Spécialiste sécurité des systèmes d information Expert sécurité informatique Administrateur sécurité informatique Expert infrastructures

Transcription

1 DU en Sécurité et Sûreté des Systèmes d Information (462 heures, alternance) Objectifs de la formation : Le stagiaire diplômé acquiert les compétences lui permettant de garantir la sécurité applicative avec assurance et autorité tout en facilitant le succès du dialogue métier. Spécificités de la formation : Formation totalement dédiée à la problématique de la sécurité et à la sûreté des systèmes d information conduisant à un haut niveau d expertise en sécurité des réseaux, des systèmes et des applications Innovation pédagogique (formation à distance, classe inversée, accompagnement et tutorat individualisés) Métiers ciblés : Spécialiste sécurité des systèmes d information Expert sécurité informatique Administrateur sécurité informatique Expert infrastructures Déroulement de la formation : La formation se déroule en alternance suivant un calendrier établi par l équipe pédagogique composée d enseignants et de professionnels. Une première phase fait l objet d une préparation opérationnelle à l emploi individuelle (POEI) de 182 heures sur 3 mois. Elle sera combinée à une deuxième phase en contrat de professionnalisation de 280 heures sur 12 mois. Pour les salariés, il est possible d envisager avec l OPCA la prise en charge dans le cadre d une période de professionnalisation. Ces dispositions sont à valider avec l OPCA de l entreprise. Public ciblé : Cette formation est ouverte de droit aux jeunes diplômés titulaires d un master ou d un diplôme d ingénieur sous contrat de professionnalisation. Les titulaires d un niveau Bac+3 ayant au minimum 3 années d expérience professionnelle pourront également se porter candidats à la formation. Leur admission sera prononcée après avis d une commission ad hoc suite à l étude de leur dossier. Les cadres d entreprises pouvant bénéficier d une période de professionnalisation seront privilégiés ainsi que les demandeurs d emploi dont la qualification est insuffisante au regard des attentes des métiers ciblés.

2 Coûts de la formation : Budget établi sur la base de 16 euros de l heure de formation soit un coût total de 7392 euros par stagiaire POEI prise en charge totalement par le FAFIEC soit 2912 euros (182H de formation) Contrat de professionnalisation : financement par le FAFIEC à hauteur de 12 euros de l heure soit 3360 euros restent 1120 euros à charge de l entreprise (selon critères en vigueur en juin 2014) Pour les entreprises non adhérentes au FAFIEC, se rapprocher de leur OPCA. Compétences professionnelles : Module 0-1 : langue anglaise (30H) : possibilité d inscrire les stagiaires au TOEIC niveau à atteindre : niveau 780 requis pour le titre d ingénieur Module 0-2 : communication (30H) : aptitudes d écoute, communication et animation de projet, management et développement personnel, aptitudes rédactionnelles Module 0-3 : stage : Voir périodes d alternance en entreprise acquisition des compétences de savoir- faire, savoir- être et faire- savoir. Compétences cœur de cible : Module 1 : Introduction à la sécurité (25H) cycle de vie projet entrée et sortie acteurs et responsabilités métiers dans le domaine de la sécurité propriétés : confidentialité, intégrité, disponibilité attaques : motivation, classification défenses : cryptographie, élimination de vulnérabilités, cloisonnement, audit, détection d'intrusions, etc. protection des systèmes informatiques authentification des utilisateurs autorisation protection de la vie privée sécurité physique Module 2 : Sécurité Organisationnelle (25H) politiques de sécurité, charte évaluation de la sécurité bonnes pratiques en sécurité des systèmes d'information gestion de la sécurité de l'information (ISO ) méthodologies d'analyse de risques de la sécurité des systèmes d'information (EBIOS, MEHARI ou ISO 27005) enjeux de la sécurité des systèmes d'information o exemples de failles, attaques, vulnérabilités (revue de presse) o typologie des attaques et conséquences sociales, financières inventaire des acteurs et de leurs apports en regard de la sécurité des systèmes d'information

