Aller à la navigation principale Aller au contenu Aller à la navigation de bas de page
Répertoire national des certifications professionnelles

Expert en gouvernance de la sécurité des réseaux et des systèmes (MS)

Active

N° de fiche
RNCP36855
Nomenclature du niveau de qualification : Niveau 7
Code(s) NSF :
  • 326n : Analyse informatique, conception d'architecture de réseaux
Formacode(s) :
  • 24293 : Sécurité télécommunication
  • 31006 : Sécurité informatique
Date d’échéance de l’enregistrement : 29-09-2027
Nom légal SIRET Nom commercial Site internet
INSTITUT MINES TELECOM - TELECOM SUDPARIS 18009202500055 Télécom SudParis https://www.telecom-sudparis.eu/
Objectifs et contexte de la certification :

L’Expert en gouvernance de la sécurité des réseaux et systèmes conçoit les architectures de sécurité, élabore et met en place un plan de sécurité destiné à la protection des ressources vitales des entreprises, des collectivités locales, territoriales… contre les attaques internes et externes de toute nature : intrusions, destruction ou exfiltration de données.

Activités visées :

L’Expert en gouvernance de la sécurité des réseaux et systèmes conçoit des architectures de sécurité, élabore et met en place un plan de sécurité destiné à la protection des ressources vitales des entreprises, des collectivités locales ou territoriales contre les attaques de toute nature : intrusions, destruction ou exfiltration de données.   

Il a pour principales activités :  

L'analyse et le traitement des problématiques de cybersécurité, en particulier celles spécifiques aux Opérateurs de Services Essentiels (OSE) : il identifie les problématiques juridiques des opérateurs puis élabore et met en place des solutions y répondant ;

La conduite de projets de cybersécurité : il conçoit des solutions répondant à un cahier des charges, les réalise et les déploie, rédige un rapport sur les réalisations ;

L’analyse des menaces réseau et des mécanismes de sécurisation : il identifie les vulnérabilités, met en place des mécanismes de filtrage, dans le cadre d’une politique de sécurité ;

L’analyse des vulnérabilités et la sécurisation des applications informatiques : il analyse les applications existantes et met en œuvre des méthodologies de développement d’applications sécurisées ;

L’audit du système d’information : il analyse les risques du SI, identifie les vulnérabilités du web, élabore des règles pour la détection d’intrusion ;

Le déploiement de services d'authentification, de chiffrement et de protection de la vie privée dans un système d'information.  

Compétences attestées :

Analyser les besoins en cybersécurité des systèmes industriels et des Opérateurs de Services Essentiels dans le cadre de la loi du 26 février 2018 transposant la directive NIS (3) au droit français et dans le respect des obligations requises par l’ANSSI(2)

Proposer et déployer une solution technique répondant aux besoins et aux contraintes d’un Opérateur de Service Essentiel, c’est-à-dire conforme aux 23 règles de sécurité à appliquer dans les 4 domaines que sont :  la gouvernance de la sécurité des réseaux et systèmes d’information, la protection des réseaux et systèmes d’information, la défense des réseaux et systèmes d’information et la résilience des activités.

Identifier les réglementations des cadres juridiques français et européen qui s’appliquent dans des situations concrètes liées à la cybersécurité, notamment au sein des Opérateurs de Services Essentiels

Déterminer le rôle et les missions des acteurs cybersécurité de l’entreprise pour organiser efficacement la gestion et la mise en œuvre de solutions  

Établir et analyser l’état de l’art associé à une problématique de cybersécurité afin d’en déterminer les enjeux et de concevoir une contribution scientifique permettant d’y répondre

Concevoir un prototype répondant à un cahier des charges et permettant de traiter la problématique identifiée en argumentant les choix réalisés

Réaliser et déployer un prototype de la solution permettant d’évaluer sa faisabilité technique afin de s’assurer que la solution réponde fonctionnellement au cahier des charges

Identifier les différents types d’attaques portant sur le réseau ainsi que les mécanismes de sécurité permettant de faire face à chacun de ces types d’attaques afin de mettre en œuvre les mécanismes de sécurité les plus efficaces face aux menaces identifiées

Mettre en œuvre les règles de filtrage appropriées afin de bloquer des attaques réseau sans entraver le fonctionnement des applications

Configurer et tester un pare-feu nouvelle génération (NGFW) afin de mettre en place une politique de sécurité qui vise à protéger un réseau interne tout en filtrant l’accès à certains services pour les utilisateurs de ce réseau interne  

Analyser les vulnérabilités classique des systèmes d’exploitation et des applications informatiques, identifier les solutions permettant d’y remédier

Mettre en œuvre des mécanismes de contrôle d’accès et d’isolation de fichiers sur un système Unix afin d’empêcher des attaques en confidentialité et en intégrité sur ces fichiers

