CAHIER DES CHARGES 1. Actualisation Etabli le : 29.03.17 Par : Marc Barbezat Remplace la version du : Motif d actualisation : Nouvelle activité suite à la mise en place du Security Operation Center (SOC) 2. Identification du poste Département : INFRASTRUCTURES ET RESSOURCES HUMAINES Service : Direction des systèmes d'information Entité (division, secteur, établissement, office ) : USSI N de poste de référence : 9227 Intitulé du poste dans l entité : Analyste Sénior Sécurité SOC Poste de cadre : non oui : N emploi-type : 1503 Libellé : Expert méthodes et outils/qualité/sécurité Chaîne : 318 Niveau : 13 3. Mission générale du poste (description succincte) 1. 2. 3. Définir la stratégie de cyber-sécurité de l'administration Cantonale Vaudoise (ACV) et l'architecture du Security Operation Center (SOC). Participer au suivi des objectifs et aux projets liés à l'évolution du système d'information et du SOC. Garantir la cohérence, la pérennité et la sécurité de l'ensemble des moyens informatiques dans le cadre du plan d'urbanisation de l'entreprise. Analyser et gérer les risques de sécurité de l'information et de cybersécurité. Participer à la conception et assurer le bon fonctionnement du Security Operation Center (SOC) en fournissant une expertise transversale en matière de sécurité de l'information et de cybersécurité pour réduire l'exposition de l'acv face aux cyber-risques. Assurer la suppléance du responsable du SOC (SOC Manager) pour le pilotage et l'exploitation du SOC. Organiser et assurer la gestion des incidents de sécurité et de cybersécurité. Gérer et coordonner les tests et audits de sécurité IT. Apporter une expertise et des conseils pour la sécurité de l'information et la cybersécurité. 4. Former et sensibiliser à la sécurité de l'information et aux bons comportements vis-à-vis des cyber-risques. 5. Effectuer une veille technologique et prospective. 4. Conduite : ETP directement subordonné-s Cf. Organigramme Non Oui : 5. Mode de remplacement prévu, en cas d absence du titulaire Non Oui : Sera remplacé selon le dispositif suivant: En premiere instance: par un second analyste sécurité. En deuxième instance: par le SOC Manager. Edition : Service du personnel Etat de Vaud Version Janvier 2016 1
6. Missions et activités 1. Définir la stratégie de cyber-sécurité de l'administration Cantonale Vaudoise (ACV) et l'architecture du Security Operation Center (SOC). Participer au suivi des objectifs et aux projets liés à l'évolution du système d'information et du SOC. Garantir la cohérence, la pérennité et la sécurité de l'ensemble des moyens informatiques dans le cadre du plan d'urbanisation de l'entreprise. Analyser et gérer les risques de sécurité de l'information et de cybersécurité. 35% Définit la stratégie de cyber-sécurité de l'administration Cantonale Vaudoise (ACV) et s'assure de sa mise à jour continue pour couvrir adéquatement les cyber-risques et protéger les actifs de l'acv face aux activités cybercriminelles. En tant qu'expert reconnu, conçoit et adapte l'architecture du Security Operation Center (SOC) afin d'offrir à l'acv une protection périphérique et interne optimale face à l'évolution des cyber-menaces et autres risques pouvant compromettre la sécurité des informations de l'acv. Elabore et suit des objectifs financiers. Participe à l'identification des besoins budgétaires, à l'économie d'entreprise en vigueur au sein de la DSI et à l'amélioration continue de l'amélioration de l'efficience (efficacité vs coûts) du système d'information et à la réduction des risques opérationnels. Analyse et identifie les technologies clés dans son domaine de compétence. Formalise et communique au Comité de Direction de la DSI, aux comités de spécialistes internes et externes (exemple: centrale d'alarme de la Confédération MELANI) les résultats des analyses et études effectués au sein du SOC. Pilote la gestion et le suivi des cyber-risques de l'acv dans un souci constant d'efficacité par rapport aux coûts induits. 2. Participer à la conception et assurer le bon fonctionnement du Security Operation Center (SOC) en fournissant une expertise transversale en matière de sécurité de l'information et de cybersécurité pour réduire l'exposition de l'acv face aux cyber-risques. Assurer la suppléance du responsable du SOC (SOC Manager) pour le pilotage et l'exploitation du SOC. Organiser et assurer la gestion des incidents de sécurité et de cybersécurité. 35% Assure la gestion opérationnelle du Security Operation Center (SOC) en fournissant une expertise senior de sécurité de l'information et de cybersécurité pour détecter, évaluer, investiguer, corriger les événements et incidents de sécurité. Fournit périodiquement et à la demande des tableaux de bord de pilotage de la sécurité au Responsable de la Sécurité des Systèmes d'information (RSSI). Assure la suppléance du responsable SOC (SOC Manager) sous la supervision directe du Responsable global de la Sécurité des Systèmes d'information (RSSI) de l'acv. Elabore la feuille de route technologique du SOC en s'assurant de son alignement sur le schéma directeur des infrastructures du système d'information du système d'information cantonal. Développe de nouveaux composants et méthodes pour augmenter la capacité dé détection du SOC contre les nouvelles attaques et logiciels malveillants. Effectue des analyses techniques et forensiques, investigue les événements de sécurité ainsi que l administration, la configuration et le management de tous les composants de sécurité utilisés de l'acv. Rédige les rapports d'incident et d'investigation et propose des mesures de rémédiation. 