L’évaluateur de la sécurité des technologies de l’information examine les systèmes d’information dans le but d’identifier les vulnérabilités potentielles avant qu’elles ne soient exploitées par des acteurs malveillants. C’est un travail réglementé qui suit le standard international en matière d’évaluation. Il sert à assurer la conformité réglementaire de l’entreprise et sa protection contre les risques cybernétiques.

L’évaluateur analyse les systèmes d’information selon les méthodologies internationales. Il réalise des tests d’intrusion, examine les configurations de sécurité et évalue la robustesse des mécanismes de protection. Il établit d’ailleurs des rapports détaillés identifiant les forces et les faiblesses des dispositifs de sécurité en place. Il formule également des recommandations précises pour renforcer la sécurité globale des systèmes évalués.

L’évaluateur de la sécurité des technologies de l’information endosse une lourde responsabilité : celle de valider la sécurité des systèmes d’information de l’organisation. Ainsi, ses conclusions influencent directement les décisions stratégiques des organisations en matière de cybersécurité. Il est tenu de respecter la confidentialité des évaluations réalisées ainsi que son impartialité.

L’expertise technique en sécurité informatique est le fondement du métier. De plus, il faut maîtriser les méthodologies d’évaluation internationales comme les Critères Communs ou ISO 27001, connaître les architectures système, les protocoles réseau et les mécanismes cryptographiques. La compréhension des enjeux réglementaires et des normes sectorielles complète ce socle de compétences techniques.

La rigueur analytique et l’attention aux détails caractérisent l’évaluateur de sécurité. Il possède aussi une intégrité professionnelle avec une très haute curiosité technique, indispensable pour anticiper les nouvelles menaces et méthodes d’attaque. Un évaluateur de la sécurité des technologies de l’information de haut niveau se distingue par un esprit critique aiguisé lui permettant d’identifier des failles de sécurité non évidentes.

Quelles soft skills sont recherchées par les entreprises ?

La clarté dans la communication écrite et orale est primordiale pour être capable de transmettre efficacement les conclusions techniques aux décideurs. Le sens de la diplomatie est aussi important pour les échanges avec les équipes, notamment lors de la remontée des vulnérabilités découvertes.

Le parcours académique débute par un Master en cybersécurité ou un diplôme d’ingénieur avec spécialisation en sécurité informatique. Les certifications professionnelles comme CISSP, CEH ou CISA sont nécessaires pour renforcer la crédibilité technique. Les formations spécifiques aux méthodologies d’évaluation, notamment les Critères Communs, complètent le profil avec l’accréditation par des organismes officiels comme l’ANSSI pour certaines missions sensibles.

Pour le savoir, examinez votre capacité à effectuer des analyses techniques approfondies. Est-ce que le fait de découvrir des failles de sécurité non évidentes vous motive ? La nécessité de documenter précisément vos découvertes vous semble-t-elle naturelle ? Une réponse positive à ces aspects suggère votre affinité avec le métier.

Le marché français propose des rémunérations qui reflètent la rareté des profils qualifiés. Un évaluateur junior démarre en effet autour de 36 000 € annuels. La progression salariale s’accélère encore avec l’expérience et les certifications, pour atteindre 120 000 €, voire plus après cinq ans. Les experts confirmés, particulièrement dans les secteurs sensibles comme la défense ou la finance, dépassent fréquemment les 90 000 €. Vous aurez en sus les primes de certification et la participation aux projets critiques qui peuvent ramener le package global à une somme faramineuse.

Si l’on veut progresser, plusieurs voies sont possibles. L’une d’entre elles est le rôle d’auditeur principal, chargé de superviser des évaluations complexes et de former les nouveaux évaluateurs. Citons également la fonction de responsable de certification qui pilote les programmes d’évaluation à grande échelle. Certains experts se lancent vers la création de leur propre cabinet de conseil en évaluation de sécurité pour accumuler diverses missions.

Le métier d’évaluateur de la sécurité des technologies de l’information peut s’exercer en tant qu’indépendant. Il est alors possible d’opter pour le statut d’autoentrepreneur ou de créer une entreprise individuelle, en s’enregistrant auprès de la Chambre de commerce, afin de pouvoir facturer ses prestations à divers clients. Cette voie reste cependant peu répandue. Pour exercer, l’évaluateur de la sécurité des technologies de l’information doit en effet généralement être rattaché à un organisme agréé, comme un CESTI (Centre d’Évaluation de la Sécurité des Technologies de l’Information).

Les Centres d’Évaluation de la Sécurité des Technologies de l’Information (CESTI) constituent les employeurs traditionnels du secteur. Les grands cabinets d’audit comme Deloitte ou KPMG recherchent ce profil. Côté organismes gouvernementaux, il y a l’ANSSI, qui recrute régulièrement des évaluateurs pour leurs missions régaliennes. Les laboratoires de certification privés comme Thales ou Serma Safety & Security proposent également des opportunités intéressantes.

Le métier offre une expertise technique pointue et valorisée sur le marché, et il est vrai que le poste est hautement rémunérateur. Toutefois, la rigueur méthodologique exigée peut sembler parfois contraignante. Il y a aussi l’énorme stress causé par la pression temporelle des projets de certification et la responsabilité engagée dans les conclusions émises. Et finalement, le maintien des accréditations nécessite en réalité un investissement constant en formation.

Le métier d’évaluateur de la sécurité des technologies de l’information requiert une combinaison unique d’expertise technique et de rigueur méthodologique. Un Master en cybersécurité ou un diplôme d’ingénieur spécialisé en sécurité informatique constitue le minimum requis pour ce poste. Il faut être accrédité et certifié selon des certifications professionnelles comme le CISSP ou le CEH.