Spécialiste en développement sécurisé

Ce métier consiste à intégrer la sécurité dans le code des applications. L’intervention du spécialiste ne s’achève donc qu’une fois que le programme concerné est prouvé à l’épreuve des attaques. Cela implique bien sûr des phases de vérification et de test pour s’assurer de l’étanchéité du logiciel. Sachez que la profession de spécialiste en développement sécurisé est née d’un constat réel, car aujourd’hui, la plupart des attaques visent les logiciels eux-mêmes, et plus seulement le réseau.

La mission la plus fréquente est la création de guides de bonnes pratiques et de choix d’outils pour relire le code. Le spécialiste aide également les équipes de développement dans la création de logiciel en rédigeant les règles de sécurité à respecter, et en relisant le code régulièrement. Enfin, il est appelé à former l’équipe et à se former lui-même en permanence sur les nouvelles attaques ou façons de coder en sécurité.

Ce professionnel assume trois grandes responsabilités. La première est la conception d’un code qui respecte les règles de sécurité. Le deuxième est la mise en place d’une politique de sécurité et réglementaire pour tous les logiciels de l’entreprise. Et la troisième : la formation des développeurs aux bonnes pratiques du codage sécurisé.

Être spécialiste en développement sécurisé demande de maîtriser la programmation et le codage dans différents langages. Il faut aussi connaître en détail les failles les plus courantes et les techniques pour s’en protéger (par exemple : les failles d’injection SQL, le cross-site scripting…). À part cela, la maîtrise des outils informatiques pour analyser le code et tester la sécurité des programmes est indispensable. Enfin, un Spécialiste en développement sécurisé doit aussi comprendre le cycle de vie d’un logiciel (les différentes étapes de la création à la mise à jour) et la sécurité à chaque étape.

Pour être efficace dans ce rôle, il faut devenir pédagogue et apte à transmettre des connaissances techniques à des développeurs. En parallèle, développer une aptitude à communiquer et notamment à adapter son langage à l’interlocuteur en face.

Être polyvalent peut aussi aider si cela se traduit par une capacité à s’adapter à différents outils.

Pour accéder à ce métier, d’abord, suivre une formation en informatique de niveau Bac+3 à Bac+5, si possible, filière programmation et cybersécurité.

Ensuite, justifier de plusieurs années (souvent 3 à 5 ans) d’expérience en tant que développeur. Il faut avoir travaillé concrètement sur du code avant de se spécialiser dans la sécurité. Enfin, décrocher des certifications professionnelles en sécurité informatique (comme CSSLP, GWEB ou OSCP). Cela valide les compétences.

Dans ce métier, on commence avec un salaire d’environ 2 900 € brut par mois en tant que débutant. Puis, on évolue au fur et à mesure de l’acquisition de l’expérience et avec certifications. Ainsi, après 3 à 5 ans, on atteint facilement les 5 500 €.

À l’étranger, les salaires peuvent être plus élevés. Aux États-Unis, il faut compter en moyenne 58 000 dollars par an. Outre ce critère géographique, les différences de salaire viennent du secteur (la banque et les télécoms payent généralement mieux), de la taille de l’entreprise et du niveau de spécialisation (application mobile, cloud, etc.).

Ce métier offre plusieurs évolutions possibles : DevSecOps, responsable d’équipe et architecte sécurité entre autres. On peut aussi devenir manager et diriger d’autres spécialistes, ou se reconvertir comme consultant indépendant pour fournir des conseils aux entreprises.

Plusieurs types d’entreprises embauchent dans ce domaine. Il y a avant tout les éditeurs de logiciels et sociétés informatiques, qui ont besoin d’applis robustes et sûres, ainsi que les banques, qui gèrent des données sensibles. Les autres recruteurs incluent les entreprises de télécoms, qui protègent les réseaux et les données de leurs clients, ou encore les sociétés de conseil en technologies.

Dans ce métier, on a l’avantage d’un travail stable, très rémunérateur et stimulant. Pas de routine. Par ailleurs, le poste permet d’avoir un vrai impact sur la qualité des logiciels.

Cependant, il demande aussi beaucoup d’investissement personnel, surtout pour la veille qui nécessite une formation continue et un intérêt marqué pour les nouveautés. Enfin, il n’est pas toujours facile de défendre la sécurité face à la pression de terminer les projets rapidement.

Pour résumer l’accès à ce profil, il faut d’abord obtenir un diplôme en informatique (Bac+3 ou Bac+5), idéalement complété par un cursus en cybersécurité. Maîtriser la programmation et la sécurité informatique et détenir plusieurs années d’expérience en développement sont aussi indispensables. Enfin, il faut acquérir des compétences spécifiques grâce à des formations spécialisées, et obtenir des certifications.