Résultats d'apprentissage pour la main-d'oeuvre en cybersécurité - Une base pour éduquer la main-d'oeuvre canadienne en cybersécurité
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Résultats d’apprentissage pour la main-d’œuvre en cybersécurité Une base pour éduquer la main-d’œuvre canadienne en cybersécurité
À propos de
TECHNATION Développement de la
TECHNATION est le pont entre l’industrie et le gouvernement en ce main-d’œuvre chez TECHNATION
qui a trait à la prospérité technologique du Canada. Comme organisme
La prospérité du Canada repose sur une main-d’œuvre en informatique
sans but lucratif dirigé par ses membres, TECHNATION rallie le secteur
qui possède les compétences nécessaires pour s’assurer que nos
canadien des technologies, les différents paliers de gouvernement
entreprises et le pays demeurent concurrentiels dans un marché
et les collectivités pour encourager la prospérité technologique au
mondial en constante évolution. TECHNATION contribue à développer
Canada. TECHNATION stimule cette dernière en offrant des occasions
les talents en informatique, que ce soit dans l’industrie ou en dehors,
de sensibilisation, de développement professionnel et de réseautage
par un mélange de programmes de formation et de recyclage. En tant
à tous les niveaux de l’industrie et du gouvernement; en mettant en
que service stratégique de TECHNATION, le Développement de la
contact les entreprises canadiennes en croissance et les dirigeants
main-d’œuvre vise à constituer le bassin de personnel dont le Canada
technologiques mondiaux; en impliquant la chaîne d’approvisionnement
a besoin pour demeurer en tête dans l’économie numérique. Il vise
mondiale; et en alimentant le bassin de talents dans le secteur des
notamment à encourager les jeunes à faire carrière dans les technologies,
technologies. TECHNATION est le porte-parole national officiel de
à agir comme consultants en matière d’enseignement technique et
l’industrie des technologies de l’information et de la communication
de résultats d’apprentissage, à guider ceux qui œuvrent dans des
(TIC), qui représente une valeur de 210 milliards de dollars depuis plus
domaines non techniques ou les groupes sous-représentés vers
de 60 ans. Plus de 43 200 entreprises canadiennes des TIC créent
l’obtention des compétences nécessaires pour se lancer dans une
et fournissent des biens et services qui contribuent à créer une société
carrière en technologies, à encourager la diversité dans l’industrie
plus productive, plus concurrentielle et plus novatrice. Le secteur des
et à contribuer à l’élaboration de politiques publiques visant à appuyer,
TIC génère plus de 666 500 emplois directs et indirects, et investit
à développer et à agrandir le bassin de travailleurs en technologies
7,5 milliards de dollars par an en recherche et développement,
au Canada.
soit plus que tout autre jouer du secteur privé.
technationcanada.ca
TECHNATION 2Remerciements
Bénévoles scolaires et industriels Professionnels du domaine
La création de ces résultats d’apprentissage en cybersécurité pour de la cybersécurité
la main-d’œuvre aurait été impossible sans le financement généreux,
TECHNATION souhaite aussi exprimer sa sincère gratitude aux
les idées et les conseils des partenaires scolaires et industriels.
professionnels et aux parties prenantes du domaine de la cybersécurité
Nous les remercions chaleureusement pour leur dévouement et pour
ayant contribué, directement ou non, à l’élaboration de cette norme par
leur participation à cet effort, rendu particulièrement difficile en 2020
l’intermédiaire d’entretiens, de sondages, de consultations et de réunions
par la pandémie de COVID-19, qui a exercé d’énormes pressions sur
informelles. Bien qu’ils soient trop nombreux pour les mentionner
ces communautés. Veuillez consulter l’Annexe A pour la liste complète
individuellement, nous sommes sincèrement reconnaissants de l’intérêt
des participants.
et de l’expertise que les membres engagés de la communauté de
cybersécurité ont apportés tout au long de ce projet. Leur point de vue
L’Alliance de talents en cybersécurité et leur perspective ont été essentiels à l’atteinte des résultats. Nous les
remercions d’avoir partagé avec nous leur temps, leur savoir,
TECHNATION souhaite féliciter les membres de l’Alliance de talents leurs recherches et leur expérience. Nous attendons également
en cybersécurité et reconnaître leur esprit de direction, leur supervision avec impatience leur contribution au processus de révision
et leurs conseils durant la rédaction du Cadre des compétences en afin que les résultats d’apprentissage en cybersécurité pour
matière de cybersécurité au Canada et de la Norme professionnelle la main-d’œuvre et la NPN restent actuels et pertinents.
nationale (NPN). Ces documents de référence étaient essentiels pour
déterminer les résultats d’apprentissage pour la main-d’œuvre en
cybersécurité. Pour consulter ces documents, veuillez visiter le site
technationcanada.ca/en/future-workforce-development/cybersecurity/
TECHNATION 3Le Centre canadien (Cybersecurity Workforce Framework), sur lequel est basé le Cadre
des compétences en matière de cybersécurité au Canada. De même,
pour la cybersécurité la NICE américaine a fourni des descriptions détaillées et rigoureuses
des catégories d’emploi, des domaines de spécialisation et des rôles
Le Centre canadien pour la cybersécurité mérite une reconnaissance de travail en cybersécurité, ce qui a fortement influencé le contenu de
particulière pour son expertise et son rôle de chef de file avec son ce document. Nous nous réjouissons de travailler plus étroitement avec
Guide sur les programmes d’études en cybersécurité, qui a permis le bureau de la NICE pour définir et affiner notre compréhension de
de définir le cadre des travaux sur la cybersécurité au Canada et les ce nouveau domaine de travail et nous continuerons à contribuer
rôles de travail utilisés dans cette norme. En outre, nous travaillerons au processus de révision de la NICE.
avec le Centre canadien pour la cybersécurité afin d’assurer une
étroite harmonisation entre nos documents d’orientation.
