les atteintes ou les fuites concernant la sécurité.

Il garantit l’analyse et la gestion des évènements concernant la sécurité des données et des systèmes d’information de l’organisme, il passe en revue les incidents de sécurité et formule des recommandations pour une amélioration continue de la sécurité.

Analyste De niveau licence à master, l’analyste peut contribuer à plusieurs domaines d’activités de la cybersécurité, dans les domaines de :

l’anticipation technologique avec de la veille technique ; l’anticipation dans le domaine du renseignement sur les

menaces, avec de l’analyse d’impact des codes d’exploitation (activités CERT et intégrateur de solutions) ;

l’anticipation en conduite pour évaluer les dommages

Page 22 sur 24


subis par un système compromis, participer à la conception de la solution technique visant à restituer le service et apporter ses compétences de spécialiste en matière de mise en œuvre des principes de sécurisation SSI et dans le domaine technique de la cyber sécurité.

Il peut contribuer au schéma directeur et à l’urbanisation sécurisée des systèmes.

Expert connexe De niveau master, ce nouveau métier est né de la nécessité de coordonner des techniques de cyberdéfense et de résilience (continuité d’activité métier) face aux attaques. À ce titre, il dispose d’une double compétence et d’une expérience dans les deux domaines.

Il peut être issu de la sécurité des systèmes d’information ou d’un domaine métier (énergie, télécom, finances, etc.).

Il a pour rôle d’analyser, de concevoir, d’intégrer ou de mettre en œuvre les techniques de sécurisation dans le cadre de son domaine « métier ».

Il maitrise les référentiels des domaines « métier » et est en mesure de faire converger les objectifs de sécurité et de sûreté de fonctionnement.

Il conduit des analyses de risques et propose des solutions résilientes, afin de minimiser sans concession les impacts « métiers », face à l’installation définitive de la menace cyber dans les entreprises et l’Administration.

Il conseille les directions métiers, contribue à l’expression de besoin globale et technique de sécurité en conception, en intégration et en gestion de la sécurité.

Source : professionnels de la SSI.Juriste spécialisé en cyberdéfense De niveau master ou formation spécialisée, le juriste

spécialisé en cybersécurité est un expert du droit des technologies de l’information et de la communication qui est spécialiste des thèmes et des corpus concernés par la cybersécurité, la cybercriminalité et la protection des données à caractère personnel. Il peut opportunément présenter une expérience d’avocat à même d’éclairer la direction sur les conséquences pénales ou civiles d’une cyberattaque, dès lors qu’une décision voire la gestion d’une crise avec une composante cyber requiert son expertise.

Conseil de la direction en matière de responsabilités civile et pénale, il se tient informé des évolutions de la réglementation internationale, européenne et nationale. Il effectue une veille juridique depuis le simple projet jusqu’à la publication et l’entrée en vigueur des textes régissant les conflits armés, le droit des affaires (notamment le secret des affaires), ainsi que la jurisprudence, en différenciant selon que la décision est un cas d’espèce ou au contraire amène des réflexions plus générales sur la pratique du droit.Source : professionnels de la SSI.

Responsable de la sécurité des systèmes De niveau master et ayant généralement une expérience

Page 23 sur 24


d’information (RSSI) professionnelle de plusieurs années, le RSSI définit la politique de sécurité du système d’information et veille à sa mise en application.

Il joue un rôle de conseil, d’assistance, d’information, de formation et d’alerte.

Selon la taille de l’entité, il joue un rôle opérationnel dans la mise en œuvre de la politique de sécurité ou encadre une équipe composée d’experts techniques et de consultants.

Activités et tâches :- Définition de la politique de sécurité- Analyse de risque- Sensibilisation et formation aux enjeux de la

sécurité- Études des moyens et préconisation- Audit et contrôle- Veille technologique- Veille sur les vulnérabilités

Il se charge de proposer à l’autorité compétente la politique de sécurité du SI et de veiller à son application. Le RSSI assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte. Il peut intervenir en matière de SSI sur tout ou partie des systèmes informatiques et télécoms de son entité, tant au niveau technique qu’organisationnel. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose les évolutions qu’il juge nécessaires pour garantir la sécurité du système d’information dans son ensemble. Il est l’interface reconnue des exploitants et des chefs de projets, mais aussi des experts et des intervenants extérieurs pour les problématiques de sécurité de tout ou partie du SI.

Sources : APEC, CIGREF, groupe de travail SecNumedu.

Page 24 sur 24

Documents

Dossier SecNumedu - Agence nationale de la … · Web viewles cours/conférences, les thèmes, le nombre d’heures les TP, projets…, le nombre d’heures, les moyens mis à disposition