Quels sont les cheminements de carrière dans le domaine de la sécurité informatique?
Quels types d'emplois existe-t-il, dans quelles organisations, avec quels types de responsabilités quotidiennes?
Quels domaines sont bons pour les personnes sortant de l'école, vs quelles sont les bonnes carrières pour les personnes expérimentées venant de diverses disciplines?
Aussi niche que la "sécurité" semble, elle englobe en fait quelques types principaux de rôles et quelques domaines de couverture. Ce sont en fait assez différents ...
Rôles communs:
- Service de sécurité informatique d'entreprise
Ces personnes s'occupent généralement de l'application des politiques, de l'audit, de la sensibilisation des utilisateurs, de la surveillance, peuvent prendre en charge certaines initiatives à l'échelle de l'entreprise (par exemple SIEM, IdM, etc.) et une réponse occasionnelle aux incidents. Donnez également probablement un PoV de sécurité sur l'achat de produits tiers (que ce soit COTS ou FOSS), et dans toute RFP d'externalisation. - Équipe de sécurité dans le groupe de développement (en entreprise ou en magasin de développement)
S'occupent principalement de l'éducation et de la formation des programmeurs, de certains tests de sécurité (ou de la gestion de tests externes, voir ci-dessous) - cela inclut à la fois le pentesting et la révision du code, définissant peut-être les fonctionnalités de sécurité. Certaines organisations auront également l'équipe de sécurité qui gère les risques, participe à la modélisation des menaces, etc. - Consultant externe/auditeur/testeur de sécurité
Cela couvre généralement, sous une forme ou une autre, tout ce qui précède, le plus souvent en mettant l'accent sur les tests de pénétration, les revues de code et l'audit de conformité réglementaire (par exemple PCI). De plus, en tant qu'expert en sécurité, les gars de choix pour les autres types d'organisations, tels que la fourniture de tous les conseils pertinents .... sont donc généralement attendus (mais pas nécessairement le cas ;-)) pour être plus à jour que quiconque. - Chercheur
. tout à fait différent, la recherche sur les fournisseurs est souvent traitée comme le développement de produits, tandis que la recherche universitaire - eh bien, je ne peux pas vraiment en parler, car je ne sais pas ...
De même, dans tout ce qui précède, il existe différents domaines d'expertise, et un expert dans l'un n'aura pas nécessairement quelque chose d'intelligent à dire dans un autre domaine:
- Sécurité du réseau, par exemple routeurs, pare-feu, segmentation et architecture du réseau, etc.
- La sécurité O/S, qui est bien sûr encore subdivisée en fonction de la saveur O/S (c'est-à-dire que les experts en sécurité Windows et Linux ne savent pas grand-chose les uns des autres).
- La sécurité des applications - c'est-à-dire comment programmer en toute sécurité (qui peut être nécessaire pour subdiviser selon le langage, la technologie, etc.), mais aussi les attaques de couche application, par exemple Attaques Web, etc.
- Experts en gestion des risques - davantage axés sur les affaires, moins sur les aspects techniques
- Responsables de la conformité - certains endroits les ont dédiés, et ils sont des experts de toutes les réglementations pertinentes et autres (notez qu'il s'agit d'un travail semblable à celui d'un avocat!)
- Architectes d'identité - pour les organisations plus grandes et soucieuses de la sécurité, qui ont des implémentations IdM complexes et similaires ...
- Les experts en audit et en criminalistique s'occupent principalement de SIEM/SIM/SOC, ainsi que des enquêtes après coup.
En plus de cela, il y en a qui se spécialisent dans la construction de systèmes sécurisés (à chaque niveau de la pile), et certains qui passent leur temps à les casser - et ce n'est pas toujours une expertise partagée.