Gouvernement du Canada
National Initiative on Cybersecurity Ce projet est financé en partie par le Programme d’appui aux initiatives
Education (NICE) – États-Unis sectorielles du gouvernement du Canada. Les opinions et interprétations
contenues dans cette publication sont celles de l’auteur et ne reflètent
Le bureau américain de la NICE, faisant partie du National Institute pas nécessairement celles du gouvernement du Canada.
of Standards and Technology (NIST), a apporté à TECHNATION
son soutien et ses conseils tout au long de ce processus, et nous
sommes reconnaissants de son travail approfondi sur son cadre
de perfectionnement de la main-d’œuvre en cybersécurité
TECHNATION 4Table des matières
Avant-propos 6
Postes en cybersécurité – Progression de l’apprentissage et du développement 7
Bases de la cybersécurité – Prérequis 8
Supervision et gouvernance – Résultats d’apprentissages 10
Conception et développement – Résultats d’apprentissage 14
Exploitation et maintenance – Résultats d’apprentissage 18
Protéger et défendre – Résultats d’apprentissage 22
Annexe A – Contributeurs 26
TECHNATION 5Avant-propos
Ce document vise à suggérer aux Comme le montre le graphique ci-dessous, le parcours d’apprentissage
comprend des exigences initiales d’apprentissage qui s’appliquent à tous
fournisseurs de services de formation les candidats en cybersécurité, quel que soit le domaine. Elles constituent
les bases de la cybersécurité, qui sous-tendent les compétences
et d’enseignement des résultats transversales des emplois en cybersécurité.
d’apprentissage pour les candidats Après les bases de la cybersécurité suivent les résultats d’apprentissage
pour chaque secteur d’activité aligné sur les principales catégories
qui veulent faire carrière dans le du Cadre des compétences en matière de cybersécurité au Canada :
supervision et gouvernance, conception et développement, exploitation et
domaine de la cybersécurité. maintenance, protection et défense. Ces sujets approfondissent le thème
de la cybersécurité dans les catégories de métiers ciblées nécessaires
à l’efficacité dans ce domaine. Une fois ces résultats d’apprentissage
Ces résultats d’apprentissage ont été élaborés en consultation avec des atteints, les candidats devraient pouvoir occuper des postes de premier
experts industriels et pédagogiques. Les résultats d’apprentissage visent plan en cybersécurité, dans une organisation qui œuvre dans ce secteur/
à garantir que les candidats souhaitant intégrer une équipe dans une cette catégorie de travail. Cela permet aussi de faire un pont important
organisation de cybersécurité ont su prouver leur maîtrise des bases entre le travail de base et le travail spécialisé, qui n’était généralement
de la cybersécurité, comme du domaine en général, avant de poursuivre pas offert par les programmes d’études postsecondaires.
leur spécialisation.
Une fois ces résultats d’apprentissage atteints, les candidats
peuvent continuer à développer leurs compétences dans cette
catégorie de travail en tant que généralistes, ou progresser dans
des travaux plus spécialisés ou plus techniques en cybersécurité,
comme le montre le graphique.
TECHNATION 6Postes en cybersécurité
Progression de l’apprentissage et du développement
Principes fondamentaux Bases de la
pour tous les postes Enseignement en appui aux postes spécialisés
catégorie de travail (spécialisation, programme menant à un diplôme ou programmes/cours
essentiels en matière (encourage le travail
fondés sur les fournisseurs + expérience)
de cybersécurité dans le domaine)
• Responsable de la sécurité de l’information
Supervision et
• Agent de sécurité des systèmes d’information
gouvernance
• Auditeur de la sécurité de l’information
• Architecte de la sécurité • Ingénieur/analyste en
• Ingénieur en sécurité/Ing. en sécurité Technologue automatisation de la sécurité
• Évaluateur de logiciels sécurisés • Spécialiste de test et Spécialisation
Conception et technique,
• Analyste de la sécurité de la chaîne d’approvisionnement d’évaluation de sécurité
développement conseil ou
• Développeur de la sécurité des systèmes d’information • Analyste des systèmes de
• Ingénieur/analyste en automatisation de la sécurité technologie opérationnelle gestion
Bases de la cybersécurité • Cryptanalyste/cryptographe
• Spécialiste du soutien à la gestion de l’identité et de l’authentification
Exploitation et
• Spécialiste du chiffrement/soutien à la gestion des clés
maintenance
• Spécialiste de la protection des données/agent de la protection de la vie privée
• Gestionnaire des opérations de cybersécurité • Spécialiste du soutien aux infrastructures
• Analyste des opérations de cybersécurité des opérations de cybersécurité
Protection et défense • Responsable des incidents de cybersécurité • Technicien des opérations de cybersécurité
• Analyste d’évaluation de vulnérabilité • Analyste en investigation
• Testeur de pénétration informatique numérique
Progression de l’apprentissage et du développement ▬►
TECHNATION 7Bases de la cybersécurité
Prérequis
Tous les professionnels de la • Systèmes de TI et réseaux
• Architecture et modèles de systèmes
cybersécurité, quel que soit leur • Protocoles, systèmes et dispositifs Internet
poste, devraient pouvoir appliquer • Bases de la cybersécurité
les bases des éléments suivants dans • Cadre de sécurité intégrée
• Stratégies et approches en matière de cybersécurité
leur domaine de travail fonctionnel • Contexte des cybermenaces et exposition
(supervision et gouvernance, aux menaces communes (personnel, physique,
