CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

MANUEL D’ÉVALUATION ET DE
CERTIFICATION DU CANDIDAT AU CQPM :

« PRÉVENTEUR (TRICE) EN CYBERSÉCURITE DES

SYSTEMES D’INFORMATION »

Source image : Google Images

©GIM - 2016
1/17
 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

SOMMAIRE

1. Généralités ........................................................................................................................................................3

2. Prérequis nécessaires pour accéder à la qualification professionnelle, et par conséquent non retenus dans
les référentiels du CQPM ..........................................................................................................................................5

3. Objectif professionnel du CQPM .......................................................................................................................6

4. Définition et finalité des capacités professionnelles .........................................................................................8

5. Définition et finalité des activités du CQPM ...................................................................................................11

6. Méthodologie d’évaluation à suivre selon les deux voies d’accès au CQPM ..................................................12

6.1 Processus d’inscription .........................................................................................................................12

6.2 Parcours de formation professionnelle.................................................................................................12

6.2.1 Processus de suivi du dossier d’évaluation .........................................................................12

6.2.2 Préconisations du Centre de Ressources en matière de modalités d’évaluations ..............13

6.2.3 Grilles d’évaluations ............................................................................................................14

6.2.4 Avis de l’entreprise .............................................................................................................15

6.3 Démarche de validation des acquis de l’expérience (VAE) ...................................................................15

7. GLOSSAIRE ......................................................................................................................................................16

©GIM - 2016
2/17
 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

1. Généralités

Nous vivons dans un monde de menace. Ces menaces prennent une forme explicite, de la simple malveillance au
terrorisme et au crime organisé. Ou une forme implicite, comme les défaillances matérielles, les erreurs humaines ou les
caprices de la nature.

Les systèmes d’information prennent une place de plus en plus importante dans l’activité des entreprises ainsi que dans la
vie privée. On observe dorénavant un développement de la virtualisation, l’arrivée à maturité de la mobilité, et l’explosion
du Cloud Computing. Ce dernier ouvre toujours plus les systèmes d’information vers l’extérieur, et ne fera que renforcer la
criticité de la sécurité (site internet, ordinateur portable, smartphone, réseau sociaux tels que twitter ou Facebook, ainsi
que les objets connectés comme les véhicules, les réfrigérateurs, …).

Le facteur de vulnérabilité augmente donc vis-à-vis de cette modification de notre mode de vie. Plus de 80% des
entreprises françaises ont déjà été victimes de vols d’information. En 2012, ce préjudice avait été estimé entre 780 000€ et
1,19 M€. La firme McAfee avait estimé entre 300 et 1000 milliards de dollars les pertes mondiales engendrées par les
cybercriminels.

La sécurité des réseaux d’information est aussi critique pour la souveraineté nationale :
- espionnage industriel et militaire, altération des services clés (énergie, réseaux, finance,…),
- cyber terrorisme ;
- cyber criminalité, cyber défense,
- vol d’ordinateurs dans des chambres d’hôtels ;
- pénétration d’agents à l’occasion d’une visite, piratage de technologie…

Quelques définitions préalables :

Cyber : est l’apocope du mot « Cybernétique », Science de l'action orientée vers un but, fondée sur l'étude des processus
de commande et de communication chez les êtres vivants, dans les machines et les systèmes sociologiques et
économiques (Source : dictionnaire LAROUSSE).

Sécurité : Situation dans laquelle quelqu'un, quelque chose n'est exposé à aucun danger, à aucun risque, en particulier
d'agression physique, d'accidents, de vol, de détérioration (Source : dictionnaire LAROUSSE).

Cyberdéfense : Priorité stratégique pour la souveraineté nationale, la cyberdéfense représente l’avenir de la Défense dans
un milieu virtuel et sans frontière.

Cybercriminalité : La cybercriminalité est le terme employé pour désigner l'ensemble des infractions pénales qui sont
commises via les réseaux informatiques, notamment, sur le réseau Internet (fraude à la carte bleu sur Internet, vente
d’objets volés ou contrefaits, piratage d’ordinateur, vente de produits illicites…) et aux personnes (diffusion d’image
pédophiles, injures à caractère racial, atteintes à la vie privée…).
Les cybercriminels s’intéressent à tout ce qui fait la valeur de votre patrimoine ou de celui de votre entreprise. Les
cybermenaces peuvent émaner d’individus isolés (hacker) ou de groupes.

Le Web connaît une croissance exponentielle. Tout comme le nombre de cyber-attaques. Chaque jour, on estime
qu’environ 3 milliards d’utilisateurs visitent l’équivalent d’1 milliard de sites internet (estimation au mois de septembre
2014). Une estimation en 2012 précisait que 556 millions de consommateurs avait été victimes d’un cybercriminel.
Aujourd’hui, les hackers sont plus persévérants et davantage focalisés sur leurs cibles que par le passé. Ils représentent une
menace croissante qu’il est indispensable d’intégrer.

Dans ce contexte, certaines entreprises fournissent toutes les informations vitales de sécurité requises pour prévenir et
détecter les attaques, mais également pour réagir rapidement le cas échéant.