Il y a probablement encore plus de créneaux que je saute, mais vous commencez à avoir une idée ... Comme vous pouvez le voir, ce qu'un gars ou une fille de la sécurité fait au jour le jour est aussi large et varient selon les entreprises dans lesquelles ils travaillent et les systèmes sur lesquels ils travaillent. Le plus souvent, cela nécessite de déplacer plusieurs chapeaux et de travailler principalement sur de courtes tâches ... MAIS ce qui reste le même (généralement) est l'exigence de se concentrer sur les risques (et menaces), qu'il s'agisse principalement d'un travail technique de définition de règles de pare-feu ou communiquer avec les types d'entreprises et d'avocats au sujet de la position de sécurité actuelle de l'organisation.
Quant à savoir comment entrer sur le terrain? Idéalement, vous avez une expérience (de préférence une expertise) dans un autre domaine, que vous pourrez ensuite vous spécialiser en sécurité.
Vous étiez ingénieur réseau? Très bien, commencez par vous concentrer sur la sécurité du réseau et continuez à partir de là.
Vous êtes actuellement administrateur système? Magnifique, vous avez probablement déjà travaillé un peu sur la sécurité, commencez à en apprendre davantage dans ce domaine.
Vous programmez depuis votre enfance et vous souhaitez passer à la sécurité? Fantastique, vous devriez déjà avoir appris la validation des entrées, la cryptographie, l'atténuation des menaces, l'accès sécurisé aux bases de données, etc ... Apprenez-en plus, découvrez ce qui vous manque, puis appelez-moi ;-).
Et ainsi de suite ... D'un autre côté, si vous n'avez pas d'expérience et que vous souhaitez COMMENCER dans la sécurité, c'est plus difficile - car comme je l'ai expliqué, le plus souvent, les gars de la sécurité devraient être l'expert sur quoi que ce soit. Vous pouvez essayer de rejoindre une équipe de pentesting, et grandir à partir de là ... L'important est de se concentrer sur la gestion des risques (et, pour la technique, la modélisation des menaces).
Je suggère également fortement de lire beaucoup de livres et de blogs sur la sécurité (j'aime les trucs de Bruce Schneier), et d'essayer également OWASP pour le côté application des choses.
Pour référence future et exhaustivité, je voudrais également ajouter que le site K Cyber Security Challenge a une belle liste de 8 catégories différentes de rôles de sécurité avec des explications sur chacun et des exemples de rôles, tels que définis par le Institut des professionnels de la sécurité de l'information (IISP) (après une étude, je suppose).
http://cybersecuritychallenge.org.uk/careers/typical-roles/
Je cite le contenu ici:
Gestionnaires d'incidents et de menaces, experts en criminalistique.
D'une manière ou d'une autre, votre travail se situe au bord du charbon. Vous pouvez gérer la sécurité du réseau de votre organisation et empêcher les attaquants de pénétrer. Vous pouvez travailler pour une entreprise qui teste les réseaux d'autres pour évaluer leur sécurité et vous conseiller sur la façon de les rendre moins vulnérables aux attaques. Personne n'est en mesure d'éviter tous les incidents, vous pouvez donc également être un gestionnaire d'incidents, capable de réagir rapidement en cas de crise et de gérer l'impact. Il peut y avoir des choix difficiles à faire pour l'entreprise. Vous devrez travailler avec d'autres gestionnaires qui peuvent ne pas avoir votre compréhension technique de ce qui s'est passé ou de ce qui doit être fait pour que les systèmes fonctionnent à nouveau, mais qui connaîtront l'impact sur l'entreprise si certaines fonctions sont arrêtées. Vous devrez peut-être faire une analyse médico-légale - pour voir comment l'attaquant est entré et ce qu'il a fait. Planifier quoi faire pour répondre à différents incidents, équilibrer toutes les différentes demandes sera important pour bien gérer une crise et vous serez probablement un membre important de l'équipe de planification de la continuité des activités. Il existe des travaux très techniques dans ce domaine, examinant les nouveaux logiciels malveillants, élaborant des contre-mesures et bien plus encore. De plus, bien sûr, ce n'est pas tout sur les réseaux maintenant, car les appareils mobiles contiennent de plus en plus de données et exécutent des fonctions auparavant uniquement possibles sur un ordinateur.