3 o rôle et organismes (ANSSI, FIRST, CERT, CLUSIF, 27001, ITSMF) o normalisation, sécurité et bonnes pratiques (BS 17799, série ISO 27000, ISO 15408, ISO 13335, ISO 7498, ITIL ) Sites de veille Conduite d audits techniques Module 3: Sécurité des réseaux de communication (55H) "fragilité et vulnérabilités" des protocoles de communication (typologie des attaques) outils et techniques pour la sécurité o chiffrement, translation adresses, ports, o contrôle d admission et d utilisation de ressources (listes de contrôle d'accès ) o Snort sécurisation des accès réseaux et serveurs dans un réseau local o construction de pare feux, o mise en œuvre de VLAN o mise en place de proxys, o protocoles réseaux sécurisés (IPsec) sécurisation des accès réseaux à distance o solution opérateurs tunnels accès distants o analyse de trafic réseau, VPN, pare-feu, IDS module d'administration réseau et sécurité manipulation de matériel ASA Cisco dédié Virtualisation de réseaux Module 4: Sécurité des Systèmes (70H) Hardening des systèmes attaques sur le noyau par les applications mécanismes de protection matériels (pagination, rings, etc.) fonctions de sécurité au niveau noyau utilisation des hyperviseurs comme mécanisme de protection OS Linux, Windows et mobiles (IOS et Android) Module 5: Sécurité Applicative (90H) vulnérabilités applicatives o débordement dans la pile, "return into libc", débordement dans le tas, etc. développement sécurisé reverse engineering - fuzzing Outils de revue de code - Recettes de sécurité Architectures n-tiers applicatives Firewalls applicatifs Module 6: Identity and Access Management (30H) introduction à la gestion des accès o problématique du contrôle d accès o définitions de l identité, autorisation, authentification, o informations pour la construction des identités et de ses usages o modèles de gestion d identités - architectures AAA o construction des mécanismes d identification (comptes simples, certificats)

4 gestion des accès au réseau o protocoles d authentification (PAP, CHAP, NTLM, OTP, EAP) o protocoles AAA (TACACS, RADIUS, DIAMETER) o architecture 802.1X gestion des accès aux services o annuaires LDAP o Kerberos o PKI et interconnexion de PKI (X certificats identité et attributs) o fédération d identités (SAML, WS-trust, WS-federation, exemple Shibboleth) PKI et gestion d identité ( concepts, architectures, lien avec les besoins métiers) Module 7 : Tests intrusifs et Forensic (32H) Introduction aux outils et méthodes Appropriation des outils standards de scan. Module 8 : Security for Safety (40H) introduction et concepts de base o enjeux o définitions de base : attributs, entraves, moyens techniques pour la tolérance aux fautes o hypothèses de fautes o techniques de base pour la détection et le recouvrement d'erreurs, stratégies de réplication o solutions architecturales et exemples vérification et test o analyse statique o model checking et preuves formelles o techniques de test du logiciel évaluation de la sureté de fonctionnement o mesures o évaluation à base de modèles o approches expérimentales o fiabilité du logiciel Module 9 : Sécurité opérationnelle (15H) Méthode o Veille technologique o Techniques de détection (IDS/IPS, DLP, Sandbox, anti virus, journaux d évènements ) o Pilotage opérationnel Outils o SIEM : A quoi ça sert, vocabulaire (événement, alerte) o GRC (conformité / risque) : outillage, o Intérêt des Outils de GED Module 10 : Aspects juridiques (20H) Introduction aux aspects juridiques et techniques des systèmes d'information o Confidentialité o Intégrité

5 o Traçabilité o Authentification o Non repudiation o Disponibilité Constitution de preuves Protection de l information Cybercriminalité Surveillance dans l entreprise Aspects juridiques et techniques des systèmes d'information o contexte santé, militaire, légal,

