Annonce

Réduire
Aucune annonce.

Comment travailler dans la sécurité des systèmes d'information

Réduire
Ceci est une discussion importante.
X
X
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Comment travailler dans la sécurité des systèmes d'information

    Beaucoup de jeunes se posent des questions sur les métiers de la sécurité des systèmes d'information (infosec).

    Je suis régulièrement sollicité par messages privés par des curieux et des passionnés qui veulent en savoir plus.
    Je lance donc ce petit topic qui permettra d'apporter l'essentiel des réponses aux questions que ceux qui ne sont pas encore dans le métier se posent.

    Ce qui suis est issus de mon expérience personnelle. C'est tout à fait partial et certains ne seront pas d'accord avec ça. N'hésitez pas à compléter le sujet.

    1 - Du métier de pentesteur

    Le métier qui intéresse souvent les plus jeunes est celui de pentester. Ie. le type qui va pratiquer les tests d'intrusion.

    Idée fausse :

    Chouette ! Je vais passer mon temps à pénétrer des systèmes.

    NON ! 75 À 85 % du temps, vous allez le passer à mettre des couleurs sur vos rapports ou à montrer pendant les réunions combien vous avez bien travaillé pour votre SSII.
    Au passage, 80% des gens présents dans ce genre de réunion ne sont pas des développeurs ou des ingénieurs. Il vont faire semblant de piger ce que vous racontez avant de ranger 1 fois sur deux votre rapport au fond d'un tiroir (manque de temps / fonds pour corriger les problèmes que vous aurez montrés).

    On va aussi vous de mander de bosser sur des technos que vous ne maitrisez pas, ou dans des délais trop courts. On va donc (de mon point de vue) vous payer pour faire du survol satellitaire des problèmes de l’application / infra ou autre à tester:
    On va vous empêcher de faire correctement votre travail. C'est très frustrant.

    2 - Du marché du travail

    Pour les SSII

    L'expérience compte plus que les diplômes (de moins en moins vrai). Si la SSII peut vous sous-payer (exploiter) en sachant que vous allez fournir un boulot correct, c'est vous qu'ils prendront.
    Une certification est un plus qui peut être apprécié lors de votre entrée sur le marché du travail.

    Pour le freelance

    C'est TRES difficile. Vous allez devoir trouver vous même vos client finaux. Généralement, vous faites de la sous traitance pour des SSII, ce qui reviens plus ou moins à la situation du dessus.

    3 - Quelles études faire ?

    Il existe des études spécialisées. Honnêtement, je ne sais pas ce que ça vaut. En revanche, un employeur vous prendra en priorité si vous pouvez justifier d'une expérience solide en la matière. Ne vous contentez JAMAIS de vos études. Faites des papiers ! maintenez un blog et publiez des sploits, c'est très apprécié par les employeurs.

    Les études et les certifs ne vous apprendront presque rien, ca sert juste à faire bien sur le CV et à rassurer les clients finaux. La sécu, c'est avant tout à l'expérience et au feeling que ça marche.
    On ne peut faire correctement de la sécu QUE pour une techno que l'on maitrise. Ce qui implique d'avoir plusieurs années d'expérience en tant que développeur ou ingé sur la techno en question avant de se mettre à faire de la sécu.

    4 - Perspectives de carrière

    Dans la sécu, on progresse très vite mais on ne va pas très loin. Au mieux on fini RSSI ou on supervise les pentests.
    Ça n'est généralement pas un métier que l'on garde à vie. On finis par se lasser au bout de quelques années.

    Tortue 974.
    Dernière modification par TorTukiTu, 24 juin 2014, 19h28.
    OxyGen Software
    Sécurité, développement, formations, informatique biomédicale
    contact@oxygensoftware.fr

  • #2
    Envoyé par TorTukiTu Voir le message

    1 - Du métier de pentesteur

    Le métier qui intéresse souvent les plus jeunes est celui de pentester. Ie. le type qui va pratiquer les tests d'intrusion.

    Idée fausse :

    Chouette ! Je vais passer mon temps à pénétrer des systèmes.

    NON ! 75 À 85 % du temps, vous allez le passer à mettre des couleurs sur vos rapports où à montrer combien vous avez bien travaillé pour votre boite en réunion.
    Au passage, 80% des gens présents dans ce genre de réunion ne sont pas des développeurs ou des ingénieurs. Il vont faire semblant de piger ce que vous raconter avant de ranger 1 fois sur deux votre rapport au fond d'un tiroir (manque de temps / fonds pour corriger les problèmes que vous aurez montrés).

    Il faut voir aussi que l'on va vous de mander de bosser sur des technos que vous de maitrisez pas, ou dans des délais trop courts. On va donc (de mon point de vue) vous payer pour faire du survol satellitaire des problèmes de l’application / infra ou autre à tester. C'est très frustrant.
    Je suis totalement d'accord avec toi, mais bon, pour ma part, c'est quand même le coté pentest qui m'intéresse, les rapports, si tu aimes ton métiers (passion), tu les feras.

    Nous devons de toute façon, pour chaque pentest effectué, indiqué toutes les actions faites:

    -Pour nous protéger (c'est vous qui avait tout cassé, c'est bizzare ça marchait avant que vous veniez, etc)
    -Pour le client, il paie pour que vous bossiez. Vous ne rendrez jamais 5 pages avec dessus: (le serveur AD est vulnérable, le serveur fichier je l'ai fait tomber, vos firewalls sont pas à jour, etc)

    Cordialement,

    L'OMBRE
    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

    Commentaire


    • #3
      Merci pour le partage de ton expèrience.Personnellement, j'ai eu beaucoup de mal avec la sécurité la première fois qu'on m'en a parler c'est mon pote (dans la vrai vie et sur le net) piconbier et lors d'un apéro. Il m'a montrer q'un de mes projets présenter des failles béantes de sécurité. J'étais à plat comme si tout ce que j'avais appris ne servais plus à rien. Comme lui aussi met en place des sites pro/particulier (securité comprise), il m'a filer un livre technique en Anglais où je piger pas grand chose si ce n'est que je devais revoir une partie de ce que je savais déjà et qui avais été mis à mal par les pentesteurs.
      Je le remercie jamais assez car sans lui je serais encore aveugle à l'heure d'aujourd'hui.

      Commentaire


      • #4
        Je suis débutant que faire alors

        Commentaire

        Chargement...
        X