L’entrée en vigueur du RGPD a encore accru la nécessité pour les organismes de protéger les données personnelles via la mise en place de dispositifs de cybersécurité.
D’une part car les cyberattaques se sont multipliées, visant notamment le milieu hospitalier, comme la spectaculaire attaque de l’hôpital de Corbeil-Essonnes en août 2022 ou la maternité des Bluets en octobre 2022. Les PME sont également particulièrement visées car plus vulnérables, elles représentent une cible privilégiée des pirates informatiques. Les exemples sont légions puisque 52% des entreprises françaises ont déclaré avoir subi au moins une cyberattaque.
D’autre part car ce sont parfois des incidents informatiques qui sont à l’origine d’une violation des données personnelles. Ce fut par exemple le cas de l’Urssaf, qui a connu un incident informatique provoquant la fuite des données personnelles de 10 000 personnes en mai 2023.
Aucun organisme n’est épargné par les risques concernant les données personnelles. Ainsi, dans l’optique de se prémunir des cyberattaques et des risques de vol ou de fuites de données, il est fortement conseillé aux organisations de compter dans leurs rangs au moins un expert en sécurité informatique.
L’ingénieur en sécurité informatique devient indispensable pour toute organisation collectant et gérant des données personnelles. D’autant plus que le non-respect de la législation sur les données personnelles expose les organismes à de très lourdes sanctions.
Dans cet article nous allons nous intéresser :
- Au métier d'ingénieur en sécurité informatique : son rôle et ses missions,
- Aux compétences nécessaires à l’exercice du métier d’ingénieur en cybersécurité,
- Aux formations recommandées pour devenir ingénieur en cybersécurité,
- Et enfin, aux raisons pour les entreprises de recruter un ingénieur en sécurité informatique.
1- Ingénieur en sécurité informatique : quel est son rôle ?
Un rôle de protection des réseaux informatiques et des données personnelles
La sécurité faisait déjà partie des principes fondamentaux de la loi Informatique et Libertés. Le RGPD a accru le niveau d’exigence en matière de sécurisation des données personnelles. Les problématiques de cybersécurité sont une priorité, d’autant plus avec le développement des nouvelles technologies : saas, cloud, intelligence artificielle etc.
Selon l’organisation de l’organisme, l’ingénieur peut-être rattaché à la direction des systèmes d’Information (DSI), à un département de cybersécurité, une direction des risques ou encore à une direction IT spécialisée dans la Data Protection. Dans tous les cas, cet expert de la sécurité informatique occupe un rôle clé dans le dispositif de gestion des risques et dans la protection des données personnelles.
Il peut notamment exercer au sein :
- d’une entreprise privée (depuis les PME jusqu’aux grands groupes internationaux),
- d’un organisme public (hôpital, Urssaf, Pôle Emploi, ministères etc.),
- d’organisations militaires,
- de cabinets de conseil en sécurité informatique,
- dans des entreprises de technologies (éditeur de logiciel, start-up, ESN etc).
Ce professionnel peut travailler au sein de ces organismes en tant que salarié ou à son compte, en freelance.
Dans tous les cas, l’ingénieur en cybersécurité est spécialisé dans la conception, la mise en place et la gestion de systèmes de sécurité informatique. Son rôle consiste à protéger les réseaux, les systèmes d’information et les données personnelles contre les risques de cyberattaques et d’incidents informatiques. Il intervient dès la conception d’un nouveau traitement de données personnelles, selon le principe de privacy by design, afin d’analyser les risques et de concevoir les dispositifs de cybersécurité.
Ingénieur en cybersécurité : peut-il être DPO ?
L’ingénieur en sécurité informatique est tout à fait qualifié pour occuper la fonction de DPO (data protection officer), que sa nomination soit obligatoire ou non (article 37 RGPD).
En effet, il est très fortement recommandé de désigner au poste de DPO une personne formée aux sujets de la protection des données personnelles, ce qui est le cas d’un expert en cybersécurité. Ce peut être un DPO interne ou un DPO externe, par exemple un consultant en sécurité informatique.
La seule limite juridique à la nomination du data protection officer consiste à ne pas nommer une personne en situation de conflit d'intérêt. Par exemple, la fonction de DPO est incompatible avec celles de responsable marketing, de DRH, de DSI, CTO, CEO, mais parfaitement compatible avec la fonction d’ingénieur en cybersécurité, tant qu’il n’est pas responsable du traitement en question.
2- Quelles sont les missions d’un ingénieur sécurité informatique ?