3. Gérer et coordonner les tests et audits de sécurité IT. Apporter une expertise et des conseils pour la sécurité de l'information et la cybersécurité. 10% Est le point de contact privilégié de l'acv pour les questions et demandes en relation avec la cyber-sécurité et la gestion des incidents de sécurité. Représente également une force d'expertise au sein de l'unité Sécurité pour l'amélioration globale du Système de Management de la Sécurité de l'information (SMSI au sens du standard international ISO 27001). Identifie les demandes d'audit de sécurité, réalise et coordone les audits avec les clients internes et prestataires externes. Assure le suivi et la mise en place des recommandations résultant des audits de sécurité et effectuer les contrôles de validation y afférant. Participe aux décisions stratégiques relatives à la sécurité de l'information de l'acv. Edition : Service du personnel Etat de Vaud Version Janvier 2016 2
Suit et réalise des projets d'amélioration de sécurité ou transversaux informatiques. Participe à la rédaction des appels d'offre et des décisions y relatives. 4. Former et sensibiliser à la sécurité de l'information et aux bons comportements vis-à-vis des cyberrisques. 10% En tant qu'expert des risques de sécurité, forme, sensibilise et conseille toutes personnes et populations de l'acv, y compris les spécialistes de la DSI. Propose des solutions et facilite la compréhension des risques de sécurité en vulgarisant les concepts techniques sous-jacents. Participe proactivement à la sensibilisation et à la formation des collaborateurs afin de réduire les comportements à risques pouvant impacter la sécurité des données personnelles ou sensibles de l'acv. 5. Effectuer une veille technologique et prospective. 10% Assure la veille sécurité permettant à l'acv d'anticiper les évolutions technologiques nécessaires et de couvrir de nouvelles failles de sécurité. Informe les spécialistes de la DSI et les populations de l'acv des nouvelles cyber-menaces ou des risques de sécurité importants pour les informations et données de l'acv. Assure un suivi et une évaluation du paysage de menaces du cyberespionnage, de la cybercriminalité, du hacktivisme et des menaces associées. Réalise des travaux de recherches pour le SOC, anime des présentations lors de conférences de sécurité et écrit des whitepapers pour la communauté de la cybersécurité. 7. Eventuelles responsabilités particulières attribuées au titulaire 8. Exigences requises 8.1. Formation de base Titre Formation d'ingénieur niveau Master dans le secteur de l'informatique et de la sécurité informatique ou équivalent. DEA (Postgrade universitaire) en droit, criminalité ou sécurité des nouvelles technologies. 8.2. Formation complémentaire Titre Certifications GREM: GIAC Reverse Engineering Malware Edition : Service du personnel Etat de Vaud Version Janvier 2016 3
GPEN: GIAC Advanced Penetration Testing Expérience dans les opérations IT Connaissances réseaux (niveau CCNA minimum) Connaissances des systèmes Linux, Windows Connaissances des systèmes de sécurité : Firewall, WAF, reverse proxy, IDS/IPS, SIEM, etc Expérience en sécurité Connaissances en sécurité offensive Connaissances de la sécurité réseaux Connaissances sécurité système (Windows, Linux) Sécurité applicative (OWASP top 10) Etre capable de lire et comprendre des logs de sécurité et opérationnels. Expérience dans l analyse de paquets réseau. 8.3. Expérience professionnelle Domaine Nbre d années Sécurité des systèmes d'information Gestion et réponses aux incidents dans un SOC 10 ans 5 ans 8.4. Connaissances et capacités particulières Domaine Connaissance approfondie de la sécurité IT au niveau architecture et technique (minimum 5 ans) - Couches réseau - Composants de sécurité réseau - Composants de sécurité du système (Windows, Linux) - Composants de sécurité des postes de travail et des équipements mobiles - Autres composants de sécurité au niveau de l'application Forte expérience en matière d'exploitation IT (minimum 3 ans) - Administration du système - Administration du réseau - Administration des dispositifs de sécurité - Administration des applications Expérience éprouvée de surveillance, de troubleshooting et d'investigation Rigueur, précision et discrétion Autonomie et bonne capacité à conduire des équipes. Esprit de décision et capacité à l'action. Planification et sens de l'organisation. Excellente aptitudes à communiquer et sens du service. Connaissances B2 (N4) de l'anglais lu, parlé et écrit. Connaissances B1 (N3) de l'allemand lu, parlé et écrit. 9. Astreintes particulières (travail de nuit, service de piquet, etc.) Peut être amené à travailler en dehors des horraires habituels (service de piquet, incident de sécurité par ex.) soit la nuit, samedi, dimanche ou jours fériés. Soumis à l'accréditation de la police (i.e. casier judiciaire). 10. Signatures Edition : Service du personnel Etat de Vaud Version Janvier 2016 4
L autorité d engagement. Date : Nom et prénom : Signature : Le/la titulaire atteste avoir pris connaissance du présent cahier des charges. Date : Nom et prénom : Signature : Edition : Service du personnel Etat de Vaud Version Janvier 2016 5