6 Calendrier prévisionnel de l alternance pour :

7 Compétence 1 N3 N4 N5 N6 Compétences professionnelles Maîtrise de l Anglais professionnel M0-1, Travail en groupes et en environnement multiculturel Savoir communiquer Esprit de synthèse Capacité à convaincre Connaissance de la réglementation spécifique de sécurité et contraintes applicables Connaissance du tissu des Autorités administratives Maitrise du tissu industriel et de l offre : connaître les acteurs Savoir rédiger (impact spécifique sur les preuves légales, preuves pour les normes applicables PCI, ISO, réglementation, PSSI, chartes, ) Compréhension avancée de la sécurité et de ses enjeux Compétences Fondamentales Connaissances Systèmes et Réseaux : maîtriser les solutions d interconnexion de systèmes ouverts et Applicative/Développement (profil2) ou Fonctionnel/légal (profil3). Etre capable de se synchroniser entre les activités métiers et l IT. Savoir arbitrer et proposer M0-2, M0-3 M0-3 M0-2, M0-3 M0-2, M0-3 M0-2, M0-3 1 Les niveaux de qualification à la sortie de la formation sont ceux donnés dans le cadre européen des certifications pour l éducation tout au long de la vie ( Niveau 3 : savoirs couvrant des faits, principes, processus et concepts généraux, dans un domaine de travail ou d études - gamme d aptitudes cognitives et pratiques requises pour effectuer des tâches et résoudre des problèmes en sélectionnant et appliquant des méthodes, outils, matériels et informations de base prendre des responsabilités pour effectuer des tâches dans un domaine de travail ou d études - adapter son comportement aux circonstances pour résoudre des problèmes Niveau 4 : savoirs factuels et théoriques dans des contextes généraux dans un domaine de travail ou d études - aptitudes cognitives et pratiques de base requises pour utiliser des informations utiles afin d effectuer des tâches et de résoudre des problèmes courants à l aide de règles et d outils simples - travailler ou étudier sous supervision avec un certain degré d autonomie Niveau 5 : savoirs détaillés, spécialisés, factuels et théoriques dans un domaine de travail ou d études, et conscience des limites de ces savoirs - gamme étendue d aptitudes cognitives et pratiques requises pour imaginer des solutions créatives à des problèmes abstraits - gérer et superviser dans des contextes d activités professionnelles ou d études où les changements sont imprévisibles - réviser et développer ses performances et celles des autres Niveau 6 : savoirs approfondis dans un domaine de travail ou d études requérant une compréhension critique de théories et de principes - aptitudes avancées, faisant preuve de maîtrise et de sens de l innovation, pour résoudre des problèmes complexes et imprévisibles dans un domaine spécialisé de travail ou d études - gérer des activités ou des projets techniques ou professionnels complexes, incluant des responsabilités au niveau de la prise de décisions dans des contextes professionnels ou d études imprévisibles - prendre des responsabilités en matière de développement professionnel individuel et collectif M1 M3

8 des solutions adaptées. Posséder un socle technique de compétences en SSI ou une forte agilité à la composition d architectures techniques Maîtriser la conception et l implémentation d Architectures Systèmes et réseaux robustes Maîtriser la conception et l implémentation de moyens de sécurité au niveau applicatif Savoir évaluer les vulnérabilités des modules du système d information (audit technique, implémentation robuste des composants, sécurité applicative) Prescrire et recommander la sécurité des applications métiers (architectures n-tiers, cloud, virtualisation, ) Compétences Technologiques Firewalling, sondes IDS/IPS, proxys Chiffrement des flux, VPN, Anti-virus, anti-spam Logs et SIEM Outils de hacking, scans, test et recette Applicatifs d authentification et gestion des identités, PKI, PMI et certificats Firewall et reverse proxy applicatifs Compétences Méthodologiques Gestion de projets Connaitre les concepts de risque et leurs impacts sur les métiers : AR, PSSI (ISO 27001) Qualification de produits et de systèmes : ISO 15408, Méthodologie d audit organisationnel et technique : ISO Analyses inforensiques (techniques d investigation et d exploration, gestion des incidents) M6 M7 M3 M3 M3, M4, M5 M3, M4 M5 M5 M3, M4, M5 M3 M3, M4, M5, M7 M5 M3

9 Fiche Métier : Expert en sécurité informatique Description L expert en sécurité informatique met en œuvre la sécurité et la sûreté des systèmes et des applications. Il évalue la vulnérabilité des systèmes et met en place des solutions pour protéger les applications et les données. Il intervient par des procédures de niveaux technique, méthodologique et organisationnel. Support technique sur les projets, il travaille en étroite collaboration avec les équipes techniques, les responsables d architecture système et les services métiers. Il est en contact régulier avec les RSSI ou ses représentants. Il doit comprendre les besoins des projets et apporte son expertise sécurité à toutes les étapes de développement des architectures matérielles et logicielles des projets informatiques : la définition, la planification et le déploiement ou la migration de nouvelles infrastructures. Au quotidien, il définit, implémente et contrôle les exigences de sécurité permettant de garantir le niveau de protection des systèmes d informations de son périmètre tout en respectant les contraintes de sûreté de fonctionnement. Il sait auditer le système d information et investiguer de bout en bout les infrastructures réseau, système et applicative sous l'angle sécurité. Il peut prescrire les recommandations au traitement des problèmes techniques. En complément, il maitrise les différentes normes de sécurité organisationnelles et techniques s'appliquant aux différents domaines métiers. Il rédige les rapports d analyse et de préconisations ainsi que les plans d action et d amélioration techniques et organisationnels. Il se tient informé sur l évolution des normes et procédures de sécurité ainsi que sur les outils et les technologies s y rapportant. Il assure une veille sur les aspects juridiques en matière de sécurité et de droit informatique. Qualités et Compétences L expert en sécurité informatique doit posséder de solides connaissances techniques dans le développement et la sécurité système, l administration et la sécurité des réseaux, la sécurité applicative et les normes de sécurité qu il met en permanence à jour. Disponible et réactif, il est capable d analyser rapidement les situations et prêt à intervenir en cas de crise. L organisation et la gestion de projets font partie du quotidien de ce professionnel rigoureux. Bon communicant et pédagogue, il sait synthétiser une situation, justifier les règles qu il impose et les faire passer auprès des utilisateurs. Ayant accès à des informations sensibles et stratégiques de l entreprise il doit savoir maintenir un bon niveau de confidentialité. La maîtrise de l anglais technique est indispensable. Perspectives et évolutions Les systèmes d information étant de plus en plus complexes et face à la cybercriminalité, la sécurité des applications et des données devient une préoccupation majeure des entreprises, voire un enjeu stratégique.

