Découverte des compétences d’un gestionnaire des risques de cybersécurité
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Décrire les responsabilités d’un gestionnaire des risques de cybersécurité
- Énumérer les compétences clés d’un gestionnaire des risques de cybersécurité
Responsabilités du gestionnaire des risques de cybersécurité
Vous avez d’excellentes capacités en matière d’analyse, de persuasion et de résolution de problèmes ? Vous aimez comprendre les menaces et analyser des données pour mieux comprendre les risques ? Vous aimez proposer des plans d’amélioration axés sur l’action ? Si tel est le cas, travailler dans la gestion des risques de cybersécurité peut s’avérer idéal pour vous !
Faisons la connaissance de David. Il est gestionnaire des risques de cybersécurité dans une société de services de cybersécurité. David identifie et analyse les risques auxquels l’organisation et ses systèmes sont confrontés, puis il hiérarchise les risques de cybersécurité en fonction de leur probabilité d’occurrence et de leur impact potentiel. Il comprend les menaces et les défis auxquels l’organisation est confrontée, et recueille et utilise des données pour évaluer les risques pour l’activité de celle-ci. Son objectif est de permettre aux responsables des systèmes métier, aux dirigeants et aux autres parties prenantes de prendre des décisions éclairées en ce qui concerne les risques, afin de gérer ceux-ci pour les amener à un niveau acceptable.
David occupe un poste exigeant, mais dont l’importance est cruciale. Il est de la responsabilité de David d’essayer d’atténuer les risques en collaborant avec les principales parties prenantes et les dirigeants pour réduire la probabilité et l’impact d’un risque donné.
Ce faisant, David doit trouver l’équilibre entre risques et retombées positives, un peu comme une personne qui cherche minutieusement à garder l’équilibre en marchant sur une corde raide. Son entreprise est confrontée à de nombreuses menaces qui pèsent sur ses données et systèmes précieux, telles que des attaques par déni de service émanant d’acteurs malveillants qui souhaitent saturer ses serveurs afin que ses clients ne puissent pas y accéder. Il dispose également d’un nombre limité de ressources financières, humaines et technologiques pour faire face aux risques posés par ces menaces. Après avoir collaboré avec des partenaires pour identifier les risques les plus probables et ceux qui ont l’impact le plus important, il lui incombe d’aider son organisation à hiérarchiser les risques de manière logique.
David aime comprendre comment s’emboîtent toutes les pièces du « puzzle des risques » de son organisation. Il s’informe au sujet des cadres applicables à son secteur d’activité et les utilise pour évaluer les protections actuelles et proposer des opportunités d’amélioration, afin de gérer les risques de façon à les amener à un niveau acceptable. Il collabore également avec des équipes appartenant à toutes les composantes de l’entreprise pour les aider à améliorer leur posture de risque. Il s’assure que chaque partie de l’organisation comprend son rôle dans la gestion des risques. Une fois que lui et ses partenaires ont évalué leurs risques et leurs protections actuelles, il conseille les responsables de systèmes sur la manière d’implémenter des contrôles techniques pour contribuer à atténuer les risques et documente les décisions en matière de risques prises pour l’organisation.
David est comme un détective qui recherche constamment des indices afin de pouvoir déterminer quelle est la posture actuelle de son entreprise en matière de risque. Une fois les mesures d’atténuation mises en place, il recueille des données pour assurer la surveillance de la posture de risque de l’organisation, et noue des relations étroites au sein de l’entreprise afin de valider et d’évaluer avec précision la posture de risque. Il suit en permanence l’évolution de la posture de risque de l’organisation et détecte les problèmes très rapidement. Son travail n’est jamais terminé et il adapte sa stratégie de gestion des risques au fur et à mesure que la nature des menaces et l’offre en matière de solutions technologiques évoluent.
Compétences du gestionnaire des risques de cybersécurité
Ainsi, comme David, vous êtes prêt à comprendre les menaces qui pèsent sur les organisations et à déterminer comment les contrecarrer afin de réduire les risques. De quelles compétences avez-vous besoin pour décrocher l’emploi de vos rêves ?
