Salut,

je viens de voir ton sujet au hasard d'une recherche alors je te répond, n'hésites pas si tu souhaite approfondir (j'ai une expérience en tant que Responsable SSI & en tant que consultant) :

1) Assez décontracté pour ma part, plutôt 09h -12h30 & 14h - 17h30 mais ça dépend de la capacité de chacun aussi. En tant que RSSI tu as plus de responsabilités et donc potentiellement incidents/urgences qui m'ont parfois conduit à faire des journées de 12/14h (crise / déclenchement d'un PRA) mais c'est l'exception par la règle.
En terme d'activités :
Veille le matin en arrivant : je regarde les dernières attaques, vulnérabilités, recherche sur le sujet (30min env), après c'est souvent des échanges soit :
Avec les chefs de projets sur leurs applications : analyse de risque, conformité, remédiation.
Avec des métiers : analyse d'impact métier, ROI des mesures à implémenter, feedback, etc.
Avec les partenaires, sous-traitants et clients : on demande des garanties en termes de cybersécurité à nos sous-traitants et nos clients nous demandent la même chose. Du coup échange de documents sur les politiques et standards mis en œuvre.
+ plein d'autres activités transverses : Reporting à la direction sur la cartographie des risques, suivi des projets cyber, formation et sensibilisation, mis à jour de nos politiques,etc. bref dans mon cas le travail est très varié (la cybersécurité peut aller de la badgeuse, aux requêtes SQL, en passant par la gestion incendie du Datacenter ou la sauvegarde des fichiers...)

2) Ca dépend du secteur dans lequel tu travailles et de ce que tu appelles audit de sécurité (pentest ? Audit de configuration ? Audit des pratiques/standards ? Audit physique ? De site ?) Généralement ISO 27001 pour le SMSI et 27005 pour l'analyse de risque dans mon cas. PCI-DSS pour les moyens de paiement. Sinon tu as OWASP (https://owasp.org/) mais ce n'est pas un standard, c'est un référentiel de vulnérabilités les plus courantes/impactantes, idem avec mitre att&ck ( https://attack.mitre.org/ )

3) La sensibilisation des utilisateurs, point faible de la sécurité des systèmes d'information il n'est pas évident de sensibiliser les utilisateurs mais aussi les chefs de projet, les managers, directeurs, etc. Ça dépend de la culture de l'entreprise et surtout du support de la direction à promouvoir la sécurité. Beaucoup pensent encore que la cybersécurité se joue sur les serveurs/application/technique alors qu'une bonne partie passe par la gouvernance, formation, analyse (bon après je prêche ma paroisse puisque c'est les sujets que j'aborde).

4) Si c'est du pentest dont tu parles je n'en fais pas, je me limite à des scans de vulnérabilité (OpenVAS) ou à de la reconnaissance réseau (Nmap). Metasploit est très largement utilisé aussi mais je l'ai pratiqué en formation seulement, tu as la distribution Kali qui regroupe l'ensemble des outils couramment utilisés. Généralement ce sont des équipes/entreprises spécialisées qui les réalisent car il faut des personnes à temps plein qui sont régulièrement formées pour rester à jour.

5) Cela dépend de ta spécialité mais de manière générale : l'expérience + la formation et les labos. Tu as pas mal de contenu gratuit pour débuter mais si tu veux t'améliorer à un niveau avancé il ne faudra pas hésiter à investir dans des programmes en ligne qui te proposent également des labos virtuels (surtout si tu veux pentester). Encore une fois ça dépend de ce que tu veux faire : en ce moment je bosse sur la CISSP qui est plutôt gouvernance et risques. C'est pas mal de viser une certification : ça te donne un cadre et c'est reconnu sur le marché de l'emploi.
Il y a également un gros travail de veille d'information / technologique qui te permet de rester en phase avec les vulnérabilités et concepts à connaitre pour être pertinent dans ton travail.

Au plaisir

 
/ Contexte : ça fait trois ans que je bosse là dedans, dont deux comme consultant dans une demi douzaines d'organisations. Déjà, la réponse à tes questions dépend beaucoup des missions effectuées, mais je vais essayer de répondre en prenant des missions de sécu opérationnelle que j'ai faites.
 
1/ Arrivée 9h30/10h, je dépile les mails, Si il y a eu un incident ou quelque chose de grave, j'ai déjà été prévenu. Sinon, je mate quels sujets tournent / me sont affectés,sinon je déroule ma journée. Je passe donc la journée avec des CDPT, de la MOA ou MOE sur des sujets de transformation / mise à jour du SI, correction de vulnérabilités, décomissionnements, mises en conformité, maintien en conditions opérationnelles,etc.. On essaie de faire avancer les sujets, avec souvent un rôle de conseil / explication (pourquoi j'ai pas droit à du SSH sur internet ? Pourquoi je peux pas monter vite aif une VM Server 2003 pour tester ? etc..). En cas d'incident, la journée est beaucoup plus anarchique.  
 
2/ Je suis pas RSSI ni responsable conformité, donc c'est pas moi qui décide. Ça varie selon l'entreprise et le secteur, plus les régulations spécifiques, de ISO 27k5 à NIST-800 en passant par des règles maisons ou SOX.
 
3/ Là aussi, ça dépend. Globalement, c'est très dur d'instaurer une culture de la sécurité, et encore plus de rencontrer des gens qualifiés s/ le sujet.  
 
4/ Les audits sont souvent sous-traités à des cabinets. Je n'ai jamais vu d'audit automatique, ne serait-ce que pour des questions de responsabilité. La détection de vulnérabilité et le scoring peuvent être réalisés avec des outils types Nessus / Bitsight, qui sont souvent fournis pour permettre une première évaluation de la sécurité d'un projet.
 
5/ Lire, toujours, tout le temps. Coder, monter des trucs, essayer, recommencer. Rester humble et écouter ce que disent les autres. Comprendre que la sécurité technique ce n'est pas la gouvernance / gestion de risques.