Analyser une vulnérabilité du noyau Linux pouvant conduire à une élévation de privilèges afin de déterminer les correctifs à apporter 

Identifier les risques, découvrir les vulnérabilités afin d'évaluer la sécurité du système d’information ·

Appliquer la démarche d'analyse de risque EBIOS et employer les outils d'audit d'un réseau afin de professionnaliser la démarche d’audit d’un SI afin de professionnaliser la démarche d’audit d’un SI

Concevoir des règles pour la détection d'intrusion dans le contexte d'un centre de sécurité opérationnelle (SOC) afin de réduire le niveau d'exposition des SI aux risques externes comme internes

Élaborer une méthodologie de réponse à incident pour faire face à des intrusions réelles afin de plus rapidement et efficacement réagir en cas d’attaques

Auditer une application Web et rédiger un rapport d'audit afin d’identifier les vulnérabilités web 

Établir les besoins en chiffrement et en authentification dans l'architecture d'un système d'information afin de garantir la confidentialité des données sensibles et de certifier l’identité des utilisateurs de manière robuste

Générer des certificats numériques X.509 et déployer une infrastructure à clés publiques (PKI) afin de mettre en œuvre des connexions sécurisées en HTTPS

Configurer et déployer un réseau privé virtuel (VPN) IPsec entre deux sites distants afin de déterminer les options adéquates à utiliser pour répondre aux différents besoins, notamment en confidentialité et en authentification

Mettre en œuvre des mécanismes d’anonymisation des données afin d’assurer la conformité avec le RGPD 

Modalités d'évaluation :

Cas pratiques, mise en situations professionelles, étude de cas, rapports et dossiers professionnels

RNCP36855BC01 - Analyser et traiter les problématiques de cybersécurité spécifiques aux Opérateurs de Services Essentiels

Liste de compétences Modalités d'évaluation

Analyser les besoins en cybersécurité des systèmes industriels et des Opérateurs de Services Essentiels dans le cadre de la loi du 26 février 2018 transposant la directive NIS (3) au droit français et dans le respect des obligations requises par l’ANSSI ;

Proposer et déployer une solution technique répondant aux besoins et aux contraintes d’un Opérateur de Service Essentiel, c’est-à-dire conforme aux 23 règles de sécurité à appliquer dans les 4 domaines que sont :  la gouvernance de la sécurité des réseaux et systèmes d’information, la protection des réseaux et systèmes d’information, la défense des réseaux et systèmes d’information et la résilience des activités ;

Identifier les réglementations des cadres juridiques français et européen qui s’appliquent dans des situations concrètes liées à la cybersécurité, notamment au sein des Opérateurs de Services Essentiels ;

Déterminer le rôle et les missions des acteurs cybersécurité de l’entreprise pour organiser efficacement la gestion et la mise en œuvre de solutions, en tenant compte de personnel avec un handicap.  

 

Étude de cas portant sur une problématique technique spécifique aux Opérateurs de Services Essentiels

Étude de cas + soutenance visant à traiter des problématiques techniques et juridiques rencontrées par des entreprises

Rapport écrit visant à cartographier les métiers et les pratiques de la cybersécurité au sein des opérateurs de services essentiels

RNCP36855BC02 - Conduire un projet de cybersécurité

Liste de compétences Modalités d'évaluation

Établir et analyser l’état de l’art associé à une problématique de cybersécurité afin d’en déterminer les enjeux et de concevoir une contribution scientifique permettant d’y répondre

Concevoir un prototype répondant à un cahier des charges et permettant de traiter la problématique identifiée en argumentant les choix réalisés

Réaliser et déployer un prototype de la solution permettant d’évaluer sa faisabilité technique afin de s’assurer que la solution réponde fonctionnellement au cahier des charges

Un projet est à mener sur un sujet de cybersécurité avec livrable de dossiers et soutenance orale devant jury

 

RNCP36855BC03 - Analyser les menaces réseau et les mécanismes de sécurisation

Liste de compétences Modalités d'évaluation

Identifier les différents types d’attaques portant sur le réseau ainsi que les mécanismes de sécurité permettant de faire face à chacun de ces types d’attaques afin de mettre en œuvre les mécanismes de sécurité les plus efficaces face aux menaces identifiées

Mettre en œuvre les règles de filtrage appropriées afin de bloquer des attaques réseau sans entraver le fonctionnement des applications

Configurer et tester un pare-feu nouvelle génération (NGFW) afin de mettre en place une politique de sécurité qui vise à protéger un réseau interne tout en filtrant l’accès à certains services pour les utilisateurs de ce réseau interne

Cas pratiques

RNCP36855BC04 - Analyser les vulnérabilités et sécuriser des applications informatiques

