Expert en cybersécurité (MS)

L'expert en cybersécurité (MS) est un professionnel clé dans la protection des systèmes informatiques contre les actes malveillants. Son rôle principal est d'identifier, corriger et prévenir les vulnérabilités et failles susceptibles d'être exploitées par des cybercriminels. Il conçoit, développe et maintien des stratégies de cybersécurité pour garantir l'efficacité et l'intégrité des systèmes informatiques au sein des entreprises. Son champ d'intervention couvre la sécurité des applications, la gestion des droits d'accès, la sécurisation des réseaux, la protection des données, la continuité des opérations et l'élaboration de plans de reprise après incident.

La certification "Expert en Cybersécurité (MS)" vise l’accès aux métiers de la cybersécurité en développant des compétences en analyse des systèmes compromis, en sécurité des dispositifs informatiques, et en gestion des cyber-menaces. La certification couvre les aspects techniques, fonctionnels et juridiques de la sécurité des systèmes d’information (SSI), permettant aux candidats de sécuriser les SI, d’effectuer des audits de sécurité, et de mener des analyses forensiques.

Compétences attestées :

• Collecter l’ensemble des informations relatives aux incidents informatiques à l’aide des outils adéquats afin d’avoir une première idée sur l’ampleur de la crise
• Trier les éléments liés à l’incident en les catégorisant afin d’organiser des éléments de preuves analysables
• Analyser les preuves numériques collectées selon la méthodologie forensique, méthode dont l’objectif est de produire des preuves numériques de l'attaque informatique en vue d’une procédure judiciaire ou d'une action interne à l’aide de la collecte de données brutes ou altérées pour reconstituer le déroulement de l'attaque, afin d’identifier la nature de l’incident
• Contextualiser l’incident en faisant la corrélation entre signe d’incident et l’analyse de traces informatique (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation afin d’établir des scenarii potentiels d’incident
• Élaborer un plan de remédiation afin d’appliquer les actions nécessaires à la résolution de l’incident telles que décrites dans la politique de sécurité des systèmes d’information (PSSI) en émettant notamment des recommandations aux collaborateurs afin de répondre à la crise cyber
• Enrichir la politique de sécurité (PSSI) et des documents associés avec le Responsable de la sécurité des systèmes d'information (RSSI) et/ou Directeur des systèmes d'information (DSI) en utilisant les méthodologies d’analyse de risques telles que Méhari ou EBIOS, ainsi que la norme iso 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc. afin d’améliorer la sécurité et la résilience du SI
• Améliorer de façon continue ses pratiques en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques
• Assurer la supervision des infrastructures et des événements de sécurité en exploitant un système de gestion de l’information et des événements de sécurité (SIEM), en utilisant ces informations pour retracer la chronologie d’une cyberattaque afin de mettre en évidence les signaux faibles, qui d’ordinaire, passent inaperçus et d’éviter que ces mêmes attaques se reproduisent dans le futur
• Détecter en temps réel les incidents et les menaces en identifiant leurs sources afin de bloquer leur accès au système informatique
• Analyser le code malveillant par les techniques d’analyse statique et/ou dynamique pour le qualifier et le catégoriser
• Produire un correctif à l’aide de la distribution Kali Linux (langage python, script bash sous linux, exécutable écrit en C++.) qui sera appliqué par les équipes afin de réponse à incident
• Attribuer l’incident en établissant une grille d’analyse d’intrusion en utilisant les méthodes adéquates : Kill Chain, Diamond Model, la matrice MITRE ATT&CK, afin de modéliser une intrusion ciblée
• Anticiper les futures évolutions des menaces à l’aide de la mise en place d’un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les média sociaux (SOCMINT), le renseignement d'origine humaine et capacité d'analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un hacker
• Analyser le périmètre d’intervention des tests d’intrusion afin de lancer des tests cadrés
• Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles en utilisant les outils adéquats selon la méthodologie de tests d’intrusion (définition du plan d’audit, des scenarii, etc.), tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion en respectant le Code pénal, notamment des articles 323-1 et suivants, spécifique à la cybercriminalité afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions
• Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et systématiquement comporter une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation
• Identifier le périmètre et l’environnement technique afin d’évaluer la quantité de données à acquérir
• Définir la stratégie de préservation des données (en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes) afin de rédiger le document de traçabilité des actions effectuées
• Réaliser la collecte de façon technico-légale à l’aide d’outils de collecte dédiés (suivant les cas, en extrayant les données sur un support de type clé USB, ou bien, de réaliser une copie technico-légale avec des outils open source, tels que dd, dcfldd, présents sur la distribution Kali Linux, ou bien des outils commerciaux comme ftk imager), afin de préserver les preuves numériques
• Analyser les artefacts identifiés (disque dur, mémoire, traces réseaux, journaux d’évènements, e-mail, navigateurs, smartphones …) afin de tracer les preuves numériques ·
• Rédiger un rapport d’analyse en adaptant son discours afin de le présenter à divers publics, techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incident).

Secteurs d’activités :

• Grands groupes industriels
• Secteur bancaire
• Entreprises publiques
• Administrations
• PME/TPE

Type d'emplois accessibles :

• Expert en Cybersécurité
• Ingénieur sécurité informatique
• Expert sécurité informatique
• Responsable sécurité des SI
• Architecte de sécurité des systèmes d’information
• Expert en sécurité des SI
• Expert sécurité, méthode et qualité informatique
• Expert en tests d’intrusion – sécurité des SI
• Auditeur en sécurité des SI
• Post auditeur en sécurité des SI
• Responsable sécurité informatique
• Ingénieur sécurité web

• Université de technologie de Troyes (UTT)

• Université de technologie de Troyes (UTT)

  1ère habilitation	Début validité	Fin validité
  23/05/2025		23/05/2030

• Expert en cybersécurité (MS)

• 31045 : Cybersécurité
• 31025 : Analyse de données
• 31038 : Audit informatique

• M1801 - Administration de systèmes d'information
• M1802 - Expertise et support en systèmes d'information
• M1806 - Conseil et maîtrise d'ouvrage en systèmes d'information

• 326 - Informatique, traitement de l'information, réseaux de transmission des données