Premièrement, il est utile d’être diplômé d’une licence. Il n’est pas nécessaire que vous soyez diplômé dans un domaine spécifique, mais les gestionnaires de risques ont souvent une formation en informatique, en sciences de l’information, en ingénierie, en analyse de systèmes, en technologies de l’information, en cybersécurité ou même en comptabilité. Il existe également des certifications que vous pouvez obtenir pour renforcer vos compétences en matière de sécurité, notamment les certifications Certified Information Systems Security Professional (CISSP - Professionnel certifié en sécurité des systèmes d’information), Certified Information Security Manager (CISM - Responsable certifié en sécurité de l’information) ou Certified in Risk and Information Systems Control (CRISC - Certifié en contrôle des risques et des systèmes d’information), pour n’en nommer que quelques-unes.
En matière de compétences techniques, en tant que gestionnaire des risques de cybersécurité, vous devez avoir d’excellentes capacités d’analyse, et comprendre les concepts qui sous-tendent la cybersécurité et la technologie, la gestion des systèmes et la gestion de projet. Des compétences en analyse de données quantitatives et qualitatives, en modélisation des menaces et en analyse de scénarios sont également nécessaires. La capacité à modéliser les risques est une autre compétence intéressante à posséder, même si vous l’avez pratiquée dans un autre secteur, comme la finance.
Les compétences techniques vous aideront, en tant que gestionnaire des risques, à comprendre et à résoudre les problèmes de sécurité, mais vous devrez également posséder un certain savoir-faire commercial. Vous utiliserez vos capacités d’influence et de persuasion pour prodiguer des conseils dans le cadre de prise de décisions ayant un impact organisationnel significatif. Vous devez posséder d’excellentes compétences en communication et aimer travailler de manière collaborative pour mener à bien des missions et mettre en avant les meilleures pratiques en matière de sécurité. Il est également nécessaire d’aimer instaurer la confiance et le consensus au sein des équipes organisationnelles, et d’avoir à la fois le souci du détail et la capacité à raisonner de manière stratégique pour résoudre les problèmes.
Enfin, en tant que gestionnaire des risques de cybersécurité, vous devez être intéressé par la découverte, l’analyse et l’application de différents cadres réglementaires et politiques afin d’aider votre organisation à respecter de manière efficace les normes en vigueur dans son secteur d’activité. Certains des cadres les plus courants que vous devriez connaître sont les suivants : le Règlement général sur la protection des données (RGPD), le National Institute of Standards and Technology (NIST) Cybersecurity Framework et la norme ISO/IEC 27001/2 : Technologie de l’information, même s’il en existe bien d’autres à découvrir !
Évaluation de vos connaissances
Prêt à réviser ce que vous venez d’apprendre ? L’évaluation ci-dessous n’est pas notée, elle vous permet simplement de faire le point. Pour commencer, organisez les éléments figurant dans la colonne de droite en les faisant glisser de la gauche vers la droite dans l’ordre dans lequel ils doivent être exécutés. Lorsque vous avez terminé de mettre tous les éléments dans le bon ordre, cliquez sur Soumettre pour vérifier votre travail. Pour recommencer, cliquez sur Réinitialiser.
Conclusion
Dans ce module, vous avez découvert les objectifs de la gestion des risques de cybersécurité, en avez appris davantage sur l’importance de la gestion des risques et avez pris connaissance des responsabilités d’un gestionnaire des risques de cybersécurité et des compétences dont il a besoin. Dans le module suivant, vous apprendrez comment, en tant que gestionnaire des risques de cybersécurité, vous identifierez des risques et protégerez une organisation. Vous découvrirez également comment vous collaborerez avec de multiples équipes pour détecter les risques, ainsi que réagir aux incidents et assurer la reprise après sinistre. Pour en savoir plus sur la cybersécurité et rencontrer des professionnels sur le terrain, visitez le centre de formation sur la cybersécurité.
Ressources
- Trailhead : Exploration du NIST Cybersecurity Framework
- Trailhead : Méthode d’évaluation des risques du Center for Internet Security
- Site externe : SANS - Les 20 emplois les plus intéressants du secteur de la cybersécurité