Les compétences techniques et relationnelles

Pour mener à bien ses missions, l’ingénieur en sécurité web possède une solide connaissance des réseaux et des systèmes d’informations, des langages de scripts, de la cryptographie et des outils de sécurité informatique (pares-feux, systèmes de détection d’intrusion ou de virus, serveurs d’authentification, etc.). Les réglementations, le cadre législatif et le droit informatique figurent également dans le panel de compétences de l’ingénieur sécurité informatique.

L’ingénieur en sécurité web maîtrise également les principaux langages de programmation et les outils de gestion de projet. La maîtrise de l’anglais est également un impératif.

Parmi les compétences relationnelles, aussi appelées savoir-faire, l’expert en sécurité informatique fait preuve d’organisation et de rigueur pour mener ses projets.

Son sens de la communication l’aide à dialoguer avec les différents acteurs de l’entreprise afin de comprendre les besoins, conseiller, diriger une équipe de cybersécurité et sensibiliser tous les collaborateurs de l’entreprise aux enjeux de la sécurité informatique.

Enfin, l’ingénieur sécurité doit faire preuve de sang-froid et bien gérer le stress afin d’appréhender au mieux les éventuelles situations de crise.

Les études pour devenir expert en cybersécurité

Le master en sécurité, fiabilité et performance du numérique est délivré au bout de 5 ans d’études dans une école d’ingénieur, de commerce ou d’informatique.

De nombreuses plateformes comme Coursera, EdX, Udemy ou OpenClassrooms proposent des formations en ligne pour devenir ingénieur sécurité. La durée et les coûts des formations varient d’une plateforme à l’autre. Certaines délivrent des certificats et d’autres des diplômes.

Les certifications en cybersécurité qui renforcent le CV

Security+, CISSP et CEH sont des certifications supplémentaires qui donnent davantage de poids à une candidature.

L’ingénieur sécurité informatique définit la politique de sécurité de l’entreprise. Elle doit aligner les objectifs sécurité avec les ambitions business.

Pour ce faire, l’implémentation de la politique de sécurité démarre par un audit de sécurité afin d’analyser les failles et les améliorations possibles des systèmes d’informations.

S’en suit une évaluation des outils et des méthodes adaptées à la politique de sécurité, puis leur installation ou implémentation.

Une fois la politique de sécurité implémentée dans l’entreprise, l’ingénieur sécurité est également responsable de son suivi grâce aux tableaux de bord et de sa maintenance.

L’évangélisation représente une grande partie du travail de l’ingénieur sécurité. Pour minimiser les risques d’intrusion, il conçoit une stratégie de sensibilisation et les supports de formation afin que chaque collaborateur, que ce soit en interne ou chez le client, soit acteur de la protection du système informatique et des données de l’entreprise.

Le principal défi d’un ingénieur sécurité informatique est de veiller à l’intégralité des systèmes d’informations et des réseaux informatiques, ainsi qu’à la confidentialité des données.

Il doit d’abord parer aux menaces, qui ne cessent d’évoluer et de se multiplier.

La veille technologique est le principal bouclier et arme de défense de l’ingénieur sécurité.

En ayant connaissance des nouveaux systèmes d’intrusion et des techniques d’attaque, il améliore le protocole de sécurité et renforce la protection contre les intrusions extérieures.

Le danger peut également – et c’est souvent le cas – venir de l’intérieur.

Un manque de sensibilisation auprès des collaborateurs, une politique de sécurité moins rigoureuse de la part des prestataires sont autant de brèches pour les cyberattaques.

Le télétravail et l’usage d’appareils personnels sont également des paramètres qui doivent être pris en compte dans la mise en place des processus par l’ingénieur sécurité.

Les premiers interlocuteurs de l’ingénieur sécurité informatique sont les membres de l’équipe de développement.

Cette collaboration permet d’injecter un niveau de sécurité dès la conception du produit.

Viennent ensuite les membres du support informatique, avec qui l’ingénieur sécurité élabore des solutions pour résoudre les problèmes de sécurité dans les meilleurs délais.

Enfin citons les membres de l’équipe juridique de l’entreprise comme interlocuteurs de l’ingénieur sécurité, qui veillent à ce que les mesures de sécurité soient conformes à la réglementation.

Les principaux stakeholders de l’ingénieur sécurité sont les dirigeants de l’entreprise, qui doivent posséder une vision claire des coûts des mesures de sécurité et de leur rentabilité.

Les équipes des ressources humaines ou financières et comptables comptent également parmi les stakeholders de l’ingénieur sécurité car elles l’assistent au déploiement de sa stratégie.

Par exemple, les RH peuvent contribuer à organiser différentes sessions de formation pour sensibiliser aux nouvelles méthodes de phishing et déployer une communication interne dédiée.

Les tableaux de bord et de suivi de l’ingénieur sécurité doivent prendre en compte la mesure financière et comptable afin d’offrir de la visibilité aux responsables du services comptabilité et finances.

Les utilisateurs finaux font également partie des stakeholders de l’ingénieur informatique. En effet, les mesures de sécurité doivent s’insérer sans friction dans le parcours utilisateur.

Les OKR d’un ingénieur sécurité portent sur différents domaines :

• Evaluation du système informatique : réduire le nombre de tentatives d’intrusion par 30% – réduire le nombre d’usurpation d’IP de 50%
• Déploiement des patchs / correctifs : réduire les délais de MTTP de 90 à 60 jours – améliorer le process de déploiement de patchs automatiques de 50%
• Gestion des incidents : réduire le nombre de pannes informatiques dues à une faille de sécurité de 70% – Réduire les délais d’indisponibilité (dowtime) de 60 minutes à 5 minutes
• Campagne de sensibilisation au phishing : +15% de collaborateurs ayant passé une évaluation – Augmenter le nombre de collaborateurs ayant une note supérieure à 18/20 aux tests de phishing

Quel est le salaire d’un expert en sécurité informatique ?

Le salaire moyen d’un expert en sécurité informatique est de 46 800 euros bruts par an.

Un profil junior, qui possède moins de 4 années d’expérience gagne entre 30 000€ et 36 000€ bruts par an.

Lorsqu’il devient plus expérimenté, soit avec plus de 7 années d’expérience, son salaire s’élève alors à 54 000€ bruts par an en moyenne.

TJM d’un expert en sécurité informatique en freelance à Paris, Bordeaux, Lyon et Lille :

S’il vit à Paris, le TJM d’un ingénieur sécurité informatique en freelance avoisine les 918€.

A Bordeaux, le TJM est en moyenne de 763€, contre 837€ à Lyon et 755€ à Lille.

Le taux journalier moyen d’un ingénieur en cybersécurité freelance s’élève à 783€.

Selon son niveau d’expérience, il peut gagner jusqu’à :

• 547€ par jour s’il est junior
• 716€ par jour s’il est confirmé
• 841€ par jour s’il est senior