Afin de prémunir les organisations des violations de données personnelles, l’ingénieur en sécurité informatique assure différentes missions essentielles.
Évaluer les risques informatiques
La sécurité des systèmes d’information fait partie des risques d’une entreprise, particulièrement depuis l’entrée en vigueur du RGPD et le développement fulgurant des technologies numériques. L’ingénieur en sécurité informatique est chargé de l’évaluation des risques de sécurité au niveau du réseau informatique, des systèmes d’information utilisés par l’entreprise (logiciels, interfaces, cloud etc), ainsi que des donnés personnelles stockées dans ces systèmes.
Il analyse les systèmes et les processus pour en détecter les éventuelles failles et vulnérabilités. Suite à cet audit, il émet des recommandations concernant les mesures à prendre pour pallier ces failles de sécurité.
Concevoir les solutions de sécurité
L’ingénieur en sécurité informatique conçoit les dispositifs de sécurité informatique visant à éviter tout risque de violation des données personnelles. Il s’agit d’une violation de la sécurité des données qui peut notamment entraîner leur destruction, leur divulgation ou encore leur perte. Cette violation peut être accidentelle ou illicite (article 4 RGPD).
La sécurité est un des grands principes énoncés à l'article 5 RGPD du RGPD devant guider les réflexions concernant les données collectées.
L’ingénieur en cybersécurité déploie les solutions de sécurité permettant de protéger les systèmes d’informations et les données de l’entreprise :
- Configuration de pare-feu et d’anti-virus,
- Système de détection d’intrusion,
- Anonymisation des données (randomisation, données synthétiques …),
- Pseudonymisation des données (création de pseudonymes, techniques cryptographiques comme des chiffrements à clé secrète …),
- Solution de contrôles d’accès et de politiques de sécurité,
- Mise en place de sauvegarde automatique des données,
- Etc.
Apporter une réponse en cas d’incident de sécurité
L’ingénieur en cybersécurité est chargé de la surveillance des systèmes de sécurité. Le moindre incident technique, la moindre tentative d’intrusion, doit être repéré rapidement et une action engagée pour minimiser les dommages. Il a également pour mission de restaurer les systèmes s’ils ont été endommagés et/ou si l’incident a causé une interruption de service.
⚠️ Si ces incidents ont causé une violation de données présentant un risque pour les droits et les libertés des personnes, l’ingénieur en cybersécurité peut être chargé d’en notifier la CNIL dans les 72 heures et d’informer les personnes concernées. Il peut notamment agir en qualité de délégué à la protection des données (DPO).
L’ingénieur en sécurité informatique doit également s’assurer de la tenue du registre des violations de données. Il s’agit d’une obligation instituée par le RGPD.
De nouveaux risques apparaissant régulièrement et les méthodes des cybercriminels évoluant à une vitesse fulgurante, l’ingénieur en sécurité informatique doit mettre à jour continuellement les dispositifs de sécurité et ****s’assurer de la mise à jour de tous les systèmes d’information de l’entreprise. Il effectue d’ailleurs une veille continue sur les évolutions technologiques et les nouvelles stratégies de cybercriminalité.
Sensibiliser les collaborateurs à la sécurité
L’ingénieur en sécurité sensibilise les collaborateurs sur les bonnes pratiques en termes de sécurité numérique et de protection des données personnelles afin de limiter les risques induits par des erreurs ou à des comportements inappropriés.
🔎 Un exemple simple : parmi les manquements les plus fréquents constatés par la CNIL, on retrouve l’absence de verrouillage automatique des sessions informatiques. Or, cette négligence peut permettre à un tiers d’accéder au système d’information contenant des données personnelles. Le verrouillage de sa session lorsque l’on s’absente de son poste de travail est une des règles de base en matière de sécurité !
L’ingénieur en sécurité informatique peut mettre en place et assurer des formations à la sécurité à destination des différents responsables de traitement mais aussi des collaborateurs afin de les sensibiliser à certaines notions clé (traitement des mails, gestion des mots de passe etc.).
3- Quelle formation pour devenir ingénieur en cybersécurité ?
Les compétences attendues d’un ingénieur en sécurité informatique
Pour devenir ingénieur en sécurité informatique, il est nécessaire de disposer d’un ensemble de compétences techniques (savoir-faire) ainsi que de qualités personnelles (savoir-être).
Un ingénieur en sécurité informatique possède un solide bagage technique en ce qui concerne l’informatique en général et la sécurité informatique en particulier : réseaux, systèmes d’exploitation, logiciels, bases de données, web etc.