TI/logique, chaîne d’approvisionnement)
conception et développement, • Processus et sources de renseignements
sur les cybermenaces
exploitation et maintenance, • Analyse de la cybersécurité
protection et défense) : • Politiques, processus et meilleures pratiques
en matière de gestion de la cybersécurité
TECHNATION 8Bases de la cybersécurité
(suite)
• Systèmes, outils et applications de cybersécurité • Apprentissage continu pour soutenir l’actualisation des
• Législation et conformité (par exemple, respect de la vie connaissances sur les menaces émergentes, les innovations
privée, échange de renseignements, création de rapports, technologiques en matière de sécurité et l’évolution du paysage
normes obligatoires, etc.) de la cybersécurité
• Normes nationales et industrielles • Communications (orales et verbales) adaptées
au contexte organisationnel, y compris la rédaction
• Résolution de problèmes et réflexion complexe et l’écriture de rapports techniques
dans des environnements dynamiques
• Réflexion stratégique et sens des affaires pour comprendre
• Maintien d’une plus grande conscience le contexte commercial et les risques liés à la cybersécurité
de la situation en matière de sécurité
• Travail d’équipe/collaboration avec d’autres personnes, y compris
• Conscience de soi concernant les connaissances, des professionnels non spécialisés dans la cybersécurité
les compétences et les habiletés requises pour répondre aux
changements commerciaux et techniques ainsi qu’aux menaces • Intégrité professionnelle
• Éthique et responsabilités professionnelles
• Formation et sensibilisation à la cybersécurité dans leur domaine
TECHNATION 9Supervision et gouvernance
Résultats d’apprentissage
La responsabilité principale de cette Voici les principaux postes de travail au sein de ce domaine d’activité/
cette catégorie de travail :
catégorie de travail est la direction et la • Responsable de la sécurité de l’information (RSI)
gestion du programme de cybersécurité • Agent de sécurité des systèmes d’information
pour l’organisation. • Auditeur de la sécurité de l’information
Pour le domaine d’activité/la catégorie de travail Supervision et
gouvernance, ils auront généralement besoin de capacités avancées
La majorité du travail au sein de ce sous-groupe professionnel en matière de planification organisationnelle, de mesure et de gestion
est effectuée par des personnes appartenant à des groupes de la cybersécurité.
de compétences professionnelles reconnus, comme les cadres
(cadres supérieurs, cadres intermédiaires) et les professions Les compétences, y compris les compétences CCH
commerciales, financières et administratives (par exemple, essentielles pour ces spécialisations, sont incluses dans la Norme
analystes commerciaux, analystes financiers, analystes de risques, professionnelle nationale. Les résultats d’apprentissage suivants
communications). Par conséquent, de nombreux postes pertinents sont le fruit d’une analyse de tous les postes de cette catégorie et
dans cette catégorie sont des postes adjacents, comme les professionnels sont pertinents pour les programmes de grade, de diplôme ou de
des politiques, des communications, de la formation et de la sensibilisation. certification axés sur la gestion en cybersécurité. Ils seront aussi
utiles à ceux qui souhaitent intégrer du contenu de cybersécurité
dans des programmes de gestion existants (financiers, commerciaux,
génie sanitaire, etc.). Les résultats d’apprentissage sont présentés
dans une séquence d’enseignement suggérée.
TECHNATION 10RÉSULTATS D’APPRENTISSAGE
No DOMAINE DE
COMPÉTENCES À l’issue du programme d’études,
TÂCHE COMMUNE SOUS-CATÉGORIE du COMPÉTENCE
CLÉS les apprenants devraient être en
RA (dérivé en partie de NICE)
mesure de faire ce qui suit.
Interpréter et appliquer
Déterminer et analyser les exigences
Conformité : Législation, les lois, règlements,
1 de conformité pertinentes pour leur
gouvernement et jurisprudence politiques, normes
contexte organisationnel.
ou procédures.
Analyser les politiques, les pratiques
Conformité : Législation, Interpréter et appliquer
et les procédures relatives à la législation
gouvernement et jurisprudence; les lois, règlements,
2 sur la protection de la vie privée,
Confidentialité et protection politiques, normes
à l’intervention en cas d’infraction,
de données ou procédures.
la divulgation et au signalement.
Déterminer la conformité
et superviser le Donner à divers publics des conseils
Donner des conseils
développement Conformité et des instructions sur la législation,
Conformité : Législation, sur les exigences
des mécanismes 3 les règlements, les politiques,
gouvernement et jurisprudence de conformité
de conformité. les normes ou les procédures
en cybersécurité.
qui concernent la cybersécurité.
Mettre en place et maintenir des
Conformité : Législation, Surveiller et évaluer mécanismes pour contrôler la conformité
4
gouvernement et jurisprudence la conformité de l’organisation et élaborer des protocoles
de correctifs cohérents.
Gestion des risques, Coordination des Analyser et aider à rédiger des évaluations
5 confidentialité et protection évaluations des des répercussions sur la vie privée et sur
de données répercussions les entreprises.
Gestion des risques, analyse Connaître les besoins en matière de
Pensée et esprit critique,
1 des besoins, confidentialité gestion des risques liés à la cybersécurité
sens des affaires
et protection de données pour appuyer les objectifs organisationnels.
