AIS · RNCP37680 · CCP 3

Participer à l'élaboration et à la mise en œuvre de la politique de sécurité : définition, cas d'usage et formation IFPA Poitiers

Une politique de sécurité ne protège rien tant qu'elle reste un document. Cette compétence consiste à participer à son élaboration — apporter la réalité du terrain aux décisions — puis à sa mise en œuvre : procédures, durcissement des configurations, gestion des habilitations, sensibilisation des utilisateurs. Elle fait partie du CCP 3 du titre professionnel Administrateur d'Infrastructures Sécurisées (RNCP37680, niveau 6). À l'IFPA Poitiers, on l'aborde par des cas d'entreprise concrets, parce que la difficulté n'est presque jamais purement technique : elle est humaine et organisationnelle.

En bref

  • Compétence du CCP 3 « Participer à la gestion de la cybersécurité » du titre Administrateur d'Infrastructures Sécurisées (RNCP37680, niveau 6).
  • Objectif : traduire la politique de sécurité (PSSI) en procédures et mesures techniques appliquées au quotidien.
  • Travail en présentiel, en groupe de 10 à 12, sur des cas d'entreprise réalistes et des ateliers de durcissement en lab.
  • Compétence clé pour dialoguer avec un RSSI, une direction et des utilisateurs non techniques.

Définition métier

La politique de sécurité du système d'information (PSSI) fixe les règles du jeu : qui accède à quoi, comment on s'authentifie, comment on sauvegarde, ce qu'on fait des données sensibles. L'administrateur d'infrastructures sécurisées ne la rédige pas seul — elle est portée par la direction, souvent avec un RSSI — mais il y participe avec un rôle précis : faire remonter ce qui est techniquement réaliste, alerter sur ce qui sera contourné, puis traduire chaque règle adoptée en mesures concrètes.

La mise en œuvre est la partie la plus exigeante : durcir les configurations, structurer les habilitations selon le principe du moindre privilège, documenter des procédures que les équipes peuvent réellement suivre, et accompagner les utilisateurs pour que la sécurité soit comprise plutôt que subie. Dans les structures où exerce le titulaire du titre — banques, assurances, administrations, DSI de grands comptes — cette rigueur documentaire et cette capacité de dialogue comptent autant que la maîtrise technique.

À quel bloc de compétences appartient-elle ?

Titre professionnel : Administrateur d'Infrastructures Sécurisées (RNCP37680 ↗)

Bloc de compétences : RNCP37680BC03 — Participer à la gestion de la cybersécurité

La validation de ce bloc (CCP) peut être obtenue dans le cadre du titre complet ou par capitalisation progressive, y compris en VAE.

Cas d'usage concrets en situation professionnelle

  • Décliner une exigence de la PSSI (mots de passe, authentification multifacteur, accès distants) en procédure opérationnelle documentée.
  • Durcir la configuration de serveurs et de postes de travail conformément à la politique de l'entreprise.
  • Mettre à jour la matrice des habilitations lors d'une arrivée, d'une mobilité ou d'un départ.
  • Animer ou co-animer une action de sensibilisation des utilisateurs au hameçonnage.
  • Vérifier la conformité des sauvegardes et des accès aux exigences internes et réglementaires.

Ce que l'apprenant doit maîtriser

Savoirs

  • Structure et rôle d'une PSSI : périmètre, règles, responsabilités, gestion des dérogations.
  • Cadre réglementaire et normatif applicable : RGPD, normes ISO 27001/27002, recommandations de l'ANSSI.
  • Principes de gestion des identités, des habilitations et du moindre privilège.

Savoir-faire

  • Traduire une règle de sécurité en procédure opérationnelle claire et applicable.
  • Durcir des configurations systèmes et réseaux conformément à la politique définie.
  • Contribuer à des actions de sensibilisation adaptées à des utilisateurs non techniques.

Savoir-être

  • Pédagogie : une règle incomprise est une règle contournée.
  • Diplomatie : faire appliquer des contraintes sans braquer les équipes.
  • Sens de l'équilibre entre exigence de sécurité et réalité des usages métiers.

Outils et environnements

  • Annuaires et gestion des accès : Active Directory, stratégies de groupe (GPO).
  • Référentiels documentaires : guides de l'ANSSI, normes ISO 27001/27002.
  • Outils de gestion de configuration et de contrôle de conformité des postes et serveurs.