Quelques types d’attaques :

- attaque par déni de service (saturation du site internet, inaccessibilité)

- espionnage (cheval de Troie)
- bombe informatique (destruction des données d’un Système d’Information)
- les rançons logicielles : blocage d’un ordinateur avec demande de rançon.
- les technologies sans contact : exemple le paiement dématérialisé

©GIM - 2016
3/17
 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

Exemples d’attaques informatiques :

1983 : Kevin Mitnick s’introduit dans le réseau interne du Pentagone, il devient le symbole des crackers informatiques.
1994 : Vladimir Levin s’introduit dans la base de données de Citybank et détourne 10 millions de dollars.
2010 : Iran : des machines pilotées par des équipements Siemens dans des installations nucléaires sont infectées par le
virus Stuxnet.
2011 : 77 millions d’identifiants et de coordonnées bancaires sont dérobés via la Play-Station de Sony.
2012 : l’Elysée est victime d’une intrusion. Le groupe pétrolier ARAMCO : 30 000 ordinateurs infectés par un virus
informatique.
2012 : Pour sensibiliser et conseiller la nation et l’armée française sur les problématiques de cyberdéfense et de
cybersécurité, il se crée le réseau de Réserve Citoyenne Cyberdéfense (RCC).
2013 : L’opérateur téléphonique VODAFONE se fait voler les coordonnées de 2 millions de client. Intrusion sur les serveurs
d’ADOBE, 38 millions de comptes clients et les codes sources des logiciels sont compromis.
2014 : Le groupe SAFRAN a été contraint d’épaissir sa cuirasse après des cyber attaques des sites d’une de ses filiales, le
motoriste SNECMA. L’intrusion d’origine indéterminée avait conduit les services de sécurité à neutraliser puis retirer une
dizaine d’ordinateur du réseau de l’entreprise.
2014 : SONY est piraté. Il en résulte la diffusion en ligne de cinq films du studio pas encore sortis, du script du prochain
James Bond et des données personnelles de 47 000 employés. Ces documents ont aussi révélé des emails de dirigeants de
Sony.

L’Ile de France, où 144 cas d’ingérence ont été mis à jour en 2013, concentre près de 20% des attaques. Les secteurs les
plus ciblés étant l’aéronautique, l’énergie nucléaire, les télécommunications, l’aérospatiale, la robotique et les machines-
outils.

Les Architectures orientée services, le Cloud, le Web 2.0, etc. impliquent une imbrication de plus en plus forte. Ils rendent
désormais nécessaire la mise en place d’une politique de sécurité au niveau de la donnée. Cette approche complète la
sécurité « traditionnelle » dite « paramétrique » : anti-virus, pare-feu, gestion des identités,…

Du niveau sensible mais non classifié jusqu’au niveau Confidentiel Défense, des contre-mesures techniques et
organisationnelles doivent être mise en œuvre pour garantir la confidentialité, l’intégrité et la disponibilité des systèmes et
des informations qu’ils contiennent.

La sécurité n’est plus vue comme un monde à part mais comme une composante essentielle et intrinsèque de tout système
d’information. Il est vu comme étant un moyen de réduire les risques et non comme étant un moyen de retour sur
investissement. Les compétences en sécurité sont souvent très spécifiques ce qui fait des populations assez à part.

Les acteurs dominants le marché de la cybersécurité sont les israéliens et les américains.
Les industriels français se distinguent par leur discrétion. La France est championne incontestée de la carte à puces. Les
entreprises françaises occupent le terrain : THALES, BULL, ORANGE, AIRBUS DEFENCE AND SPACE, GEMALTO, MORPHO,
OBERTHUR TECHNOLOGIES…

A titre d’exemple, THALES dispose aujourd’hui 1 500 experts en cybersécurité, plus de 40 ans d’expérience dans la
protection d’informations classifiées jusqu’au niveau Secret défense, ainsi que des produits et services déployés dans plus
de 50 pays.
Ces clients sont 19 des 20 plus grandes banques mondiales, 4 des 5 plus grandes compagnies pétrolières, dans 27 pays
membres de l’OTAN.

Pour en savoir plus, quelques capsules vidéo :

https://www.youtube.com/watch?v=jWmE-8BZab8&feature=player_embedded
http://bfmbusiness.bfmtv.com/mediaplayer/video/la-cybersaccuritac-au-caur-des-dacfis-des-entreprises-arnaud-cassagne-
stacphane-dubreuil-et-michaal-bittan-dans-01business-2709-34-322083.html

©GIM - 2016
4/17
 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

2. Prérequis nécessaires pour accéder à la qualification professionnelle, et par

conséquent non retenus dans les référentiels du CQPM

Dans le domaine des réseaux :

Avoir des notions élémentaires sur les réseaux, c’est-à-dire :
- Savoir ce qu’est un LAN, un MAN, un WAN ;
- Connaitre la terminologie des réseaux ;
- Comprendre le modèle OSI.
Comprendre l’architecture TCP/IP ;
Savoir ce qu’est un adressage public et privé, comprendre les mécanismes de translations d’adresses.