Collaborer avec les
intervenants clés pour Communications, Collaborer avec les intervenants clés pour
Gestion des risques,
établir un programme 2 habiletés établir un programme efficace de gestion
Gestion des risques gestion des relations
efficace de gestion interpersonnelles des risques liés à la cybersécurité.
des risques liés
à la cybersécurité. Sécurité des systèmes
Définir le positionnement courant en ce
informatiques et des réseaux/ Pensée et esprit critique,
3 qui a trait à la sécurité organisationnelle
infrastructures organisationnelles, sens des affaires
et à l’exposition aux risques.
gestion des risques
TECHNATION 11Sécurité des systèmes Application de concepts Intégrer la sécurité informatique
1 informatiques et des réseaux, de sécurité dans le et réseau dans un plan plus large
infrastructure organisationnelle contexte organisationnel de sécurité organisationnelle.
Gestion de projet, Superviser et examiner les exigences
2 Gestion de projet
analyse des besoins de sécurité des projets.
Affecter les ressources
nécessaires pour garantir Affectation des Identifier les techniques, les ressources
l’efficacité des mesures ressources Planification des
et les processus appropriés nécessaires
de cybersécurité. 3 Affectation des ressources activités et des
à l’appui des objectifs de sécurité
ressources humaines
organisationnelle.
Analyser et évaluer la répartition des
Pensée critique, postes et des responsabilités en matière
4 Contrôles de sécurité
évaluation de contrôles de sécurité dans l’ensemble
de l’organisation.
Analyser et contribuer à l’élaboration
Communications,
et à la mise en œuvre de politiques
Examiner et interpréter 1 Élaboration de politiques pensée critique,
organisationnelles en matière de
l’information liée à la sens des affaires
Instruments relatifs cybersécurité au niveau des programmes.
cybersécurité, ainsi que les
aux politiques
politiques et contrôles en
matière de cybersécurité. Analyser et évaluer les politiques
Communications écrites,
2 Gestion de politiques organisationnelles liées à la
rédaction
sécurité organisationnelle.
Dresser le portrait de la
Analyse de la menace
1 Évaluation de la menace menace de cybersécurité
(haut niveau)
dans le contexte opérationnel.
Déterminer les mesures correctives
Tenir à jour notre portrait appropriées face aux risques liés à
Pensée critique,
de la menace à la Contexte de Passation de marchés et achats, la cybersécurité que pose la chaîne
2 sens des affaires,
cybersécurité dans le la menace gestion de projets d’approvisionnement et aux risques
surveillance par un tiers
contexte opérationnel. dans toutes les phases du cycle de
développement de système (CDS).
Gestionnaire de Surveiller et évaluer les activités
3 Évaluation de vulnérabilité l’évaluation de de gestion de vulnérabilité par rapport
vulnérabilité au risque organisationnel.
TECHNATION 12Évaluer et contribuer à l’élaboration,
Planification des
Donner des conseils 1 Gestion de programme à la mise en œuvre et à l’amélioration
affaires, pensée critique
sur les programmes, du programme de cybersécurité.
les politiques, les processus Direction et gestion
et les systèmes Mesure du rendement
de cybersécurité. Découvrir, communiquer et recommander
2 Évaluation du programme et analyse des
des améliorations pour le programme.
programmes
Interprétation de Participer aux processus d’audit Internet
1 Audit
Programmer et superviser l’information d’audit externe de la sécurité de l’information.
les évaluations et les Évaluation et audits
audits de sécurité. Pensée critique, Participer aux activités d’évaluation
2 Évaluation de la sécurité
évaluation de la sécurité.
TECHNATION 13Conception et développement
Résultats d’apprentissage
Cette catégorie de travail concerne • Analyste de la sécurité de la chaîne d’approvisionnement
• Développeur de la sécurité des systèmes d’information
le développement d’infrastructures, • Ingénieur/analyste en automatisation de la sécurité
de systèmes et de logiciels sécurisés. • Cryptanalyste/cryptographe
Étant donné l’orientation de ce domaine d’activité, l’accent est
Il s’agit d’une branche très technique de l’emploi en cybersécurité. mis sur l’application d’une compréhension technique approfondie
La majorité de ce travail est la responsabilité des ingénieurs en dans un contexte opérationnel afin de mieux soutenir les résultats
informatique (2147), des programmeurs informatiquestechniciens organisationnels en matière de cybersécurité.
chargés de tester les systèmes d’information et des développeurs
Les compétences, y compris les compétences CCH essentielles
de médias interactifs (2174), des techniciens chargés de tester les
pour ces spécialisations, sont incluses dans la Norme professionnelle
systèmes d’information (2283), et des analystes et consultants en
nationale. Les résultats d’apprentissage suivants sont le fruit d’une
informatique (2171), en plus des postes suivants au sein de cette
analyse de tous les postes de cette catégorie et sont fondamentaux
Norme professionnelle nationale :
pour ceux qui suivent des programmes spécialisés de cybersécurité
• Architecte de la sécurité menant à un grade, un diplôme ou un certificat. Ces programmes
seraient également intéressants pour ceux qui offrent des programmes
• Ingénieur en sécurité/technologue en ingénierie de la sécurité techniques appliqués menant à un grade, un diplôme ou un certificat,
• Évaluateur de logiciels sécurisés et dont le contenu de cybersécurité est limité ou inexistant.
• Spécialiste de test et d’évaluation de sécurité Les résultats d’apprentissage sont présentés dans une
séquence d’enseignement suggérée.
• Analyste des systèmes de technologie opérationnelle
TECHNATION 14No DOMAINE DE RÉSULTATS D’APPRENTISSAGE
SOUS-CATÉGORIE du COMPÉTENCE COMPÉTENCES CLÉS À l’issue du programme d’études, les apprenants
RA (dérivé en partie de NICE) devraient être en mesure de faire ce qui suit.