Exemples de rôles dans cette catégorie: gestion et réponse aux incidents et aux menaces. Incident Manager, Threat Manager, Forensics - Computer - Mobile and Network - Analyst, CSIRT, Attack Investigator, Malware Analyst, Penetration Tester, Disaster Recovery, Business Continuity.
Analystes et gestionnaires des risques.
Pour ce faire, vous devez comprendre comment les différentes menaces auront un impact sur une entreprise et conseiller sur les risques à couvrir et ceux à prendre. Le conseil d'administration sera à l'écoute de vos conseils et vous devrez être en mesure d'expliquer les risques dans un langage non technique qui montre clairement l'impact sur les entreprises. Certains gestionnaires de risques ne sont pas techniques et sont issus de l'entreprise, d'autres viennent du côté technique de l'entreprise. Certaines personnes participent à l'audit des réseaux et s'assurent que les problèmes de conformité sont compris et traités. Une réponse à notre enquête a déclaré que ces personnes "vont parler à nos clients des risques et de la conformité, expliquent la loi, tout changement dans la législation et identifient les faiblesses et aident les clients à se conformer".
Exemples de rôles dans cette catégorie: gestion des risques, vérification et conformité. Analyste des risques, évaluateur des risques, responsable de la sécurité des informations commerciales, réviseur, auditeur.
Décideurs et stratèges politiques.
Ce sont ces personnes qui conçoivent les politiques de sécurité qui définiront comment une entreprise gère de nombreux risques de sécurité différents. La bonne politique est un must pour une organisation afin de respecter ses obligations légales. Amener les gens à mettre en œuvre des politiques signifie montrer aux gens pourquoi les politiques sont importantes et sensibiliser aux conséquences potentielles de ne pas suivre les conseils. Dans le secteur privé, des CISO (Chief Information Security Officers) dirigent ce travail, souvent soutenus par une équipe. Au gouvernement, il existe des ITSO (responsables de la sécurité informatique) et des DSO (responsables départementaux de la sécurité). Ces derniers sont responsables des questions de sécurité physique, du personnel et de la sécurité de l'information et le responsable de la sécurité informatique leur fait généralement rapport.
Exemples de rôles dans cette catégorie: stratégie, politique, gouvernance. Stratège, Policy Manager, ITSO, DSO, CISO.
Gestion des opérations et de la sécurité.
Vous pouvez être responsable de la protection des données de votre organisation sur ses réseaux, ordinateurs portables ou appareils mobiles. Comme nous avons tous choisi différentes façons de travailler et que le développement de nouvelles technologies crée quotidiennement de nouvelles possibilités, vous devrez vous tenir au courant. Vous pouvez gérer le chiffrement et d'autres mesures de protection comme les règles sur les pare-feu, les journaux de sécurité et les rapports d'incident.
Exemples de rôles dans cette catégorie: Opérations et gestion de la sécurité. Responsable de la sécurité des réseaux, responsable de la sécurité des systèmes, responsable de la sécurité des informations, dépositaires de crypto-monnaies, responsables de l'information.
Ingénierie, architecture et conception.
Si vous pouvez obtenir la bonne conception d'un système, vous pouvez empêcher les attaquants d'entrer. Mais la situation change tous les jours et si vous voulez suivre, vous devrez courir vite. Il peut s'agir de matériel ou de logiciels, de conception et de développement ou d'applications sécurisées. Vous êtes peut-être un talentueux rédacteur de logiciels sécurisés - trop de nos codeurs dans le passé ont été poussés par la pression d'être les premiers sur le marché et n'avaient pas suffisamment conscience de la sécurité. Vous pouvez concevoir des outils de sécurité ou les vendre. Les ventes et le marketing sont une partie essentielle de l'entreprise.