Dans le domaine des systèmes :

Avoir des notions élémentaires sur les architectures Windows
- Comprendre la plateforme Windows ;
- Etre capable de mettre en place une architecture AD ;
- Savoir mettre en place une stratégie GPO ;
- Comprendre les concepts essentiels d’une PKI ;
- Etre capable de déployer un serveur Windows 2008 ;
- Comprendre l’architecture AD multi-forêts ;
- Comprendre les accès Internet depuis une architecture Windows.
Avoir des notions élémentaires sur les architectures LINUX
- Savoir gérer les utilisateurs et les droits ;
- Savoir gérer les fichiers et disques durs ;
- Savoir gérer les packages et les installations ;
- Savoir configurer le réseau ;
- Savoir réaliser des sauvegardes/restaurations.

Dans le domaine du développement

Avoir des notions de base en algorithmie :
- Savoir construire, optimiser un algorithme
- Connaitre les algorithmes classiques
Langage C :
- Connaitre la syntaxe de base, connaitre les bibliothèques standards
- Savoir réaliser un programme simple
- Savoir faire des fonctions et passer des arguments

Dans le domaine de la sécurité :

Connaitre les bases des architectures sécurisées ;
Comprendre ce que sont la confidentialité, la disponibilité, la pérennité, l’intégrité, la traçabilité et la non
répudiation. Avoir des notions sur les techniques d’attaque, c’est à dire :
- Comprendre les attaques des mots de passe ;
- Comprendre les attaques d’adressage IP ;
- Comprendre les attaques le déni de service ;
- Comprendre les attaques de type Man in the Middle ;
- Comprendre le fonctionnement du débordement de tampon ;
- Connaitre les différentes failles matérielles ;
- Comprendre les attaques par ingénierie sociale.
Connaitre les différentes menaces et malwares.

Dans le domaine des Systèmes d’informations :

Comprendre ce qu’est un système d’information ;
Comprendre les principes de fonctionnement unifié au sein d’un SI ;
Comprendre les différents dispositifs de protection usuels :
- Connaitre les anti-virus et connaitre les Firewall ;
- Connaitre les Proxy ;
- Connaitre le principe de fonctionnement des VPN.

©GIM - 2016
5/17
 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

3. Objectif professionnel du CQPM

Téléchargez ici le référentiel complet du CQPM

Le terme cybersécurité est employé fréquemment dans les entreprises et les organisations. La cybersécurité
englobe plus largement les aspects juridiques, techniques et administratifs liés à la sécurité dans le monde de
l’informatique, des réseaux et des Systèmes d’Information (SI). La cybersécurité consiste à garantir la sécurité
informatique des infrastructures techniques du SI de l’entreprise ou de l’organisation.

Le (la) titulaire du CQPM occupe une grande variété d’emplois liés à la sécurité des systèmes d’information. Le
(la) préventeur (trice) en cybersécurité exerce dans toute structure, entreprise ou organisation sujettes aux
menaces d’éventuels incidents de sécurité informatique ou de cyber-attaques, comme expert en test
d’intrusion ou de compromission du SI, comme responsable de la sécurité informatique, ou encore comme
consultant en organisation de la Sécurité des Systèmes d’Information (SSI).

Le périmètre d’intervention du (de la) préventeur (trice) en cybersécurité des SI comprend notamment :
- l’architecture technique sécurité afin de structurer les choix techniques, technologiques et
méthodologiques d’un système ou logiciel répondant à des exigences de sécurité ;
- l’audit qui permet de mettre en avant les éventuelles failles de sécurité tant d’un point de vue
utilisation que déploiement ou paramétrage, et ainsi de préconiser des solutions de contournement ou
de correction des failles mises en exergue.
- le droit des technologies de l’information et de la communication ainsi que des données personnelles ;
- le hacking social afin de permettre l’identification des divers chemins d’intrusions et de tracer le profil
des attaquants ainsi que leurs méthodes de travail.

Selon la taille et la nature de l’entreprise la fonction peut prendre des orientations différentes, mais dans tous
les cas de figure, la maîtrise des techniques et la capacité à assumer des responsabilités sont indispensables à
l’exercice du métier de préventeur (trice) en cybersécurité.

Les postes occupés peuvent être classés en trois grands domaines :

- l’exploitation des infrastructures techniques de sécurité, avec un engagement sur la qualité des services
délivrés. Il assure dans ce cas la responsabilité de l’exploitation en menant un ensemble d’actions visant
à offrir une qualité de service en termes de sécurité. Les activités de nature technique et celles liées au
management sont menées seul ou au sein d’un groupe ou d’un service ;
- l’évolution de ces infrastructures, en terme technologique. Il participe alors à l’évolution de
l’infrastructure sécurité de l’entreprise dans un souci d’amélioration de la sécurité. Il réalise, en totalité
ou partiellement, l’étude et la conception des évolutions des solutions techniques répondant aux
besoins nouveaux exprimés. Les activités sont essentiellement de nature technique et celles liées à
l’évolution du système sont menées selon un mode projet la plupart du temps ;
- l’expertise technique, réglementaire et de jurisprudence, ou organisationnelle et des processus de
gestion lié à la cybersécurité.

Les activités menées s’inscrivent dans le cycle de vie des opérations de l’exploitation des infrastructures
informatiques et dans l’évolution de celles-ci. Dans ce cadre, elles couvrent toutes les phases depuis l’analyse
du cahier des charges à la conception du système sécurité, jusqu’à la mise en production, puis son exploitation.