Liste de compétences Modalités d'évaluation

Analyser les vulnérabilités classiques des systèmes d’exploitation et des applications informatiques, identifier les solutions permettant d’y remédier

Mettre en œuvre des mécanismes de contrôle d’accès et d’isolation de fichiers sur un système Unix afin d’empêcher des attaques en confidentialité et en intégrité sur ces fichiers

Analyser une vulnérabilité du noyau Linux pouvant conduire à une élévation de privilèges afin de déterminer les correctifs à apporter  

Cas pratiques et étude de cas

 

RNCP36855BC05 - Auditer un système d’information

Liste de compétences Modalités d'évaluation

Identifier les risques, découvrir les vulnérabilités afin d'évaluer la sécurité du système d’information

Appliquer la démarche d'analyse de risque EBIOS et employer les outils d'audit d'un réseau afin de professionnaliser la démarche d’audit d’un SI

Concevoir des règles pour la détection d'intrusion dans le contexte d'un centre de sécurité opérationnelle (SOC) afin de réduire le niveau d'exposition des SI aux risques externes comme internes

Élaborer une méthodologie de réponse à incident pour faire face à des intrusions réelles afin de plus rapidement et efficacement réagir en cas d’attaques

Auditer une application Web et rédiger un rapport d'audit afin d’identifier les vulnérabilités web

Cas pratique, étude de cas, mise en situation pratique

 

RNCP36855BC06 - Déployer des services d'authentification, de chiffrement et de protection de la vie privée dans un système d'information

Liste de compétences Modalités d'évaluation

Établir les besoins en chiffrement et en authentification dans l'architecture d'un système d'information afin de garantir la confidentialité des données sensibles et de certifier l’identité des utilisateurs de manière robuste

Générer des certificats numériques X.509 et déployer une infrastructure à clés publiques (PKI) afin de mettre en œuvre des connexions sécurisées en HTTPS

Configurer et déployer un réseau privé virtuel (VPN) IPsec entre deux sites distants afin de déterminer les options adéquates à utiliser pour répondre aux différents besoins, notamment en confidentialité et en authentification

Mettre en œuvre des mécanismes d’anonymisation des bases de données afin d’assurer la conformité avec le RGPD 

Cas pratique

Description des modalités d'acquisition de la certification par capitalisation des blocs de compétences et/ou par correspondance :

L’accès de la certification professionnelle est possible soit par la formation, soit par la VAE. 

Pour obtenir la certification, les candidats issus de la formation initiale ou continue doivent capitaliser la totalité des blocs de compétences et valider la thèse professionnelle. Sans validation de la thèse professionnelle, les candidats n'obtiennent pas la certification.

La validation de la thèse professionnelle s’obtient par :

la réalisation d’une mission de cybersécurité en entreprise (sous la forme d'un stage de 5 mois minimum équivalents temps plein) réalisée après la formation ;

la rédaction et la soutenance orale de la thèse basée sur la mission de cybersécurité réalisée

Pour obtenir la certification, les candidats de la voie VAE doivent valider la totalité des blocs de compétences et fournir un rapport d’activité de développement sur plusieurs mois d’une solution technique en entreprise, attestant de leur capacité à concevoir une solution répondant à un cahier des charges spécifique à l’entreprise et à en réaliser un prototype. 

La validation partielle (1 ou plusieurs blocs) ou totale (les 6 blocs + la thèse professionnelle) de la certification est officielle dès la publication du PV de ce jury.

Secteurs d’activités :

Toutes entreprises, collectivités, sociétés de conseil et entreprises de services du numérique (ESN).  

 

Type d'emplois accessibles :

Auditeur en sécurité des systèmes d'information - environnements informatiques

Expert sécurité des système et environnements informatiques 

Consultant cybersécurité (ou Consultant sécurité)

Évaluateur sécurité

Architecte sécurité 

Ingénieur sécurité réseau informatique - système réseau informatique 

Expert sécurité des technologies d'information et de communication

Responsable sécurité des systèmes d'information / informatique 

Responsable du centre de cyberdéfense 

Chef sécurité de projet informatique et/ou métier 

Responsable du centre opérationnel de sécurité / Responsable SOC (Security Operation Center)

Code(s) ROME :
  • M1802 - Expertise et support en systèmes d''information
  • M1805 - Études et développement informatique
Références juridiques des règlementations d’activité :

Les métiers visés par la certification ne nécessitent pas d’habilitation particulière. Néanmoins, ils nécessitent d’appliquer différentes règlementations et lois, dont :

La directive européenne NIS de 2016 qui a pour but d'assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d'information de l'Union européenne.

La loi du 26 février 2018 transposant la directive NIS au droit français et les obligations requises par l’ANSSI, l’autorité désignée pour la France pour accompagner les OSE dans la mise en œuvre de la réglementation.

