EXPERT EN CYBERSECURITE

Détails RNCP

date_fin_validite_enregistrement

2030-05-22T23:00:00.000Z

active_inactive

ACTIVE

etat_fiche_rncp

Publiée

ancienne_fiche

RNCP36072

demande

0

certificateurs

certificateur: UNIVERSITE DE TECHNOLOGIE DE TROYES (UTT)
siret_certificateur: 19101060200032

nsf_code

326

romes

rome: M1802
libelle: Expertise et support en systèmes d'information

rome: M1801
libelle: Administration de systèmes d'information

rome: M1806
libelle: Conseil et maîtrise d'ouvrage en systèmes d'information

blocs_competences

intitule: Traiter les incidents de cybersécurité
liste_competences: Coordonner la collecte de l’ensemble des informations relatives aux incidents informatiques (journaux d’évènements systèmes et réseau, diagrammes de topologie réseau, images systèmes) en utilisant des outils open-source (autopsy, foremost, scalpel, volatility, plaso, log2timeline, etc.) souvent présents sur la distribution Kali Linux afin d’avoir une première idée sur l’ampleur de la crise. Trier les éléments liés à l’incident, en définissant des catégories et en les classant, afin d’organiser des éléments de preuves analysables. Analyser les preuves numériques collectées, en appliquant la méthodologie forensique, à l’aide de la collecte de données brutes ou altérées, en identifiant la nature de l’incident et en reconstituant le déroulement de l'attaque, afin lancer une action interne ou une procédure judiciaire. Contextualiser l’incident, en établissant une corrélation entre signe d’incident et l’analyse de traces informatiques (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation, afin d’établir des scenarii potentiels d’incident. Elaborer un plan de remédiation, en appliquant les actions de résolution de l’incident dans le respect de la politique de sécurité des systèmes d’information (PSSI), et en définissant des recommandations aux collaborateurs, afin de répondre à la crise cyber. Organiser la sensibilisation des collaborateurs aux bonnes pratiques en matière de cybersécurité, en expliquant les vulnérabilités, en présentant les derniers correctifs de sécurité et en mettant en place des cas pratiques portant sur les plans de réponse aux incidents, en prenant les dispositions permettant l’appropriation des informations par tous les publics, y compris en situation de handicap, afin de minimiser les risques et les dommages en cas d'attaques cybernétiques. Enrichir la politique de sécurité (PSSI) et les documents associés, en coordination avec le RSSI et/ou DSI, en utilisant les méthodologies d’analyse de risques (Méhari, EBIOS) ainsi que la norme ISO 27001, en spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc., afin d’améliorer la sécurité et la résilience du SI. Définir des actions d’amélioration continue des pratiques, en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques (CERT, plateforme de partage, virus total) dans le but de partager les failles, les vulnérabilités, les indices de compromission, et d’éviter que d’autres structures ne soient affectées par les mêmes menaces.
modalites_evaluation: Cas d’études : sont fournis aux candidats des journaux d’événements à l’aide desquels ils doivent réunir les traces informatiques liées à l’incident. Le candidat doit trier les journaux d’évènements pour identifier les traces pertinentes. Il est attendu des candidats la rédaction d’un plan de remédiation. Ils doivent proposer des solutions de sécurité en analysant les solutions existantes sur le marché.

intitule: Analyser la menace cyber pesant sur une organisation
liste_competences: Assurer la supervision des infrastructures et des événements de sécurité, en exploitant un système de gestion de l’information et des événements de sécurité (SIEM), en utilisant ces informations pour retracer la chronologie d’une cyberattaque, afin de mettre en évidence les signaux faibles qui d’ordinaire passent inaperçus et d’éviter que ces mêmes attaques ne se reproduisent dans le futur. Détecter en temps réel les incidents de sécurité et les menaces, en identifiant leurs sources et en configurant l’architecture réseau et les systèmes de sécurité, afin de prévenir l'accès non autorisé et de bloquer les tentatives d'intrusion dans le système informatique de l'organisation. Analyser le code malveillant en employant des techniques d'analyse statique et dynamique, en examinant le comportement du code et en identifiant les signatures et les vecteurs d'attaque potentiels, afin de qualifier et de catégoriser précisément les menaces. Exploiter l'intelligence artificielle générative, en développant et en déployant des algorithmes d'IA, en simulant des attaques et en analysant des patterns de menaces émergentes, afin d'améliorer continuellement la prévention, la détection et la réaction face aux cyberattaques. Développer un correctif de sécurité en utilisant la distribution Kali Linux, en programmant avec le langage Python, en créant des scripts Bash sous Linux, et en écrivant des exécutables en C++, afin de fournir aux équipes les outils nécessaires pour répondre efficacement aux incidents de sécurité. Attribuer l’incident de sécurité en établissant une grille d'analyse d'intrusion, en utilisant des méthodes adéquates telles que la Kill Chain, le Diamond Model et la matrice MITRE ATT&CK, afin de modéliser avec précision les intrusions ciblées. Anticiper les futures évolutions des menaces en mettant en place un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les médias sociaux (SOCMINT), le renseignement d’origine humaine et la capacité d’analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web, afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un "hacker".
modalites_evaluation: Cas pratique : D’après des journaux d’évènements donnés, les candidats doivent détecter les incidents et les menaces afin de les bloquer. Il est attendu que les codes malveillants soient analysés et qualifiés. Les candidats doivent proposer des correctifs. Test écrit: Evaluation des connaissances visant à évaluer la bonne assimilation des termes et des définitions. Cas pratique : D’après un article de blog à modéliser grâce à la matrice MITRE ATT&CK, en Cyber Kill, Chain et en Intrusion, Diamond Model, le candidat doit rédiger un rapport d’investigation. L’évaluation est orale par les pairs. Cas pratique : Les candidats doivent programmer un outil de veille (scrapper) sur les menaces identifiées.