Il dispose nécessairement de compétences en langage de programmation pour comprendre, lire et écrire les scripts des programmes de sécurité (Python, C et Java essentiellement).
La connaissance des techniques utilisées par les cybercriminels est essentielle pour détecter les failles de sécurité qui pourraient faciliter leur intrusion. La compréhension des menaces pesant sur les organisations permet d’agir en prévention ou de réagir en cas d’attaques (rançongiciel, phishing, malware, attaques par déni de service DDoS etc). L’ingénieur en sécurité informatique s’y connaît donc très bien en cybercriminalité !
Enfin, l’ingénieur en cybersécurité n’est pas un geek qui se terre dans un bureau pour “cracher du code”. Il est souvent sollicité pour sensibiliser ses équipes, les clients, les métiers ou encore les collaborateurs de l’entreprise et communiquer sur les problèmes de sécurité. Il doit avoir un bon relationnel et des compétences en communication.
Les filières pour devenir ingénieur cybersécurité
Le nombre d'emplois en sécurité informatique augmente de 7% par an. Les filières de formation ont bien compris l’enjeu de former des professionnels capables de relever les challenges posés par la réglementation sur la protection des données personnelles, l’évolution rapide de la technologie et des techniques de cybercriminalité.
Un bac + 5 est un minimum requis pour briguer un poste d'ingénieur sécurité. Parmi les formations permettant d’exercer en tant qu’ingénieur en sécurité informatique, le master en cybersécurité est l’un des mieux adaptés.
Il existe 3 types de Master Cybersécurité : Masters, Mastères Spécialisés et des MBA. Ces formations visent à former des experts en sécurité informatique capables de définir un plan de protection des systèmes d’information et de mobiliser ou de concevoir les dispositifs techniques adéquats.
Pour choisir le meilleur master en cybersécurité, retrouvez le classement EDUNIVERSAL. Il s’agit d’un système de classement français évaluant la qualité individuelle de chaque formation. Voici le classement EDUNIVERSAL des meilleurs masters Cybersécurité (en 2023) :
- MS Cybersécurité de CentraleSupélec / IMT Atlantique
- Mastère Spécialisé® Cybersécurité & Cyberdéfense de TELECOM ParisTech.
- MS Cybersécurité du Numérique de l’INSA Lyon.
4- Pourquoi recruter un ingénieur en sécurité informatique ?
Les enjeux en termes de cybersécurité se sont renforcés avec l’évolution des technologies et la transformation des organisations :
- La pratique du télétravail, qui a explosé au moment du confinement, pose des questions de sécurité des réseaux ainsi que des postes de travail des salariés,
- L’adoption massive du cloud computing crée des enjeux de contrôle et d’accès aux données,
- Les risques d’attaques et les menaces cybercriminelles ont énormément augmenté depuis quelques années,
- Le respect du RGPD est également devenu un enjeu majeur pour les départements de sécurité informatique puisque les sanctions en cas de défaut de sécurité peuvent s’avérer extrêmement lourdes,
- Etc.
Alors que les notifications de violation de données ont augmenté de +79% et que les attaques par rançongiciel représentent 43% du volume total des violations de données, la moitié des sanctions prononcées par la CNIL en 2021 visait des manquements à l’obligation de sécurité.
Recruter un ingénieur en sécurité des SI poursuit trois objectifs :
- Se protéger des cybercriminels : notamment le ransomware (ou rançongiciel). Les criminels utilisent les failles de sécurité connues afin de le propager via le réseau avant de demander une rançon en échange de la clé de déchiffrement,
- Minimiser les risques d’incidents informatiques pouvant notamment provoquer des fuites de données personnelles,
- Se prémunir contre les sanctions de la CNIL qui peuvent aller jusqu’à 4% du chiffre d’affaires mondial de l’organisme ou 20 millions d’euros.
Les enjeux de cybersécurité auxquels les entreprises sont confrontées évoluent constamment. Même les PME n’étant pas épargnées, le recrutement d’un ingénieur en cybersécurité peut s’avérer nécessaire afin de mettre en place des mesures de protection des systèmes et de leurs données.****
👉 Toutefois, pour faciliter et sécuriser le travail de vos équipes en matière de protection des données, pensez à utiliser l’outil Leto : il a été conçu pour administrer automatiquement l’ensemble des données.
Pour plus d’information sur votre mise en conformité au RGPD, n’hésitez pas à demander une démo de notre logiciel RGPD !