Exemples de rôles dans cette catégorie: ingénierie, architecture et conception. Architecte, Designer, Développement, Codage sécurisé, conception et développement de logiciels, développement d'applications. Outils de sécurité, implémentation.
Éducation, formation et sensibilisation.
La formation est un besoin constant pour la plupart d'entre nous en affaires de nos jours. À mesure que les nouvelles technologies arrivent, le personnel doit comprendre comment les utiliser efficacement pour permettre à l'entreprise de survivre et de réussir en toute sécurité afin de gérer les nouveaux risques. Les experts doivent également être tenus à jour afin de comprendre les nouveaux vecteurs d'attaque, les nouvelles façons de gérer la sécurité, les nouvelles façons d'évaluer et de communiquer les risques. Certains emplois de vente sont étroitement alignés sur ce travail car ils renseignent les clients sur ce dont ils ont besoin dans leur entreprise. Il existe un certain nombre d'entreprises de formation qui s'occupent de tous les niveaux de formation et qui travaillent dur pour maintenir leur matériel à jour. L'un des répondants à notre enquête a décrit son travail comme suit: "Sensibiliser aux questions liées à la cybersécurité à la fois en interne et en tant que service à d'autres organisations. Produire, accréditer et fournir des cours de formation sur la cybersécurité en interne et à d'autres organisations en tant que service ".
Exemples de rôles dans cette catégorie: éducation, formation et sensibilisation. Gestionnaire de programme de sécurité.
Recherche.
Il existe de nombreux domaines de recherche, certains très techniques et d'autres beaucoup plus orientés vers les politiques. Certains créent des modèles complexes pour nous aider à comprendre des situations qui évoluent plus rapidement que nous ne pouvons comprendre sans aide technique. D'autres réfléchissent aux technologies du futur et à la manière dont elles peuvent nous aider à mieux gérer la sécurité. Les répondants au sondage ont décrit les emplois comme "étudier les nouvelles technologies pour gérer les risques et apprendre à gérer les risques avec les nouvelles technologies. La plupart des spécialistes de la recherche en sécurité se concentrent sur les premiers, la cryptographie, les pare-feu, etc., mais sur les seconds, la sécurisation d'Internet 2.0 est beaucoup plus importante "; "À la recherche de la prochaine" grande chose ""; "Recherche sur la façon dont les attaques sont menées dans le monde réel. Suivi de divers types de logiciels malveillants et de leur évolution, ce qui permet d'éviter les grèves majeures contre les clients. Inventez de nouveaux produits basés sur ce qui est vu dans le monde réel et travaillez avec les développeurs pour produire ces produits. "
Exemples de rôles dans cette catégorie: Recherche. Chercheur en sécurité.
Avocats spécialisés dans les conseils et les poursuites en matière de criminalité sur Internet et de protection des données.
Conseil et poursuite de la sécurité des données et de la criminalité sur Internet. Il n'est pas facile de poursuivre les auteurs de ces crimes et les entreprises ont besoin d'aide pour comprendre leurs responsabilités et rassembler les preuves. Depuis les pertes de données de ces dernières années, il y a eu des changements importants dans la loi. Par exemple, les organisations qui ne prennent pas suffisamment en charge les données des personnes sur leurs systèmes peuvent se voir infliger une amende pouvant atteindre 0,5 million de livres sterling, de sorte que beaucoup souhaitent que leurs politiques de sécurité soient auditées pour s'assurer qu'elles sont adaptées à leur objectif.
Exemples de rôles dans cette catégorie: Avocat pour des conseils et des poursuites sur la protection des données et la criminalité sur Internet.
Le SANS Institute propose une brochure sur le sujet pour 5,00 $: Les 20 meilleurs emplois en sécurité de l'information . Cette page Web répertorie les titres ainsi que quelques exemples de descriptions.