Compétences pour les professionnels de la sécurité

Planification et mise en œuvre de processus et procédures, à l’échelle de toute l’organisation, pour gérer les risques à la réussite ou à l’intégrité de l’entreprise, en particulier ceux découlant de l’utilisation de technologies informatiques, de la réduction ou non-disponibilité de l’approvisionnement énergétique, ou de l’élimination inappropriée de documents, matériels informatiques ou données.

Sélection, conception, justification, mise en œuvre et exploitation des contrôles et stratégies de gestion pour assurer la sécurité, la confidentialité, l’intégrité, la disponibilité et la responsabilité des systèmes d’information et leur conformité avec la législation, la réglementation et les normes pertinentes.

Protection de l’intégrité, la disponibilité, l’authenticité, le non-rejet et la confidentialité de l’information et des données stockées et en transit. Gestion pragmatique et économique des risques pour assurer la confiance des parties intéressées.

Gouvernance générale de l’utilisation de tous les types d’informations, structurées ou non, produites en interne ou en externe, en vue de soutenir la prise de décisions, les processus opérationnels et les services numériques. Englobe le développement et la promotion de la stratégie et des politiques portant sur la conception des structures d’information et des taxonomies, la définition des politiques régissant l’approvisionnement et l’entretien des données, et l’élaboration des politiques, procédures, méthodes de travail et formations pour promouvoir le respect de la législation régissant tous les aspects de l’exploitation, l’utilisation et la divulgation des données.

Évaluation indépendante de la conformité de toute activité, processus, livrable, produit ou service par rapport à des critères normatifs précis, aux meilleures pratiques ou à d’autres exigences documentées. Cela peut concerner, par exemple, la gestion des actifs, les outils de sécurité réseau, les pare-feus et la sécurité internet, la durabilité, les systèmes en temps réel, la conception des applications et des certifications particulières.

Collecte, traitement, conservation, analyse et présentation des preuves médicolégales basées sur l’ensemble des constatations, y compris les preuves informatiques qui soutiennent la réduction des failles de sécurité et/ou les enquêtes policières, criminelles, de contre-espionnage et sur les fraudes.

Évaluation des vulnérabilités organisationnelles par des tests de pénétration conçus et exécutés pour démontrer comment un adversaire peut renverser les objectifs de sécurité de l’organisation ou atteindre des objectifs hostiles. Les tests de pénétration peuvent être une activité autonome ou faire partie des tests d’acceptation effectués aux fins d’autorisation d’exploitation. Identification de constatations plus approfondies sur les risques commerciaux que présentent les diverses vulnérabilités.

Prestation des services de gestion et d’administration de la sécurité opérationnelle. Cela comprend généralement l’autorisation et la surveillance de l’accès aux installations ou aux infrastructures informatiques, l’investigation des accès non autorisés et la conformité aux lois en vigueur.

Développement et exploitation de l’expertise dans un domaine précis des technologies de la communication ou de l’information, du travail numérique, ou des techniques, méthodologies, produits ou domaines d’application particuliers, dans le but de fournir des conseils spécialisés.

Prestation de planification et de soutien pour la continuité des services, au sein de (ou en étroite collaboration avec) la fonction qui planifie la continuité des activités pour toute l’organisation. Identification des systèmes d’information qui soutiennent les processus opérationnels critiques. Évaluation des risques pour la disponibilité, l’intégrité et la confidentialité des systèmes critiques. Coordination des procédures de planification, conception, essai et entretien et des plans de contingence pour répondre à l’exposition aux risques et maintenir les niveaux de continuité convenus.

Traitement et coordination des réponses appropriées et opportunes aux incidents rapportés, y compris l’acheminement des demandes d’assistance aux fonctions pertinentes aux fins de résolution, surveillance de l’activité de résolution tout en informant les clients de l’état d’avancement de la restauration du service.

Acquisition systématique de nouvelles connaissances par la collecte de données, l’innovation, l’expérimentation, l’évaluation et la diffusion. Détermination des objectifs de recherche et de la méthodologie. Participation active à une communauté de chercheurs; communication formelle et informelle par les médias numériques, conférences, revues, livres et séminaires.

Développement et l’exploitation d’une capacité de mesure pour répondre aux besoins convenus d’information de l’organisation. Planification, mise en œuvre et contrôle des activités pour mesurer les attributs des processus, produits et services dans le but d’évaluer la performance et l’avancement et de fournir des indications et un aperçu des problèmes, questions et risques réels ou potentiels. Identification des exigences, sélection des mesures et des échelles de mesure, établissement des méthodes de collecte et d’analyse des données, définition des valeurs cibles et des seuils. Les mesures peuvent être appliquées à des organisations, des projets, des processus et des produits de travail.

Alignement des objectifs de performance et des activités de fournisseurs de l’organisation sur les stratégies et plans de sourçage, en équilibrant les coûts, l’efficacité et la qualité des services. Établissement de relations de travail avec les fournisseurs, reposant sur la coopération, la confiance et la communication ouverte afin de favoriser l’innovation collaborative et l’amélioration des services. Engagement proactif des fournisseurs, dans l’intérêt mutuel, pour résoudre les incidents opérationnels, les problèmes, la mauvaise performance et les autres sources de conflit. Utilisation de procédures claires de remontée pour communiquer et résoudre les problèmes. Gestion de la performance et des risques liés multiples fournisseurs (internes et externes) par avec un ensemble de mesures convenues.

Gestion systématique des connaissances vitales visant à créer de la valeur pour l’organisation, par l’acquisition, le partage, le développement et l’exploitation des connaissances collectives dans le but d’améliorer la performance, de soutenir la prise de décision et de mitiger les risques. Développement d’une culture de soutien et de collaboration par le partage des connaissances pour assurer l’adoption réussie des solutions technologiques de gestion du savoir. Donne accès tant aux connaissances informelles et tacites, qu’aux connaissances formelles, documentées et explicites, en facilitant la collaboration et la communication en interne et en externe.

Transfert des aptitudes et des connaissances commerciales ou techniques, et promotion des attitudes professionnelles afin de faciliter la formation et le développement. Utilisation d’une gamme de techniques, ressources et médias (pouvant inclure l’apprentissage en ligne, les environnements virtuels en ligne, l’auto-évaluation, la formation par les pairs, la simulation et d’autres méthodes actuelles).

Identification, analyse, gestion, suivi et amélioration systématiques des relations avec les parties intéressées afin de cibler et de bonifier les résultats mutuellement avantageux. Engagement à l’action par le biais de consultations et d’analyse des impacts. Conception de l’approche à prendre pour la gestion des relations, y compris les rôles et responsabilités, la gouvernance, les politiques, processus et outils et les mécanismes de soutien. Combinaison créative ces canaux de communication formels et informels en vue d’atteindre le résultat souhaité.