Métier Cyber : Expert réponse à incident

MÉTIER DU JOUR : Expert réponse à incident

L’expert réponse à incident analyse et traite les incidents de sécurité au sein d'une structure ou d'une équipe de réponse à incident. Il communique et fournit des recommandations de sécurité aux services clients de la cellule de réponse à incident.

L’expert en réponse à incident travaille sous forte contrainte pour reprendre la main lors d’attaques/compromissions de systèmes d’information. Disposant de la cartographie du système d’information, il doit interagir avec les experts en investigation numérique (afin d’appréhender rapidement le contexte) et les architectes qui maîtrisent le système d’information. Il formule des recommandations de mesures de contournement et de mesures d’urgence et d’amélioration des capacités de détection (journalisation notamment).

L’expert en réponse à incident fait partie de la famille “Support et Gestion des Incidents (SGI)”. Il s’agit d’un poste dédié sécurité. 

I. APPELLATIONS D'EMPLOIS LES PLUS COURANTES

• Spécialiste en investigation numérique
• Analyste traitement d’incident
• Cyber Crime Investigator
• Analyst Forensics
• Expert réponse à incident
• Cyber Defense Forensics

II. MISSION GLOBALE

L’analyste réponse aux incidents de sécurité analyse les symptômes et réalise les analyses techniques sur le système d’information. Il identifie le mode opératoire de l’attaquant et qualifie l’étendue de la compromission. Il fournit des recommandations de remédiation pour assurer l’assainissement et le durcissement des systèmes attaqués.

III. ACTIVITÉS PRINCIPALES

• Réaliser une veille sur les nouvelles vulnérabilités, sur les nouvelles technologies et sur les méthodes des attaques relatives aux différents composants du système d’information
• Alimenter les bases de renseignement sur les menaces (threat intelligence)
• Maintenir et développer des outils d’investigation
• Collecter les informations techniques d’un large ensemble de systèmes d’information, réaliser la recherche
• d’indicateurs de compromission
• Analyser les relevés techniques réalisés afin d’identifier le mode opératoire et l’objectif de l’attaquant et de
• qualifier l’étendue de la compromission
• Rédiger des rapports d’investigation
• Préconiser des mesures de contournement et de remédiation de l’incident (assainissement et durcissement)
• Préconiser des mesures d’amélioration des capacités d’analyse (extraction des indicateurs de compromission)

IV. POSITION EN ENTREPRISE

L’analyste réponse aux incidents de sécurité intervient généralement au sein d’un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team).

V. COMPÉTENCES CLÉS

1. Compétences coeur de métier

• Maîtrise du système d’information, de l’urbanisation et de l’architecture du SI
• Analyse post-mortem (forensic) : connaissance des outils d’analyse
• Analyse post-mortem (forensic) : connaissance des procédures légales
• Cyberdéfense : pratique de l’analyse de flux réseaux
• Cyberdéfense : connaissance des techniques d’attaques et d’intrusions
• Cyberdéfense : connaissance des vulnérabilités des environnements
• Scripting

2. Compétences transverses

• Capacité de restitution et de vulgarisation pour des publics non techniques
• Rédaction de rapports adaptés à différents niveaux d’interlocuteurs
• Travail en équipe
• Capacité à résister à la pression
• Sens éthique

VI. CERTIFICATIONS

La liste des certifications citées ici est non exhaustive.

• EC-Council Certified Ethical Hacker (CEH)
• EC-Council Licensed Penetration Tester (LPT) Master
• IACRB Certified Penetration Tester (CPT)
• Certified Expert Penetration Tester (CEPT)
• CompTIA PenTest+
• Global Information Assurance Certification (GIAC) Penetration Tester (GPEN)
• GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
• Offensive Security Certified Professional (OSCP)

VII. ACCÈS MÉTIER

• BAC+3 à BAC+5

La Rédaction d’Africa CyberSecurity Mag