Recherche

Les compétences à attendre d'un prestataire cyber

Quelles compétences « avancées » peut-on attendre d'un prestataire de cybersécurité de premier niveau ? Le référentiel RCCP apporte une réponse.

Publié par le | Mis à jour le
Lecture
6 min
  • Imprimer
Les compétences à attendre d'un prestataire cyber

Que peut-on attendre d'un prestataire cyber « de premier niveau » ? Pour se donner une idée, il y a désormais un référentiel : le RCCP.

Censé guider vers l'obtention du label ExpertCyber, le document se structure autour de cinq activités : identifier, protéger, détecter, répondre, rétablir. Elles-mêmes divisées en domaines de compétences.

Certaines de ces compétences doivent être maîtrisées à un niveau « intermédiaire ». D'autres doivent l'être à un niveau plus avancé (« expérimenté »). En voici la liste.

I - Identifier

Gestion des actifs

Boîte mail
> Maîtriser les messageries et la sécurisation des protocoles associés

Gestion des identités et des accès
> Mettre en place une gestion des comptes, des utilisateurs et des privilèges selon le besoin
> Connaître les recommandations relatives à l'administration sécurisée des SI
> Maîtriser les bonnes pratiques de gestion des mots de passe et savoir appliquer des stratégie de gestion conformes aux types d'identités utilisés

Mots de passe
> Connaître les systèmes de coffres-forts numériques et les formes de MFA
> Connaître l'état de l'art sur la gestion et la complexité des mots de passe en fonction du type de compte

Sauvegarde
> Savoir définir un plan en fonction de la criticité des données

Gouvernance

Connaissance des normes et des standards
Connaître les principes généraux des normes ISO 27K et NIST

Obligations du prestataire et risques client
> Maîtriser les éléments d'un contrat de prestation incluant les niveaux de service et les champs de responsabilité
> Connaître les bases juridiques liées à l'externalisation d'un SI et les obligations en matière d'utilisation, de localisation et de transfert de données

Recommandations de base
> Maîtriser et appliquer les guides de bonnes pratiques de l'ANSSI
> Savoir adapter le niveau d'exigence en fonction de la nature de l'entité, de son exposition et de sa tolérance au risque numérique

Appréciation des risques

Identification
> Définir les vulnérabilités et les menaces par rapport aux actifs de la structure
> Connaître les bases d'une analyse de risques
> Concevoir un tableau des risques appliqués aux actifs et aux données

Gestion des vulnérabilités
> Maîtriser les outils de contrôle de la conformité, de configuration et de mise à jour

Stratégie de gestion des risques

Gestion de crise
> Connaître les acteurs, le principe d'activation et le mode de fonctionnement d'une cellule de crise
> Connaître l'environnement et les métiers de la structure en crise

II - Protéger

Sensibilisation et formation

Recommandations de base
> Mettre à disposition des clients des supports d'information sur l'hygiène informatique

Relation client
> Élaborer des formations sur ce sujet d'hygiène informatique et évaluer le niveau de sécurité des utilisateurs

Sécurité des données

Architecture
> Maîtriser les protocoles de sécurité des réseaux (physiques et sans fil)
> Maîtriser les VLAN et les listes de contrôles d'accès réseau
> Déployer et cloisonner des infrastructures de réseaux en conformité avec leurs rôles et objectifs respectifs

Sécurisation
> Maîtriser les outils de protection des applicatifs en ligne, les outils de contre-mesures et les outils de chiffrement de disques

Antivirus
> Maîtriser déploiement, gestion centralisée et mise à jour des bases
> Définir une politique et des procédures de gestion des alertes

Administration systèmes
> Savoir durcir un OS, limiter la surface d'attaque systèmes et services réseau
> Maîtriser l'analyse des logs et l'administration courante des systèmes

Disponibilité
> Maîtriser les principes d'architecture redondante par grappe, les équilibreurs de charge et les services anti-DDoS
> Pouvoir répondre à des problèmes de redirection de flux via des liens tiers