A partir de directives précises, le (la) préventeur (trice) en cybersécurité doit réaliser des opérations telles que :
- traduire les besoins des entreprises à partir du cahier des charges et élaborer l’architecture sécurité du
SI correspondant ;
- maquetter le SI sécurisé à partir des exigences de l’entreprise ou de l’organisation ;
- déployer le SI sécurité au sein de l’entreprise en prenant en compte la Politique de Sécurité des
Systèmes d’Information (PSSI) ;
- élaborer des scénarios d’optimisation à partir de procédures, d’instruction, de patch de sécurité ;

©GIM - 2016
6/17
 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

- administrer et exploiter la sécurité du SI à partir des procédures et des instructions ;

- auditer un SI afin de décliner des scénarios argumentés de mise à niveau et de sécurisation du SI.
A partir de directives générales, le (la) préventeur (trice) en cybersécurité doit également décliner la PSSI de
l’entreprise, qu’elle soit stratégique, tactique, ou dite éthique (ou de « bonne conduite »).

Les actions menées par le (la) préventeur (trice) en cybersécurité auront un impact direct sur la sécurisation du
patrimoine informationnel de l’entreprise ou de l’organisation. De même, ces actions vont avoir un impact sur
le comportement des collaborateurs de l’entreprise, via la politique de sécurité élaborée.

Le (la) préventeur (trice) en cybersécurité est au cœur de nombreux échanges d’informations avec les autres.
Cela peut se traduire par des réunions avec le client final afin de recueillir son besoin, par des interviews
d’opérationnels de l’entreprise afin de déterminer les applications critiques du SI, mais également par le
passage de consignes, par des formations et sensibilisations des collaborateurs dans le cadre de conduite de
changement lors de la mise en place de la politique de sécurité. Il (elle) va également travailler en groupe afin
de mener, par exemple, des audits du SI, ou encore afin de réaliser une analyse dite « médico-légale » après une
cyber-attaque.

Les activités ou missions, résultantes du champ d’application défini précédemment, du (de la) préventeur (trice)
en cybersécurité des systèmes d’information portent donc sur :
- la définition de l’architecture sécurisée d’un système d’information ;
- la prévention et l’intervention en cas d’incident de sécurité informatique ;
- le management et la supervision d’un système d’information.

Dans ce cadre, le (la) titulaire de la qualification doit être capable de :

1- Analyser un cahier des charges d’un système d’information ;

2- Élaborer la maquette du dossier d’architecture technique ;
3- Élaborer l’architecture d’un système d’information sécurisé ;
4- Définir un plan de reprise d’activités informatique ;
5- Auditer la sécurité du système d’information ;
6- Gérer un système d’information après compromission ;
7- Superviser le système d’information ;
8- Sensibiliser les utilisateurs du système d’information à l’hygiène informatique et aux risques liés
à la cybersécurité.

©GIM - 2016
7/17
 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

4. Définition et finalité des capacités professionnelles

Ci-après : Représentation graphique des capacités professionnelles

- Analyser un cahier des charges d’un système d’information :

L’analyse a pour objectif d’évaluer les menaces potentielles et de les caractériser. Il s’agit également à
ce stade de dresser une matrice de traçabilité des exigences, c’est-à-dire de repérer tous les liens
existants dans le projet, de visualiser les éventuelles suspicions afin d’anticiper une analyse d’impact,
d’analyser les « sous » et « sur » spécifications c’est-à-dire des besoins réels non pris en compte ou
inversement des besoins prise en compte mais inutiles.

 Cette capacité professionnelle vise à identifier les différents livrables du cahier des charges et à
définir les attendus client.

- Élaborer la maquette du dossier d’architecture technique :

Le dossier d’architecture technique (DAT) désigne l’architecture générale inhérente au système

d’information, la représentation des différents éléments du système et les relations entre les éléments
(logiciels, matériels, ressources humaines, informations,…).

©GIM - 2016 8/17

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

 Cette capacité professionnelle vise à réaliser une maquette de tout ou partie de l’architecture du
système, en définissant les grandes étapes du dossier final. Elle constitue donc, une fois validée
par le chef de projet ou le responsable de lot, un préalable à la rédaction du futur dossier
d’architecture général sécurité.

- Élaborer l’architecture d’un système d’information sécurisé :

L’architecture du SI sécurisé est élaborée à partir du cahier des charges, de la maquette du DAT, et des
fiches d’expressions rationnelles de sécurité du système d’information (FEROS). Des fiches de recettes
des fonctionnalités sont réalisées et testées. Les besoins de sécurité sont formalisés en prenant en
compte toutes les dimensions.

 Cette capacité professionnelle vise à définir une architecture du SI sécurisé, élaborée de manière
fonctionnelle en regard de la matrice des exigences et en prenant compte de l’analyse des
impacts sécurité qui est également à établir.

- Définir un plan de reprise d’activité informatique :

Un plan de reprise d’activité (PRA) a pour but de récupérer les données informationnelles et de rétablir
le système informatique dans un délai prédéfini en cas de sinistre (coupure de courant, incendie,
inondation, cyber attaque,…). Il permet d’assurer la reprise de l’activité de l’entreprise ou de
l’organisation.