Le RGPD entré en application le 25 mai 2018, qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne, dans la continuité de la Loi française Informatique et Libertés de 1978.

Le cas échant, prérequis à l’entrée en formation :

Sont recevables les candidatures de titulaires d’un des diplômes suivants :  

Diplôme d’ingénieur habilité par la Commission des Titres d’Ingénieur (liste CTI) ;

Diplôme d’une école de management habilitée à délivrer le grade national de Master (liste CEFDG) ;

Diplôme de 3ème cycle habilité par les autorités universitaires (DEA, DESS, Master…) ou diplôme professionnel cohérent avec le niveau BAC + 5 ;

Diplôme de M1 ou équivalent, pour des auditeurs justifiant d’au moins trois années d’expérience professionnelle ;

Titre inscrit au RNCP niveau 7 ;

Diplôme étranger équivalent aux diplômes français exigés ci-dessus.

Par dérogation

a) dans la limite de 40 % maximum de l’effectif de la promotion suivant la formation Mastère Spécialisé concernée, sont recevables, après une procédure de Validation des acquis personnels et professionnels (VAPP), les candidatures de personnes justifiant a minima de 5 années d’expérience professionnelle pour lesquelles les activités exercées ont un lien avéré avec les compétences professionnelles visées par la formation (hors stage, césure, cursus initial en alternance).  

b) pour 30 % maximum du nombre d’étudiants suivant la formation Mastère Spécialisé® concernée, sont recevables les candidatures de titulaires d’un des diplômes suivants :

 Niveau M1 validé ou équivalent sans expérience professionnelle
 Diplôme de L3 justifiant d’une expérience adaptée de 3 ans minimum

 

Maîtriser le français et l'anglais technique : un niveau de français global de niveau C1, un niveau d'anglais technique de niveau B2 (certains documents, cours et évaluations sont en anglais)

 


Le cas échant, prérequis à la validation de la certification :

Pré-requis disctincts pour les blocs de compétences :
Non

Validité des composantes acquises :
Voie d’accès à la certification Oui Non Composition des jurys
Après un parcours de formation sous statut d’élève ou d’étudiant X

Le jury est composé de 4 membres dont 2 professionnels extérieurs à l’organisme certificateur

En contrat d’apprentissage X

Le jury est composé de 4 membres dont 2 professionnels extérieurs à l’organisme certificateur

Après un parcours de formation continue X

Le jury est composé de 4 membres dont 2 professionnels extérieurs à l’organisme certificateur

En contrat de professionnalisation X

Le jury est composé de 4 membres dont 2 professionnels extérieurs à l’organisme certificateur

Par candidature individuelle X -
Par expérience X

Le jury est composé de 9 membres dont  3 enseignants-chercheurs dans les spécialités enseignées et 3 professionnels extérieurs à l'école et ayant une expérience dans le domaine d’activité du candidat, mais n’appartenant pas à son entreprise.   

Oui Non
Inscrite au cadre de la Nouvelle Calédonie X
Inscrite au cadre de la Polynésie française X

Référence au(x) texte(s) règlementaire(s) instaurant la certification :

Date du JO / BO Référence au JO / BO
21/07/2018

Arrêté du 11 juillet 2018 publié au Journal Officiel du 21 juillet 2018 portant enregistrement au répertoire national des certifications professionnelles. Enregistrement pour trois ans, au niveau I, sous l'intitulé "Expert en gouvernance de la sécurité des réseaux et systèmes (MS)" avec effet du 17 octobre 2013, jusqu'au 21 juillet 2021.

Date du dernier Journal Officiel ou Bulletin Officiel : 21-07-2018
Date de décision 29-09-2022
Durée de l'enregistrement en années 5
Date d'échéance de l'enregistrement 29-09-2027
Statistiques :
Année d'obtention de la certification Nombre de certifiés Nombre de certifiés à la suite d’un parcours vae Taux d'insertion global à 6 mois (en %) Taux d'insertion dans le métier visé à 6 mois (en %) Taux d'insertion dans le métier visé à 2 ans (en %)
2021 17 0 100 100 -
2020 16 0 94 94 100
2019 15 0 93 93 100
Lien internet vers le descriptif de la certification :

Le certificateur n'habilite aucun organisme préparant à la certification

Certification(s) antérieure(s) :
N° de la fiche Intitulé de la certification remplacée
RNCP31043 Expert en gouvernance de la sécurité des réseaux et systèmes (MS)
Référentiel d’activité, de compétences et d’évaluation :

Référentiel d’activité, de compétences et d’évaluation
Ouvre un nouvel onglet Ouvre un site externe Ouvre un site externe dans un nouvel onglet