Gestion des risques, Évaluation des risques,
1 Évaluer les risques informatiques de l’organisation (TI et TO).
sensibilisation des organisations relations avec les clients
Gestion des risques,
2 Analyse des besoins Définir les besoins opérationnels de l’organisation (TI et TO).
analyse des besoins
Gestion des risques, Communications, relations avec Coordonner la recherche des exigences de sécurité
3
gestion des relations les clients, recherche et leur collecte.
Gestion des risques
Fournir des conseils techniques de base et une expertise
Gestion des risques, Communications, évaluation des
4 dans l’élaboration de politiques, d’exigences et de pratiques
analyse des besoins risques, pensée critique
de gestion des risques.
Donner des conseils sur les aspects techniques
Gestion des risques,
5 Évaluation des risques élémentaires de la gestion des risques par des tiers
surveillance par un tiers
et de la chaîne d’approvisionnement (TI et TO).
Gestion des risques, Analyse des menaces,
1 Évaluer les menaces et les risques.
analyse des menaces pensée critique et systémique
Évaluation de la Gestion des risques, Analyse des menaces,
2 Repérer les menaces selon le contexte.
menace et des risques analyse des menaces pensée critique
Analyse des menaces,
3 Modélisation et simulation Participer à des activités de modélisation des menaces.
modélisation des systèmes
Interprétation de documents Interpréter et déterminer les exigences juridiques,
Conformité : Législation,
Conformité 1 ainsi que de normes juridiques réglementaires et de conformité aux normes dans
gouvernement et jurisprudence
et réglementaires, pensée critique le contexte opérationnel.
TECHNATION 15Donner des conseils sur les exigences, les politiques,
Sécurité des systèmes Recherche, analyse des besoins, les plans et les activités techniques de sécurité de base
1
informatiques et des réseaux communications (TI et TO). Établir des concepts qui incluent la sécurité
dès le départ.
Déterminer les exigences de sécurité tout au long des
Gestion de projets, passation
2 Gestion de projet, analyse des besoins phases du cycle de développement de système (CDS)
de marchés et achats
et du cycle de la vie du projet.
Conseils techniques
- gestion de projets Sécurité des systèmes
Mesure du rendement et analyse Déterminer les mesures et les paramètres
et de programmes 3 informatiques et des réseaux,
des programmes de base du programme de sécurité technique.
gestion de programme
Étudier les exigences techniques de sécurité des activités
Analyse de la menace, analyse des
4 Passation de marchés et achats de passation de marchés et tout au long de la chaîne
besoins, communications
d’approvisionnement, et fournir des conseils.
Résoudre des problèmes dans des contextes de
5 Résolution de problèmes Résolution de problèmes complexes
cybersécurité complexes, peu importe le domaine.
Donner des conseils sur l’architecture de la sécurité
Architecture d’entreprise, sécurité Pensée systémique, pensée critique,
de base et les principes techniques qui appuient les
1 des systèmes informatiques et des analyse des besoins, modélisation
objectifs organisationnels. Établir des concepts qui
réseaux, gestion de programme des systèmes
incluent la sécurité dès le départ.
Déterminer les exigences et les contrôles de sécurité
Sécurité des systèmes
Analyse des besoins, résolution technique de base pour les données, les systèmes,
2 informatiques et des réseaux,
de problèmes, communications les applications et les appareils dans leur contexte
gestion de programme
Conseils techniques opérationnel (TI et TO).
- infrastructure
de sécurité Appliquer les concepts de sécurité, les modèles
3 Cyberdéfense Pensée critique
de référence et les normes au contexte opérationnel.
Architecture d’entreprise, sécurité Fournir des conseils sur les concepts fonctionnels
Pensée systémique et critique,
4 des systèmes informatiques et des et techniques des réseaux et systèmes, et solutions
résolution de problèmes
réseaux, gestion de programme de cybersécurité.
Essai de fonctionnement
5 Essai et évaluation Aider aux processus d’essai et d’évaluation de la sécurité.
du système, évaluation
TECHNATION 16Fournir des conseils techniques durant la planification de la
Planification, communications, gestion des incidents. Fournir des conseils techniques et des
1 Gestion des incidents
relations avec les clients recommandations sur les menaces à la cybersécurité et les
Conseils techniques mesures d’atténuation.
- gestion des
incidents de Gestion des risques, Mesure du rendement et analyse Participer et fournir des conseils techniques sur l’évaluation
2
cybersécurité gestion des incidents des programmes des risques organisationnels et des dommages.
Planification, communications, Planifier la continuité des activités et des interventions en cas
3 Continuité des activités
relations avec les clients de catastrophe.
Fournir des communications techniques, y compris la
1 Communications Rédaction technique et commerciale rédaction de rapports pour traiter des questions techniques
Conseils techniques qui touchent plusieurs domaines.
- communications
de sécurité
Rédiger et fournir des exposés et des rapports à différents
2 Communications, présentation Présentation
niveaux d’auditoire (utilisateurs, gestionnaires, cadres).
Analyse, communications, Examiner les activités d’évaluation de la sécurité
1 Évaluation de la sécurité
pensée critique, évaluation et d’autorisation.
Utilisation et calibrage des critères
Collecter, analyser, vérifier et valider les données d’essai;
Évaluation 2 Essai et évaluation d’évaluation et des outils d’essai,
tirer les conclusions des données et des résultats d’essai.
de la sécurité pensée critique
Évaluation des systèmes et outils Évaluer l’efficacité des systèmes et des logiciels de
Défense des réseaux
3 utilisés, résolution de problèmes, cybersécurité; recommander des façons de faire face
informatiques
communications aux menaces organisationnelles et d’atténuer les risques.