Livrables attendus

  • Procédures de sécurité documentées et tenues à jour.
  • Matrice d'habilitations alignée sur le principe du moindre privilège.
  • Supports de sensibilisation à destination des utilisateurs.

Comment cette compétence est travaillée en formation

  • Études de cas d'entreprise en groupe de 10 à 12, en présentiel : décliner une PSSI en procédures opérationnelles.
  • Ateliers de durcissement de configurations dans le lab cybersécurité dédié, à partir des guides de référence.
  • Jeux de rôle de sensibilisation : expliquer une règle de sécurité à un public non technique sans le braquer.
  • Période en entreprise de 300 heures pour confronter les procédures aux usages réels d'une organisation.
  • Préparation du dossier professionnel et de la session d'examen du titre à partir des situations vécues en entreprise.

Exemple concret en situation professionnelle

Lundi matin, au siège d'une mutuelle d'assurance. Karim participe à la réunion de mise à jour de la politique de sécurité : la direction veut généraliser l'authentification multifacteur. Sa mission de la semaine consiste à traduire cette décision en procédure applicable par tous. Il rédige le mode opératoire, teste le déploiement sur un groupe pilote d'une dizaine d'utilisateurs et recueille les blocages — dont un commercial itinérant sans smartphone professionnel, pour lequel il propose une clé physique. Vendredi, la procédure validée part en déploiement progressif, accompagnée d'un mémo d'une page que tout le monde comprend. La règle ne sera pas contournée, parce qu'elle a été pensée avec le terrain.

Cette compétence est utile pour…

  • Valider le CCP 3 du titre Administrateur d'Infrastructures Sécurisées (RNCP37680) lors de la session d'examen.
  • Les administrateurs systèmes et réseaux qui veulent structurer et documenter leur pratique de la sécurité.
  • Les profils en reconversion qui visent des environnements exigeants : banques, assurances, administrations.
  • Préparer une évolution future vers des fonctions de référent sécurité ou d'appui à un RSSI.

À ne pas confondre avec…

Participer à la politique de sécurité n'est pas exercer le métier de RSSI : le RSSI définit la stratégie et en porte la responsabilité, l'administrateur la traduit en mesures techniques et en procédures applicables. Ce n'est pas non plus de la simple configuration : chaque réglage découle d'une règle écrite, justifiable et auditable, ce qui change la nature du travail.

Métiers et débouchés liés

  • Administrateur d'infrastructures sécurisées
  • Administrateur systèmes et réseaux
  • Référent sécurité en DSI
  • Assistant RSSI
  • Intégrateur de solutions de sécurité

Compétences liées

Questions fréquentes

Qu'est-ce qu'une PSSI, concrètement ?

C'est le document qui fixe les règles de sécurité d'une organisation : qui accède à quoi, comment, avec quelles protections. L'administrateur la traduit en mesures techniques et en procédures applicables au quotidien.

L'administrateur rédige-t-il seul la politique de sécurité ?

Non, il y participe. La politique est portée par la direction, souvent avec un RSSI ; l'administrateur apporte la réalité du terrain et met en œuvre les mesures décidées.

Faut-il connaître le droit pour cette compétence ?

Pas en juriste, mais il faut comprendre les obligations qui pèsent sur l'entreprise, comme le RGPD, pour appliquer correctement les règles qui en découlent.

Comment cette compétence est-elle travaillée à l'IFPA Poitiers ?

Par des études de cas et des mises en situation en groupe de 10 à 12 : déclinaison d'une politique en procédures, durcissement de configurations dans le lab cybersécurité dédié, ateliers de sensibilisation.

Cette compétence sert-elle en dehors des grandes entreprises ?

Oui. Les structures de toutes tailles ont besoin de règles de sécurité claires et appliquées ; c'est souvent dans les organisations plus petites que l'administrateur a le plus d'impact direct.

Développer cette compétence avec IFPA Poitiers

Cette compétence fait partie du titre professionnel Administrateur d'Infrastructures Sécurisées (RNCP37680). À l'IFPA Poitiers, elle est travaillée à travers des situations concrètes, des ateliers, des projets et un accompagnement pédagogique individualisé — en présentiel, en groupe de 10 à 12 apprenants.

Découvrir la formation AIS Candidater à l'IFPA Poitiers Être rappelé·e pour parler de mon projet