 Cette capacité vise à recenser l’ensemble des applications et des services critiques de
l’entreprise ou de l’organisation, puis à garantir le fonctionnement du SI en mode dégradé.

- Auditer la sécurité d’un système d’information :

L'audit de sécurité d'un SI est une vue à un instant t de tout ou partie du SI, permettant de comparer
l'état du SI à un référentiel. L'audit répertorie les points forts, et surtout les points faibles
(vulnérabilités) de tout ou partie du système. L'auditeur dresse également une série de
recommandations pour supprimer les vulnérabilités découvertes. L'audit est généralement réalisé
conjointement à une analyse de risques, et par rapport au référentiel.
L'audit peut être effectué dans différents buts : réagir à une attaque, se faire une bonne idée du niveau
de sécurité du SI, tester la mise en place effective de la PSSI, tester un nouvel équipement, évaluer
l'évolution de la sécurité.

 Cette capacité vise à réaliser un audit, et d’en dégager un rapport qui fera apparaitre les failles
du système. Le rapport contient la liste exhaustive des vulnérabilités recensées par l'auditeur sur
le système analysé. Il contient également une liste de recommandations permettant de
supprimer les vulnérabilités trouvées.

- Gérer un système d’information après compromission :

Il s’agit de déterminer et de délimiter le périmètre et l’ampleur de l’attaque informatique. Suite à ce

diagnostic, les preuves numériques sont collectées et analysées afin d’établir l’origine de la
malveillance ou de l’incident. Un rapport et une synthèse complète ce diagnostic et fait l’objet de
préconisations de sécurisation vis-à-vis des failles utilisées pour l’attaque et des moyens de camouflage
mis en œuvre. En fonction de la gravité des évènements informatiques et des conséquences sur le

©GIM - 2016 9/17

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

système d’information, des mesures conservatoires peuvent être prises après validation par le
chef de projet. L’expertise informatique légale est appelée « analyse forensique » ou encore «
computer forensic ».

 Cette capacité professionnelle vise à fournir une réponse à l’entreprise ou à l’organisation

victime d’une agression informatique sous la forme d’intrusions, de propagations virales ou de
malveillances humaines.

- Superviser un système d’information :

La supervision du système d’information consiste à surveiller le fonctionnement des systèmes et des

processus et est indispensable pour vérifier que le SI fonctionne correctement.

 Cette capacité professionnelle vise à installer et configurer des logiciels de supervision de la

sécurité, à créer des requêtes corrélées (outils de pilotage), et à définir des seuils d’alerte. Les
seuils ainsi définis vont permettre de lever des alertes en cas de suspicions d’intrusion dans le
système d’information.

- Sensibiliser les utilisateurs du système d’information à l’hygiène informatique et aux risques liés à la
cyber sécurité :

Sensibiliser les utilisateurs exige que la politique sécurité de l’entreprise soit parfaitement connue et
maîtrisée. Le préventeur en cybersécurité assure sa propre veille informatique en se tenant informé de
l’évolution des risques, de leur nature, de leurs effets et de leurs conséquences. La maîtrise de l’anglais
est requise afin de couvrir un éventail large de situations professionnelles. Le niveau de compréhension,
de parole et d’écriture se situe à partir du niveau B1 de la grille du Cadre Européen de Référence pour
les langues (CECR).

 Capacité professionnelle visant à organiser des actions de sensibilisation à tous les acteurs du
système d’information, créer des supports de sensibilisation à l’hygiène informatique, dire les
risques utilisateurs en fonction du poste occupé et informer des mesures mises en place par
l’entreprise ou l’organisation.

Source image : Google Images

©GIM - 2016 10/1

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

5. Définition et finalité des activités du CQPM

Le CQPM « Préventeur (trice) en cyber sécurité des systèmes d’information » est composé de 8
capacités professionnelles pouvant être regroupées dans 3 activités qui désignent un ensemble distinct
d’actions identifiées et organisées, évaluables au travers d’une situation professionnelle définie.

La définition de l’architecture
Finalité consistant à traduire les besoins de l’entreprise ou de
sécurité d’un système
l’organisation en matière de sécurité du SI.
d’information (SI).

Finalité consistant à réaliser des audits d’un SI et de répertorier ses points

La prévention et intervention
forts et ses vulnérabilités, de réaliser un diagnostic suite à sa
en cas d’incident de sécurité
compromission et d’en réaliser une synthèse et un rapport contenant les
informatique.
preuves numériques.

Le management et la Finalité consistant à surveiller le SI et ses processus et de déployer la

supervision d’un système politique sécurité informatique de l’entreprise ou de l’organisation à
d’information. l’ensemble des utilisateurs.

Ces trois activités traduisent les capacités professionnelles ci-dessous :

Capacités professionnelles

d’information à l’hygiène informatique et

8- Sensibiliser les utilisateurs du système
6- Gérer un système d’information après

7- Superviser le système d’information.

3- Élaborer l’architecture d’un système
1- Analyser un cahier des charges d’un

4- Définir un plan de reprise d’activité

5- Auditer la sécurité d’un système

2- Élaborer la maquette du dossier

aux risques liés à la cybersécurité.

d’architecture technique.
système d’information.

d’information sécurisé.

compromission.
d’information.
informatique.