Pensée systémique et critique, Participer aux activités de gestion des vulnérabilités
1 Évaluation de vulnérabilité
évaluation de la menace et des risques et fournir des conseils élémentaires.
Gestion des
vulnérabilités Évaluation des risques de vulnérabilité;
2 Évaluation de vulnérabilité évaluation, utilisation et interprétation Mener des évaluations de vulnérabilité.
des outils d’évaluation de vulnérabilité
Formation, sensibilisation Analyse des besoins en formation, Aider à l’élaboration et à la mise en œuvre d’activités
Formation 1
à l’organisation méthodes de formation de formation et de sensibilisation à la cybersécurité.
TECHNATION 17Exploitation et maintenance
Résultats d’apprentissage
Cette catégorie de travail participe Pour le spécialiste en cybersécurité travaillant dans cette catégorie
de travail, il doit non seulement apporter son expertise technique, mais
à l’exploitation et au maintien de la aussi s’adapter étroitement aux exigences opérationnelles quotidiennes
de l’organisation en matière de TI. Cela implique généralement, outre
sécurité des systèmes et des données, les compétences techniques, de meilleurs services aux clients et de
meilleures compétences en matière de communication.
conformément aux spécifications Les compétences, y compris les compétences CCH
de l’architecture et de la conception essentielles pour ces spécialisations, sont incluses dans la
Norme professionnelle nationale. Les résultats d’apprentissage
de la sécurité. suivants sont le fruit d’une analyse de tous les postes de cette
catégorie; ils sont destinés à servir dans le cadre de programmes
de diplomation ou de certification existants en informatique
Toutes ces fonctions sont exercées principalement dans les métiers liés et en sécurité informatique qui appuient ces postes, ainsi que
aux technologies de l’information (CNP 0213, 2147, 2174, 2171 et 2283) sur d’autres. Les résultats d’apprentissage sont placés dans l’ordre
le marché du travail canadien, à l’exception de celles indiquées ci-dessous d’enseignement suggéré.
et qui se sont établies comme des métiers qui dépendent de plus en plus
des systèmes connectés à l’Internet et des menaces associées :
• Spécialiste du soutien à la gestion de l’identité et de l’authentification
• Spécialiste du chiffrement/soutien à la gestion des clés
• Spécialiste de la protection des données/agent
de la protection de la vie privée
TECHNATION 18No DOMAINE DE RÉSULTATS D’APPRENTISSAGE
COMPÉTENCES
TÂCHE COMMUNE SOUS-CATÉGORIE du COMPÉTENCE À l’issue du programme d’études, les apprenants
CLÉS
RA (dérivé en partie de NICE) devraient être en mesure de faire ce qui suit.
Évaluer, contextualiser et organiser les demandes
Administration du système, Tri et hiérarchisation
1 et les enquêtes en niveaux de priorités pour dégager
gestion des incidents des priorités
des résultats exploitables.
Communications, Rassembler des mesures efficaces et fournir
2 Communication
résolution de problèmes un processus de résolution ou d’escalade.
Service
Service client et
soutien technique Résolution de problèmes, Gérer les demandes et les requêtes des clients
Client ou ligne d’aide 3 Gestion de personnel
administration du système sans retard et en situation stressante.
Fournir l’avis d’un analyste/opérateur de système
sur l’intervention en cas d’incident et la planification
4 Réponse aux incidents Coordination
de la continuité des affaires pour les systèmes que
vous exploitez.
Communication, Fournir l’avis d’un analyste de système sur les
Confidentialité et protection
examen et opérations de TI, y compris la conception, la création,
1 de données, gestion
interprétation l’évaluation et la communication des politiques
des politiques
des politiques de gouvernance et de confidentialité des données.
Fournir l’avis d’un analyste de système sur la
conception, la création et l’évaluation de systèmes
(1) qui garantissent que les données au repos ou en
mouvement sont cryptées, (2) qui relient les pratiques
Protection et confidentialité de gouvernance des données (c’est-à-dire les droits
Gestion des données,
des données, gestion d’accès, la collecte, la conservation, etc.) aux règles
2 classification de
des risques, gestion de de protection de la vie privée, à la conformité de
Administration de l’information
Systèmes de données l’identité l’industrie et aux exigences législatives dans les
bases de données
infrastructures sur place ou dans le nuage. Repérer
et évaluer les systèmes de données, les menaces,
les vulnérabilités et les mesures d’atténuation à des
fins de gestion des risques.
Faire participer les analystes de système
à la conception, à la création et à l’évaluation
Gestion des de systèmes (1) qui relient les postes et les
Gestion des données,
3 processus, analyse responsabilités aux systèmes de RH pour garantir
gestion de l’identité
des données qu’un changement de poste modifie les droits
d’accès automatiquement, et (2) qui documentent
les données et les processus systèmes.
TECHNATION 19Recherche,
1 Gestion du savoir Classer les résultats de l’analyse.
analyse des données
Modéliser des données, structurées
Gestion du savoir,
2 Cartographie du savoir ou non, sous forme de diagrammes
gestion des données
qui reflètent le contexte et les besoins.
Outils de savoir Participer à la conception, à la création
Gestion du savoir et à l’évaluation de la documentation
Gestion du savoir, Planification de
Services du savoir 3 des systèmes et des pratiques offrant
gestion des données l’information
des perspectives d’exploitation
et de maintenance.
Participer à la conception, à la création et à
l’évaluation de rapports et d’un système de
Rapports,
4 Gestion du savoir compte rendu pour accéder à l’information
communications
stockée et dérivée, et la présenter.
Comprendre les heuristiques de Nielsen.
Bâtir un système dont les composants
1 Gestion réseau Gestion technique matériels et logiciels réseau sont
interconnectés.