Maintenance

MCO/MCS
> Maîtriser des outils de gestion de parc et de déploiement automatique de logiciels
> Savoir appliquer un plan de continuité opérationnel
> Savoir maintenir des OS et des infrastructures en conservant un niveau de sécurité adéquat

Technologie de protection

Connaissance des solutions et technologies existantes
> Maîtriser la gestion d'un équipement de sécurité et savoir documenter les règles appliquées à la gestion des mises à jour et des accès
> Savoir filtrer les principaux flux associés à un SI pour respecter le principe du moindre privilège
> Savoir identifier le niveau de maturité de l'organisation pour lui conseiller une solution adaptée

III - Détecter

Anomalies et événements

Identification
> Avoir la connaissance des phases d'attaque
> Connaître les vecteurs possibles de compromission et leurs capacités/conséquences
> Savoir définir un comportement jugé non conforme en fonction du vecteur de compromission
> Maîtriser les outils et les méthodes de détection des vulnérabilités
> Pouvoir associer des solutions de remédiation ou des mesures palliatives

Surveillance continue de la sécurité

Supervision SSI
> Maîtriser les SIEM
> Connaître les principaux outils de supervision et savoir les mettre en prod

Processus de détection

Détection
> Pouvoir déployer et maintenir des outils de détection
> Connaître et savoir interpréter les relations entre un événement détecté et les menaces possibles associées

IV - Répondre

Plan d'intervention

Gestion de crise
> Identifier les rôles et missions des acteurs étatiques chargés du traitement technique et judiciaire

Réponse à incidents
> Identifier les vecteurs des compromissions et mesurer l'étendue de ces dernières
> Savoir effectuer des relevés techniques sans modifier le SI
> Savoir recherche des traces de compromission
> Effectuer des opérations de réponse sans détruire de données ou de traces
> Maîtriser le processus de remontée d'information

Analyse

Identification
> Savoir analyser et lier les événements trouvés, puis orienter les recherches en fonction

Conservation de la preuve
> Maîtriser la collecte des preuves
> Pouvoir mettre en oeuvre un système de blocage en écriture physique ou logique

Analyse
> Maîtriser l'analyse des logs pour rechercher des compromissions

Analyse matérielle
> Maîtrise la collecte de la mémoire et des systèmes de stockage des serveurs et des clients

Atténuation

Accompagnement
> Savoir interagir avec les responsables pour respecter leurs contraintes opérationnelles
> Prendre en compte la dimension psychologique d'une crise

Remédiation
> Savoir appliquer les mesures adéquates
> Maîtriser les procédures pour contenir les effets de l'attaque et connaître leurs conséquences opérationnelles
> Maîtriser la mise en place d'un système de contrôle renforcé des flux ou l'isolation des SI

Amélioration

Procédure interne
> Consolider ses connaissances pour améliorer les processus de réponse aux incidents

V - Rétablir

Planification de la récupération

Gestion de crise
> Participer à la mise en place de la cellule de crise
> Accompagner le client jusqu'à la sortie de crise en s'assurant du bon fonctionnement des outils pendant la crise

Sauvegarde
> Maîtriser le plan de restauration des sauvegardes
> Savoir définir si elles peuvent être considérées comme de confiance

À consulter pour davantage de contexte sur certaines de ces compétences :

Gestion de crise cyber : l'approche du Cigref en 7 chiffres
Sécurité informatique : quelques mesures d'hygiène personnelle
Pas de gestion d'accès sans IAM ?
Derrière l'essor du couple EDR-MFA, ce que perçoit le CESIN
Cybersécurité : pourquoi l'externalisation va s'imposer
SIEM ou XDR ? De la concurrence à la « confusion »
D'ATT@CK à D3FEND : un framework de cybersécurité en appelle un autre
Les « clés de passe », remède universel aux mots de passe ?

Photo d'illustration © blackboard - Adobe Stock

Livres Blancs #cloud

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page