Activités
La définition de l’architecture
sécurité d’un système √ √ √
d’information (SI).
La prévention et intervention en
cas d’incident de sécurité √ √ √
informatique.

Le management et la supervision
√ √
d’un système d’information.

Chaque capacité professionnelle doit être évaluée, à partir de l’activité correspondante.

©GIM - 2016 11/1

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

ATTENTION : Conformément au dispositif validé par la CPNE Métallurgie, pour que le (la) candidat(e)
au CQPM « Préventeur (trice) en cyber sécurité des systèmes d’information » soit déclaré admissible
par le jury de délibération paritaire, l’ensemble des capacités professionnelles (1 à 8) doit être acquis.
Il ne s’agit pas d’évaluer seulement l’activité comme un tout, mais chacune des capacités
professionnelles à l’intérieur de l’activité.

6. Méthodologie d’évaluation à suivre selon les deux voies d’accès au CQPM

Le CQPM est accessible soit à l’issue d’un parcours de formation professionnelle, soit à l’issue d’actions de
validation des acquis de l’expérience (VAE).

6.1 Processus d’inscription

Chaque candidat doit préalablement être inscrit auprès de l’UIMM territoriale responsable de la mise en
œuvre du dispositif de certification. La fiche d’inscription doit être renseignée avec rigueur quant aux
informations demandées.
Selon le statut du candidat, elle devra nous être transmise au début de la formation par l’organisme de
formation, par l’entreprise ou par le candidat lui-même selon qu’il soit en démarche de validation des
acquis de l’expérience ou demandeur d’emploi par courriel.

Télécharger ici la fiche d’inscription en ligne

6.2 Parcours de formation professionnelle

Un(e) candidat(e) ayant suivi un parcours de formation doit remplir le dossier d’évaluation. Ce dernier
est visé par la chambre syndicale centre d’examen et un avis est donné par la chambre syndicale Centre
de Ressources (GIM). Le dossier d’évaluation est renseigné par le candidat avec son tuteur au plus tôt
dans le parcours de formation.

Télécharger ici le dossier d’évaluation dans le cadre d’un parcours de formation

6.2.1 Processus de suivi du dossier d’évaluation

Étape 1 : En début de formation :

1- Le référentiel du CQPM et le dossier d’évaluation sont transmis au candidat ;
2- le dossier d’évaluation est renseigné par le candidat conformément au guide d’utilisation (cf. dernière
page).

Étape 2 : Dès que possible :

1- Le dossier d’évaluation est transmis à l’UIMM Centre d’examen qui transmet à l’UIMM Centre de
Ressources (GIM) ;
2- L’UIMM Centre de Ressources (GIM) émet un avis sur le dossier d’évaluation et le retourne à l’UIMM
Centre d’examen pour transmission au candidat via son tuteur pédagogique ou professionnel.

©GIM - 2016 12/1

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

Étape 3 : Lors de l’évaluation, puis de la décision d’admissibilité du candidat :

1- Le candidat est évalué sur la base des situations professionnelles décrites dans son dossier
d’évaluation ;
2- Le processus d’organisation des évaluations est conforme au dispositif ;
3- Le processus d’organisation du jury de délibération paritaire est conforme au dispositif.

6.2.2 Préconisations du Centre de Ressources en matière de modalités d’évaluations

L’évaluation du candidat en situation de travail est privilégiée.

En fonction du contexte et de l’environnement professionnel de l’entreprise, le référentiel de
certification laisse une certaine liberté de choix de 3 modalités d’évaluation pour l’entreprise et/ou
l’organisme de formation :

a- Evaluation en situation professionnelle réelle :

L’évaluation des capacités professionnelles s’effectue dans le cadre d’activités professionnelles réelles.
Cette évaluation s’appuie sur:
• une observation en situation de travail ;
• des questionnements avec apport d’éléments de preuve par le candidat.

b- Evaluation à partir d’une situation professionnelle reconstituée :

L’évaluation des capacités professionnelles s’effectue dans des conditions représentatives d’une
situation réelle d’entreprise :
• par observation avec questionnements ;
• ou avec une restitution écrite et/ou orale par le candidat.

c- Présentation de projet ou activités réalisés en milieu professionnel :

La présentation de ces projets ou activités devant une commission d’évaluation permettra au candidat de
démontrer que les exigences du référentiel de certification sont satisfaites.

Eléments de preuves minimum,

CAPACITES PROFESSIONNELLES Préconisations
en tout ou partie, à présenter
en matière de
lors de l’évaluation finale
Intitulé Finalité modalités d’évaluations

1- Analyser un cahier
Capacité visant à identifier les différents
des charges d’un
livrables du cahier des charges et à
système définir les attendus client
d’information. La définition de la matrice de
Capacité visant à réaliser une maquette traçabilité des exigences, l’analyse
de tout ou partie de l’architecture du des risques et les différents livrables
2- Élaborer la système, en définissant les grandes
Situation du cahier des charges client ;
maquette du dossier étapes du dossier final. Elle constitue professionnelle
d’architecture donc, une fois validée par le chef de impliquant un travail de La rédaction des grandes étapes du
projet ou le responsable de lot, un fond sur un temps long : DAT, les relations entre les différents
technique.
préalable à la rédaction du futur dossier éléments ;
d’architecture général sécurité
Evaluation en situation
professionnelle réelle La réalisation de la plateforme
Capacité visant à définir une architecture représentative de l’architecture
3- Élaborer du SI sécurisé, élaborée de manière technique, la rédaction des fiches de
l’architecture d’un fonctionnelle en regard de la matrice des
recette des fonctionnalités du SI, …
système d’information exigences et en prenant compte de
l’analyse des impacts sécurité qui est
sécurisé.
également à établir