Organiser et hiérarchiser les exigences
techniques en tâches pouvant faire
2 Gestion réseau Gestion de projet
l’objet d’une mesure coordonnée
Réseaux en temps opportun.
Pare-feu (matériel et logiciel) Fournir des conseils élémentaires
Gestion réseau, conception techniques et sur les systèmes pour la
3 Configuration
Routeurs, interrupteurs de l’infrastructure conception, la création et l’évaluation de
Services réseau et concentrateurs réseaux informatiques de bout en bout.
Ponts et multiplexeurs Évaluation des Fournir des conseils élémentaires
vulnérabilités, protection techniques et sur les systèmes pour
Serveurs 4 des systèmes et réseaux Essais la conception, la création et l’évaluation
informatiques, essai et d’exigences, fonctionnelles ou non,
évaluation de système et les tests de vulnérabilité.
Fournir des conseils élémentaires
techniques et sur les systèmes pour la
Gestion réseau, conception
5 Maintenance conception, la création et l’évaluation ainsi
de l’infrastructure
que pour les procédures de maintenance,
les calendriers.
TECHNATION 20Choisir des applications logicielles
1 Administrateur du système Installation
qui répondent à des exigences définies.
Garantir la configuration optimale
Administration et intégration
du matériel/des logiciels pour répondre
2 du système, évaluation Configuration
aux exigences de sécurité et réduire les
de vulnérabilité
vulnérabilités.
Matériel Administration du système,
Administrateur Faire appliquer les politiques
3 systèmes informatiques/ Administration
du système administratives dans les systèmes utilisés.
Logiciel sécurité des réseaux
Enquêter, analyser et lancer la résolution
Administration du système,
4 Dépannage ou l’atténuation des problèmes matériels
résolution de problèmes
et logiciels.
Fournir des rapports techniques précis,
Administration du système,
5 Rapports concis, bien ciblés et en temps opportun
communications
sur les problèmes relatifs aux systèmes.
Gestion réseau, conception
Traduire les spécifications,
1 de l’infrastructure, Analyse technique
techniques ou non, en cas d’utilisation.
communications
Gestion réseau, conception Classer les exigences en fonction des
2 de l’infrastructure, Analyse de l’information priorités tout en restant aligné sur les
communications exigences, techniques ou non.
Exigences organisationnelles
Rédiger des documents sur les exigences
Analyse de système Exigences système techniques des systèmes qui sont adaptés
au public cible.
Systèmes informatiques Gestion réseau, conception
3 de l’infrastructure, Communication
Fournir un aperçu et une perspective
communications
technique à divers publics cibles.
Présenter le résultat des analyses
de système à la direction.
Gestion réseau, Participer aux activités de gestion
4 Gestion de projet
gestion de projet de projet conformément au mandat confié.
TECHNATION 21Protéger et défendre
Résultats d’apprentissage
Cette catégorie de travail soutient Bien que des personnes exercent des emplois connexes depuis des
décennies, les principaux postes n’ont pas été identifiés comme des
les opérations de cybersécurité professions, mais ont plutôt été typiquement associés à des groupes
professionnels : gestionnaires des systèmes informatiques (CNP 0213);
qui englobent la protection active, analystes et consultants/consultantes en informatique (2171);
et techniciens chargés de tester les systèmes d’information (2283).
la détection des événements, Les personnes appartenant à cette catégorie de travail se concentrent
donc sur l’exploitation, la maintenance et la gestion des technologies,
la réponse aux incidents et des processus et du personnel de cybersécurité, ce qui nécessite une
la récupération des systèmes expérience unique et des connaissances, compétences et habiletés
distinctes qui les différencient de leurs autres collègues des TI.
numériques organisationnels.
TECHNATION 22Protéger et défendre
(suite)
Voici les métiers qui aujourd’hui appuient les opérations de cybersécurité : • Analyste d’évaluation de vulnérabilité
• Gestionnaire de la sécurité des systèmes d’information • Testeur de pénétration
(opérations de cybersécurité) • Analyste en investigation informatique numérique
• Analyste des opérations de cybersécurité (dans le cadre (dans le cadre de la NICE, connu sous le nom d’analyste
de la NICE, connu sous le nom d’analyste en cyberdéfense) en investigation informatique numérique de la cyberdéfense)
• Spécialiste du soutien aux infrastructures des opérations Les compétences, y compris les compétences CCH essentielles
de cybersécurité (dans le cadre de la NICE, connu sous le nom pour ces spécialisations, sont incluses dans la Norme professionnelle
de spécialiste du soutien aux infrastructures de cyberdéfense) nationale. Les résultats d’apprentissage suivants sont le fruit d’une
• Responsable des incidents de cybersécurité (dans le cadre analyse de tous les postes de cette catégorie; ils sont destinés
de la NICE, connu sous le nom de responsable des incidents à appuyer les composantes éducatives initiales dans le cadre
de cyberdéfense) d’un grade, diplôme ou certificat spécialisé en opérations de
cybersécurité. Les résultats d’apprentissage sont présentés
• Technicien des opérations de cybersécurité dans une séquence d’enseignement suggérée.
TECHNATION 23No DOMAINE DE RÉSULTATS D’APPRENTISSAGE
À l’issue du programme d’études,
TÂCHE COMMUNE SOUS-CATÉGORIE du COMPÉTENCE COMPÉTENCES CLÉS les apprenants devraient être
RA (dérivé en partie de NICE)
en mesure de faire ce qui suit.