10 L expert en sécurité informatique est recherché par les donneurs d ordre, les sociétés de services informatiques (SSII), les prestataires spécialisés en sécurité informatique. Les secteurs d activité recouvrent largement ceux de l industrie, le secteur bancaire et financier, la santé et les biotechnologies, les nouvelles technologies de l information et de la communication. Parcours de formation Il est possible d accéder aux fonctions d administrateur en sécurité informatique avec un niveau Master ou un titre d ingénieur en système et réseau informatique mais une formation spécialisée en sécurité et sûreté des systèmes d information est un plus pour évoluer dans le métier et dans les secteurs concernés, notamment afin d acquérir du retour opérationnel et industriel d une part et s approprier le contexte spécifique de la sûreté de fonctionnement d autre part. Parcours de formation en région Diplôme d université Spécialiste en Sécurité et Sûreté des systèmes d information - UPS Pour le métier proche Administrateur système et réseaux informatiques Masters pro (ASIC, MIAGE, STRI ) Diplômes d'ingénieurs (INSA, ENSEEIHT, 3IL...) +d infos Mission formation continue et apprentissage, université Toulouse 3 Paul Sabatier Faculté des sciences et d'ingénierie, université Toulouse 3-31 Toulouse - INSA - 31 Toulouse- ENSEEIHT (INP Toulouse) - 31 Toulouse - Syntec Numérique - FAFIEC - Portail d information sur les métiers de l informatique et des télécommunications -

11 POEI Préparation Opérationnelle à l Emploi Individuelle Sécuriser vos recrutements ingénierie + numérique + études + conseil + métiers de l événement

12 Former votre futur collaborateur Les avantages pour votre entreprise -> une formation préalable du demandeur d emploi (jusqu à 400 heures) -> un financement de la formation assuré par Pôle emploi (5 ou 8 TTC / heure*) -> une prise en charge complémentaire par le Fafiec des frais pédagogiques jusqu à 17 HT / heure* -> aucune avance de frais de formation. Le Fafiec et Pôle emploi règlent directement l organisme de formation La Préparation Opérationnelle à l Emploi Individuelle (POEI) est une aide au recrutement. Elle permet de former un collaborateur avant son embauche afin qu il soit parfaitement opérationnel au moment de son arrivée dans l entreprise. Qui est concerné? Les entreprises de la Branche ayant déposé une offre d emploi auprès de Pôle emploi pour recruter un : -> CDI -> CDD d une durée de 12 mois minimum -> contrat de professionnalisation de 12 mois minimum ou en CDI -> contrat d apprentissage -> demandeur d emploi indemnisé ou non Les avantages pour votre futur collaborateur -> l accès à un emploi durable : à l issue de sa formation, le nouveau collaborateur est employé en CDI ou en CDD d au moins 12 mois -> une sécurisation du salarié qui est formé spécifiquement aux besoins de l entreprise -> une rémunération du stagiaire pendant sa formation par l allocation d aide au retour à l emploi-formation (Aref) ou la rémunération de formation Pôle emploi (RFPE) Vous êtes intéressés? -> déposez une offre d emploi à Pôle emploi et recrutez un demandeur d emploi après la période de formation -> avec l aide de Pôle emploi ou du Fafiec, élaborez le projet de formation, définissez les contenus et choisissez l organisme de formation -> signez la convention entre votre entreprise, le bénéficiaire, l organisme de formation, Pôle emploi et le Fafiec -> réalisez un bilan de la formation, conjointement avec Pôle emploi, pour définir les conditions d embauche dans l entreprise Prenez rendez-vous avec votre conseiller : glossaire Selon que la formation est assurée par un organisme de formation interne ou externe à l entreprise. *

13 En partenariat avec : 25, quai Panhard et Levassor Paris Création graphique : Marge Design - Conception : Service Communication - Réf : COM Document d information non contractuel