intitule: Auditer la sécurité technique d’une organisation
liste_competences: Analyser le périmètre d’intervention pour les tests d’intrusion, en définissant les modalités et les outils spécifiques à utiliser, notamment nmap, metasploit et armitage de la distribution Kali Linux, afin de réaliser des tests cadrés et précis qui permettent d'identifier les vulnérabilités potentielles dans les systèmes de l'organisation. Animer une réunion de cadrage de la phase d'audit de sécurité, en réunissant les représentants des fonctions de gestion de l’information, de la technologie, et de la conformité, en les sensibilisant sur les objectifs de l'audit, les approches méthodologiques, la planification et les responsabilités partagées, et en identifiant les besoins d’adaptation du dispositif pour les personnes en situation de handicap, pour assurer une exécution cohérente et complète de l'audit de sécurité. Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles, en utilisant les outils adéquats selon la méthodologie de tests d’intrusion, tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion dans le respect du Code pénal spécifique à la cybercriminalité, afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions. Superviser l'application de l’ensemble des protocoles de test, en configurant des environnements de simulation sécurisés pour les tests et en validant l'application des scénarios de test selon les spécifications définies, tout en facilitant un échange régulier d'informations entre les membres de l'équipe technique pour assurer la transparence et l'efficacité durant les phases de test. Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et systématiquement, comporter une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation. Présenter les résultats de l'audit lors d'une session de restitution aux décideurs et aux équipes techniques, en utilisant des outils de visualisations de données pour illustrer les vulnérabilités et les impacts potentiels, et en proposant des recommandations claires pour les actions de remédiation, afin de faciliter la prise de décision et la planification des suivis nécessaires.
modalites_evaluation: Cas d’étude : d’après un cas d’étude donnée par le formateur, les candidats doivent réaliser une étude de vulnérabilité visant à définir le périmètre des tests d’intrusion. Cas pratique : le candidat doit identifier l’ensemble des vulnérabilités dans un serveur. Sont attendus un rapport des résultats et une proposition de correctifs à mettre en place.

intitule: Réaliser une analyse technico-légale (forensique)
liste_competences: Identifier le périmètre et l’environnement technique, en accédant si nécessaire au système d’exploitation ou au matériel pour avoir une vision précise de la volumétrie des données, et en définissant les exigences techniques et opérationnelles de la démarche avec les responsables IT et de projet concernés, afin d’évaluer la quantité de données à acquérir, conformément à la PSSI. Définir la stratégie de préservation des données, en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes, et en s’assurant de la conformité aux normes légales auprès des équipes juridiques, afin de rédiger le document de traçabilité des actions effectuées. Réaliser la collecte de données de manière technico-légale, en utilisant des outils dédiés pour l'extraction des données sur des supports comme les clés USB ou pour la création de copies technico-légales avec des outils open source (tels que dd, dcfldd) et commerciaux (comme FTK Imager), disponibles sur la distribution Kali Linux, et en assurant le respect des politiques internes, de l’éthique et des cadres légaux en lien avec les équipes de sécurité informatique, afin de préserver les preuves numériques dans un contexte d'investigation légale. Analyser les artefacts numériques identifiés, tels que disques durs, mémoires, traces réseau, journaux d'événements, emails, navigateurs, et smartphones, en employant des techniques et des logiciels d'analyse forensique avancés, afin de tracer et documenter les preuves numériques pour les besoins d'enquêtes et de conformité légale. Rédiger un rapport d'analyse forensique, en mettant en avant les implications légales, les recommandations de sécurité et les conclusions techniques essentielles, et en adaptant le discours aux publics techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incidents), et en prenant les dispositions permettant l’accès des informations à tous, y compris en cas de handicap, afin de fournir une communication claire et complète des résultats d'investigation aux parties prenantes concernées.
modalites_evaluation: Cas d’études : des cas d’études sont proposés aux étudiants. Ces cas sont fournis sous forme de scénarii comportant des copies de disques durs, des copies de smartphones. Il est demandé à l’étudiant de réaliser une analyse technico-légale des supports fournis à l’aide d’outils dédiés. Il est demandé une restitution écrite relatant le scénario, son analyse ainsi que la présentation synthétique des résultats.

rncp_outdated

Non