©GIM - 2016 13/1

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

CAPACITES PROFESSIONNELLES Préconisations Eléments de preuves minimum,

en matière de en tout ou partie, à présenter
Intitulé Finalité modalités d’évaluations lors de l’évaluation finale

Capacité visant à recenser l’ensemble

4- Définir un plan de des applications et des services
reprise d’activité critiques de l’entreprise ou de
informatique. l’organisation, puis à garantir le Situation
fonctionnement du SI en mode dégradé professionnelle dont au La rédaction des fiches d’interview
Capacité visant à réaliser un audit, et moins un événement utilisateurs et les rapports ;
d’en dégager un rapport qui fera (compromission
apparaitre les failles du système. Le volontaire ou incident La rédaction d’un rapport d’audit du
5- Auditer la sécurité rapport contient la liste exhaustive des SI ;
de sécurité
d’un système vulnérabilités recensées par l'auditeur
sur le système analysé. Il contient informatique) est
d’information. La liste des actions menées lors de
également une liste de impossible à prévoir : l’enquête « médico-légale » ;
recommandations permettant de
supprimer les vulnérabilités trouvées
Evaluation à partir Les préconisations de sécurisation du
d’une situation SI, …
Capacité visant à fournir une réponse à
6- Gérer un système l’entreprise ou à l’organisation victime
professionnelle
d’information après d’une agression informatique sous la reconstituée
compromission. forme d’intrusions, de propagations
virales ou de malveillances humaines

Capacité visant à installer et configurer

des logiciels de supervision de la L’identification des logiciels de
7- Superviser le sécurité, à créer des requêtes corrélées supervision en regard du cahier des
(outils de pilotage), et à définir des Situation
système charges client ;
seuils d’alerte. Les seuils ainsi définis professionnelle exigeant
d’information. vont permettre de lever des alertes en un temps d’échange sur
cas de suspicions d’intrusion dans le
L’installation effective, la
système d’information
les pratiques et les configuration des logiciels de
méthodes utilisées par supervision ;
8- Sensibiliser les Capacité visant à organiser des actions
le candidat :
Les supports de sensibilisation à
utilisateurs du de sensibilisation à tous les acteurs du
système d’information, créer des Présentation de projet l’hygiène informatique et aux risques
système d’information réalisés ;
supports de sensibilisation à l’hygiène ou activités réalisés en
à l’hygiène informatique, dire les risques
informatique et aux milieu professionnel
utilisateurs en fonction du poste occupé Tout élément justifiant de la maîtrise
risques liés à la et informer des mesures mises en place de l’anglais en lien avec le métier,...
cybersécurité. par l’entreprise ou l’organisation

6.2.3 Grilles d’évaluations

Les grilles d’évaluations sont destinées aux personnes chargées de l’évaluation du candidat au CQPM.
L’UIMM Centre d’Examen, chargée de la mise en œuvre du dispositif, les mets ensuite à disposition des
membres du jury paritaire de délibération.

Téléchargez les grilles d’évaluations dans le cadre d’un parcours de formation :

Téléchargez ici pour la situation professionnelle n°1

Téléchargez ici pour la situation professionnelle n°2

Téléchargez ici pour la situation professionnelle n°3

©GIM - 2016 14/1

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

6.2.4 Avis de l’entreprise

Cet avis doit permettre à l’entreprise de se prononcer sur l’acquisition de chaque capacité au regard du
référentiel de certification.

Téléchargez ici la grille d’évaluation pour l’avis de l’entreprise

6.3 Démarche de validation des acquis de l’expérience (VAE)

Un candidat au CQPM engagé dans une démarche de validation des acquis de l’expérience (VAE) doit
remplir le dossier d’activité. Ce dernier constitue une pièce du dossier de recevabilité du candidat, et
est renseigné par ce dernier. Le dossier d’activité est transmis au candidat par la chambre syndicale
centre d’examen. Cette dernière transmet le dossier renseigné au centre de ressources (GIM RP) pour
avis sur sa recevabilité en regard du parcours professionnel du candidat.

Téléchargez ici le dossier d’activité dans le cadre d’une démarche de VAE

Téléchargez ici la grille de validation des acquis de l’expérience

 Pour la recevabilité du dossier du candidat :

1- Le référentiel CQPM et le dossier d’activité sont transmis au candidat ;

2- Le candidat renseigne le dossier d’activité avec son accompagnateur le cas échéant ;
3- Le dossier est transmis à la chambre syndicale Centre d’examen qui transmet au Centre de
Ressources ;
4- Le Centre de Ressources émet un avis sur la recevabilité du dossier d’activité ;
5- Le Centre d’Examen procède à la recevabilité ou non du candidat en fonction de son dossier.

