Le ou la titulaire planifie, prépare et met à l’essai des dispositifs de sécurité, des systèmes d’exploitation, des logiciels et du matériel pour évaluer les résultats en fonction des spécifications, des politiques et des exigences définies. Il documente les résultats et formule des recommandations qui peuvent améliorer la confidentialité, l’intégrité et la disponibilité de l’information.
Sur cette page
- Référence au cadre de la NICE
- Conséquence d’une erreur ou risque
- Parcours de perfectionnement
- Autres titres
- Classification nationale des professions connexes
- Tâches
- Compétences requises pour l’éducation
- Formation requise
- Expérience professionnelle requise
- Outils et technologies
- Compétences
- Futures tendances ayant une incidence sur les compétences clés
Référence au cadre de la NICE
Securely Provision, Security Testing and Evaluation, SP-TST-001.
Conséquence d’une erreur ou risque
Une erreur, une négligence, une information désuète ou un mauvais justement pourrait faire en sorte que des systèmes, des logiciels ou des services de TI soient intégrés et mis en œuvre avec des vulnérabilités susceptibles d’accroître l’exposition aux menaces et de mettre l’organisation à risque. Une telle compromission pourrait avoir des répercussions considérables sur les activités.
Parcours de perfectionnement
L’occupation de ce poste exige généralement une éducation formelle et de 5 à 10 ans d’expérience en sécurité des TI. L’occupation d’un tel poste est généralement précédée par une formation, une éducation ou une expérience spécialisée dans la mise à l’essai et la mesure des systèmes.
Autres titres
Évaluateurs/évaluatrices de la sécurité
Classification nationale des professions connexes
2171 – Analystes et consultants/consultantes en informatique
Tâches
- Tester, évaluer et vérifier les systèmes en développement, les systèmes échangeant des renseignements électroniques avec d’autres systèmes, les logiciels et le matériel du système d’exploitation connexe, ainsi que les contrôles et les dispositifs de sécurité utilisés au sein d’une organisation pour déterminer le niveau de conformité aux spécifications, aux politiques et aux exigences définies
- Analyser les résultats des essais des systèmes d’exploitation, des logiciels et du matériel, et formuler des recommandations fondées sur les constatations
- Élaborer des plans d’essai pour tenir compte des spécifications, des politiques et des exigences
- Valider les spécifications, les politiques et les exigences relatives à la testabilité
- Créer des preuves vérifiables des mesures de sécurité
- Préparer des évaluations qui documentent les résultats des tests et toute vulnérabilité à la sécurité présente
- Déployer, valider et vérifier le logiciel du système d’exploitation de l’infrastructure réseau
- Élaborer et fournir le matériel de formation, et surveiller les efforts d’éducation
- Former et encadrer les membres de l’équipe de sécurité
Compétences requises pour l’éducation
Baccalauréat en informatique ou discipline connexe ou formation et expérience équivalentes.
Formation requise
Formation en mesure, évaluation et mise à l’essai des systèmes.
Expérience professionnelle requise
Expérience considérable (de 5 à 10 ans) dans le domaine des TI avec, de préférence, de 3 à 5 ans d’expérience dans un rôle lié à la sécurité des systèmes visant à soutenir les évaluations de sécurité et les audits informatiques. Expérience de travail dans des environnements de test sécurisés.
Outils et technologies
- Plans stratégiques et d’activités
- Évaluations des menaces et des risques
- Processus de gestion des vulnérabilités et évaluations des vulnérabilités
- Processus et procédures de gestion des incidents
- Systèmes de gestion des événements et des incidents de sécurité ou systèmes et réseaux de signalement des incidents
- Architecture de système
- Processus et politiques de gestion des incidents de cybersécurité
- Lois relatives à la sécurité et au respect de la vie privée
- Infrastructure de sécurité organisationnelle et systèmes de production de rapports
- Outils, techniques, procédures et protocoles liés aux stratégies de mise à l’essai et d’évaluation des systèmes
- Exigences juridiques et de conformité
Compétences
Application de base des connaissances, compétences et aptitudes suivantes :
- Processus d’approvisionnement en matière de sécurité et évaluations de l’intégrité de la chaîne d’approvisionnement
- Processus d’ingénierie des systèmes
Application avancée des connaissances, compétences et aptitudes suivantes :
- Processus d’évaluation et d’autorisation de sécurité
- Stratégies de mise à l’essai et d’évaluation des systèmes informatiques
- Infrastructure et ressources liées à la mise à l’essai et l’évaluation des systèmes informatiques
- Outils, procédures et pratiques de mise à l’essai et d’évaluation des systèmes de sécurité des TI
- Connaissance technique des réseaux, des composants informatiques, de la technologie d’alimentation electrique, des protocoles de système et des logiciels de cybersécurité
- Modèles et architecture de sécurité réseau
- Conduite de tests indépendants de validation et de vérification de la sécurité
- Méthodes et techniques d’essai et d’évaluation des systèmes
- Conception de tests, élaboration de scénarios et examen du niveau de préparation
- Mise à l’essai de l’intégration des systèmes
- Processus d’évaluation et d’autorisation de sécurité
- Concepts d’architecture de sécurité et modèles d’architecture de sécurité de l’information d’entreprise
- Établissement des politiques et des exigences en matière d’essai et d’évaluation
- Collecte, analyse, vérification et validation des données d’essai, et traduction des données et des résultats d’essai en conclusions
- Conception et documentation de stratégies d’essai et d’évaluation
- Rédaction de rapports techniques, d’essai et d’évaluation
Futures tendances ayant une incidence sur les compétences clés
- La dépendance accrue aux services virtuels ou « basés sur l’infonuagique » exigera une connaissance des responsabilités du fournisseur de services, notamment de ses responsabilités en matière de cybersécurité par rapport aux systèmes organisationnels, à la façon dont ces systèmes sont intégrés et comment ils seront mis à l’essai et évalués.
- Si le rôle est exercé au sein de l’organisation, il sera nécessaire de comprendre pleinement les implications que l’option « Prenez vos appareils personnels » (PAP) et la gestion des risques connexes pourraient avoir sur les systèmes de l’organisation.
- L’utilisation accrue des outils automatisés, facilitée par l’intelligence artificielle, nécessitera une bonne compréhension de la façon dont ces outils s’intégreront à l’infrastructure de sécurité organisationnelle et des répercussions sur les pratiques en matière de mise à l’essai et d’évaluation.
- L’utilisation accrue des outils automatisés par les auteurs de menace pose des problèmes qui exigeront une évaluation continue des pratiques et des outils de mise à l’essai et d’évaluation.
- Des mécanismes visant à soutenir le degré requis de confiance et de risque organisationnel devront être mis en place pour soutenir le suivi et la communication des résultats des outils automatisés. Par conséquent, il faudra comprendre les risques qui pèsent sur l’organisation, ainsi que les mesures de sécurité et les politiques, processus ou procédures à mettre en place et les répercussions sur la mise à l’essai et l’évaluation de la sécurité.
- L’émergence et l’utilisation des technologies quantiques par les auteurs de menace modifieront fondamentalement la sécurité du chiffrement. Cela nécessitera des connaissances et des compétences pour ce qui est de la mise en œuvre d’une stratégie post-quantique pertinente pour la mise à l’essai et l’évaluation du chiffrement et du degré de résistance à l’informatique quantique.