Conscience organisationnelle,
évaluation des risques et
de la menace, interprétation Diriger la planification des opérations
1 Opérations de sécurité
des exigences juridiques et de cybersécurité (niveau analyste).
réglementaires, communications,
relations avec les clients
Analyse de menace, du trafic,
pensée critique et systémique,
Mener des activités d’analyse des
2 Opérations de sécurité outils d’analyse cybernétique,
opérations élémentaires de sécurité.
détection et identification des
activités anormales/malveillantes
Surveiller, analyser et Analyse de menace, pensée
Exploiter son savoir des auteurs
déterminer les menaces Analyse de menace, critique, esprit de contradiction,
Analyse de menace 3 de menace et son esprit de contradiction
et les incidents opérations de sécurité analyse élémentaire des logiciels
pour tous les processus.
de cybersécurité. malveillants et outils
Interprétation de l’information Interpréter le renseignement
Analyse du
4 sur les menaces, recherche en sur la cybermenace et l’appliquer
renseignement
cybermenace, pensée critique au risque organisationnel.
Fournir des conseils (niveau analyste)
et contribuer aux activités d’évaluation
des risques liés aux menaces et aux
Gestion des risques, Évaluation des risques, vulnérabilités organisationnelles,
5
évaluation de vulnérabilité pensée critique analyser et évaluer l’efficacité des
contrôles de sécurité visant à atténuer
les risques organisationnels et à
remédier aux problèmes.
Systèmes et logiciels Analyse de menace, pensée Installer et configurer des systèmes
1
de cybersécurité critique et systémique et des outils communs de cybersécurité.
Installer, tester,
maintenir, surveiller Systèmes et logiciels Dépannage, pensée critique, Dépanner les systèmes et les applications
Systèmes et logiciels 2
et gérer les systèmes de cybersécurité résolution de problèmes de sécurité.
de sécurité
et logiciels de
cybersécurité. Évaluation des systèmes et Surveiller, gérer et rendre compte
Systèmes et logiciels
3 des outils utilisés, mesure de la de la performance des systèmes
de cybersécurité
performance, communications et outils de cybersécurité.
TECHNATION 24Planification, pensée critique,
communications, conscience Fournir des conseils (niveau analyste)
1 Gestion des incidents organisationnelle, protocoles et contribuer aux activités de
de gestion de crise, relations avec planification de la gestion des incidents.
les clients
Analyse des intrusions,
des causes profondes et des
Trier et mettre en place des
2 Gestion des incidents risques, utilisation des outils
protocoles de réponse aux incidents.
et interprétation, enregistrement
et rapports
Gérer l’assistance en cas Gestion des
Fournir des conseils (niveau analyste)
d’incident de cybersécurité. incidents
Gestion des risques, Mesure du rendement et contribuer aux activités d’évaluation
3
gestion des incidents et analyse des programmes des risques organisationnels
et des dommages.
Évaluation des preuves,
Diriger la collecte des preuves
Enquête sur les incidents maintien de la chaîne de contrôle,
4 informatiques pour assister
de cybersécurité utilisation des outils de collecte
l’enquête des services policiers.
de preuves, communications
Outils d’analyse, Fournir des conseils
5 PCA/PIC, récupération d’essai et d’évaluation, (niveau analyste) et contribuer
évaluation de vulnérabilité aux activités de récupération.
Évaluer l’efficacité des systèmes
Évaluation des systèmes et outils de cybersécurité et des logiciels
Fournir des conseils Défense des réseaux
1 utilisés, résolution de problèmes, d’exploitation et recommander des
techniques et des informatiques
communications façons de faire face aux menaces
recommandations sur les organisationnelles.
Conseils techniques
menaces opérationnelles
à la cybersécurité et les
mesures d’atténuation. Analyse de menace, pensée Fournir des conseils (niveau analyste)
2 Cyberdéfense critique et systémique, et contribuer aux activités d’atténuation
conscience organisationnelle des menaces à la cybersécurité.
Développer, fournir
et appuyer les efforts Aider à l’élaboration et à la mise
Formation, sensibilisation Analyse des besoins en formation,
de formation et de Formation 1 en œuvre d’activités de formation et
à l’organisation méthodes de formation
sensibilisation en matière de sensibilisation à la cybersécurité.
de cybersécurité.
TECHNATION 25Annexe A
Contributeurs
George Al-Koura, ADGA Nicholas Johnston, Collège Sheridan Ron McLeod, Collège communautaire
de la Nouvelle-Écosse
Peter Aruja, ADGA Tahmeed Khan, ADGA
Karen Murkar, consultante
Joel Black, ADGA Kathy Knight, Institut des métiers
et de la technologie du Manitoba (MITT) Jeff Musson, Dynamite Network Solutions
David Cramb, Université Ryerson
David Knox, Université d’Ottawa John Olaonipekun, ADGA
Kevin Deveau, Centennial College
Murray Lee, BulletProof Krishna Raj Kumar, Service de cybersécurité
Dillon Donahue, CyberNB et de protection de la vie privée du cabinet
Sophia Leong, Université d’Ottawa CGI dans l’Atlantique
Rushmi Dua Hasham, Rogers Cybersecure
Catalyst, Université Ryerson Heather MacLean, EC-Council Canada Rob Samuel, Amazon Web Services (AWS)
Ed Dubrovsky, Université York Angela McAllister, Centre canadien Juliana Scharrer, Rogers Cybersecure
pour la cybersécurité Catalyst, Université Ryerson
Anthony Elton, Amazon Web Services (AWS)
Alan McCafferty, Groupe de conseil Sumbal Syed, Collège TriOS
Isabelle Hertanto, ADGA stratégique, myscg
Ramy Taraboulsi, VeritableSoft Innovations
TECHNATION 26Financé en partie
par le gouvernement
du CanadaVous pouvez aussi lire