 Pour le jury de validation :

1- Le candidat rédige le dossier de preuves conformément au dossier d’activités ;

2- Le processus d’organisation du jury de validation VAE est conforme à la législation en vigueur ;
3- Le processus d’organisation du jury de délibération paritaire est conforme au dispositif.

…/…

©GIM - 2016 15/1

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

7. GLOSSAIRE
Définitions :
Analyse forensique : L'analyse forensique en informatique signifie l'analyse d'un système informatique après incident. Par exemple une
analyse forensique peut être effectuée après une attaque de virus, ou plus difficilement, après l'intrusion d'un rootkit.

Artefact : Terme général désignant toute sorte d’information créée, produite, modifiée ou utilisée par les travailleurs dans la mise au
point du système.

Cyber-attaque : Une cyber-attaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une
cyberattaque peut émaner de personnes isolées, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs
géopolitiques.

Cybersécurité : On entend par cybersécurité l’ensemble des outils, politiques, concepts de sécurité, mécanismes de sécurité, lignes
directrices, méthodes de gestion des risques, actions, formations, bonnes pratiques, garanties et technologies qui peuvent être utilisés
pour protéger le cyber-environnement et les actifs des organisations et des utilisateurs (recommandation UIT–T X.1205).

Firewall : Mot anglais signifiant littéralement « mur de feu ». En informatique, un firewall est un pare-feu.

Hygiène informatique : Mesures de protection adaptées mises en place et opérationnelles. Ces mesures doivent faire l’objet d’une
politique de sécurité écrite, comprise et connue de tous et dont l’application doit être régulièrement vérifiée par l’encadrement. Parmi
ces mesures, il existe des mesures techniques simples, qualifiées d’hygiène informatique car elles sont la transposition dans le monde
numérique de règles élémentaires de sécurité sanitaire.

ISO 27001 : Norme internationale de système de gestion de la sécurité de l'information, publiée en octobre 2005 et révisée en 2013 par
l'ISO dont le titre est Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information -
Exigences.

Plateforme d’architecture technique : Ensemble des matériels et logiciels permettant de réaliser l’intégralité des exigences réalisables
du client.

Preuve de concept : Etape de validation concrète dans la mise en place d'un projet. Il faut, avant un déploiement plus large, faire "la
preuve du concept". Lors du déploiement d'un Intranet, on en proposera par exemple une version limitée, dans un premier temps, à
une unique direction afin de tester et valider son fonctionnement. On dit : "Passer l'étape du POC".

Proxy : Programme servant d'intermédiaire pour accéder à un autre réseau, généralement internet. Par extension, on appelle aussi
proxy un matériel (un serveur par exemple) mis en place pour assurer le fonctionnement de tels services.

Système d’information : Un système d'information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données
et procédures) qui permet de collecter, regrouper, classifier, traiter et diffuser de l'information dans un environnement donné.

Abréviations :
ANSSI : Agence Nationale de la Sécurité des Systèmes d’information
DAT : Dossier d’Architecture Technique
DATS : Dossier d’Architecture Technique Sécurisé
DGSE : Direction Générale de la Sécurité Intérieure
EBIOS® : Expression des Besoins et Identification des Objectifs de Sécurité, permet d’apprécier et de traiter les risques relatifs à la
sécurité des systèmes d’information (SSI)
FEROS : Fiche d’Expression Rationnelle des Objectifs de Sécurité
IVVQ : Intégration Vérification Validation Qualité
LAN : Local Area Network, en français réseau local, ce terme désigne un réseau informatique
POC : Proof Of Concept (Preuve de concept)
PRA : Plan de Reprise d’Activité
PSSI : Politique de Sécurité des Systèmes d’Information
SIEM : Security Information and Event Management, permet de gérer et corréler les logs. On parle de corrélation car ces solutions sont
munies de moteurs de corrélation qui permettent de relier plusieurs évènements à une même cause.
VPN : Virtual Private Network (système permettant de créer un lien direct entre des ordinateurs distants)
WAN : Wide Area Network, en français réseau étendu

Pour en savoir plus :

Guide d’hygiène Informatique : http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf.

©GIM - 2016 16/1

 CQPM : MQ 2015 04 92 0302 – Préventeur (trice) en cybersécurité des systèmes d’information

Pour vous aider dans la mise en œuvre du CQPM

L’équipe certifications du GIM RP
est à votre disposition

Chargés de mission :
Christophe JURKEW : 01 41 92 36 72 ; jkw@gimrp.org
Farid HOUACHE : 01 41 92 36 75 ; hf@gimrp.org
Assistante Technique:
Aurélie FLEURY : 01 41 92 36 76; bla@gimrp.org

« Par ce manuel d’évaluation et de certification, nous souhaitons apporter les

moyens didactiques nécessaires au développement du CQPM, et de ce qu’en
feront les futurs titulaires. Tout retour sur expérience est susceptible de nous
aider, et nous permettra d’améliorer les pratiques nécessaires à une mise en
œuvre de qualité, comprise et acceptée de tous »

« Répondre aux attentes de toutes les parties prenantes en n’oubliant jamais

les objectifs visés, en les clarifiant. Tel est aussi la finalité de ce manuel »

MANUEL D’ÉVALUATION ET DE CERTIFICATION DU CANDIDAT AU CQPM

©GIM - 2016 17/1