Tweet
Beaucoup de jeunes se posent des questions sur les métiers de la sécurité des systèmes d'information (infosec).
Je suis régulièrement sollicité par messages privés par des curieux et des passionnés qui veulent en savoir plus.
Je lance donc ce petit topic qui permettra d'apporter l'essentiel des réponses aux questions que ceux qui ne sont pas encore dans le métier se posent.
Ce qui suis est issus de mon expérience personnelle. C'est tout à fait partial et certains ne seront pas d'accord avec ça. N'hésitez pas à compléter le sujet.
1 - Du métier de pentesteur
Le métier qui intéresse souvent les plus jeunes est celui de pentester. Ie. le type qui va pratiquer les tests d'intrusion.
Idée fausse :
Chouette ! Je vais passer mon temps à pénétrer des systèmes.
NON ! 75 À 85 % du temps, vous allez le passer à mettre des couleurs sur vos rapports ou à montrer pendant les réunions combien vous avez bien travaillé pour votre SSII.
Au passage, 80% des gens présents dans ce genre de réunion ne sont pas des développeurs ou des ingénieurs. Il vont faire semblant de piger ce que vous racontez avant de ranger 1 fois sur deux votre rapport au fond d'un tiroir (manque de temps / fonds pour corriger les problèmes que vous aurez montrés).
On va aussi vous de mander de bosser sur des technos que vous ne maitrisez pas, ou dans des délais trop courts. On va donc (de mon point de vue) vous payer pour faire du survol satellitaire des problèmes de l’application / infra ou autre à tester:
On va vous empêcher de faire correctement votre travail. C'est très frustrant.
2 - Du marché du travail
Pour les SSII
L'expérience compte plus que les diplômes (de moins en moins vrai). Si la SSII peut vous sous-payer (exploiter) en sachant que vous allez fournir un boulot correct, c'est vous qu'ils prendront.
Une certification est un plus qui peut être apprécié lors de votre entrée sur le marché du travail.
Pour le freelance
C'est TRES difficile. Vous allez devoir trouver vous même vos client finaux. Généralement, vous faites de la sous traitance pour des SSII, ce qui reviens plus ou moins à la situation du dessus.
3 - Quelles études faire ?
Il existe des études spécialisées. Honnêtement, je ne sais pas ce que ça vaut. En revanche, un employeur vous prendra en priorité si vous pouvez justifier d'une expérience solide en la matière. Ne vous contentez JAMAIS de vos études. Faites des papiers ! maintenez un blog et publiez des sploits, c'est très apprécié par les employeurs.
Les études et les certifs ne vous apprendront presque rien, ca sert juste à faire bien sur le CV et à rassurer les clients finaux. La sécu, c'est avant tout à l'expérience et au feeling que ça marche.
On ne peut faire correctement de la sécu QUE pour une techno que l'on maitrise. Ce qui implique d'avoir plusieurs années d'expérience en tant que développeur ou ingé sur la techno en question avant de se mettre à faire de la sécu.
4 - Perspectives de carrière
Dans la sécu, on progresse très vite mais on ne va pas très loin. Au mieux on fini RSSI ou on supervise les pentests.
Ça n'est généralement pas un métier que l'on garde à vie. On finis par se lasser au bout de quelques années.
Tortue 974.
Je suis régulièrement sollicité par messages privés par des curieux et des passionnés qui veulent en savoir plus.
Je lance donc ce petit topic qui permettra d'apporter l'essentiel des réponses aux questions que ceux qui ne sont pas encore dans le métier se posent.
Ce qui suis est issus de mon expérience personnelle. C'est tout à fait partial et certains ne seront pas d'accord avec ça. N'hésitez pas à compléter le sujet.
1 - Du métier de pentesteur
Le métier qui intéresse souvent les plus jeunes est celui de pentester. Ie. le type qui va pratiquer les tests d'intrusion.
Idée fausse :
Chouette ! Je vais passer mon temps à pénétrer des systèmes.
NON ! 75 À 85 % du temps, vous allez le passer à mettre des couleurs sur vos rapports ou à montrer pendant les réunions combien vous avez bien travaillé pour votre SSII.
Au passage, 80% des gens présents dans ce genre de réunion ne sont pas des développeurs ou des ingénieurs. Il vont faire semblant de piger ce que vous racontez avant de ranger 1 fois sur deux votre rapport au fond d'un tiroir (manque de temps / fonds pour corriger les problèmes que vous aurez montrés).
On va aussi vous de mander de bosser sur des technos que vous ne maitrisez pas, ou dans des délais trop courts. On va donc (de mon point de vue) vous payer pour faire du survol satellitaire des problèmes de l’application / infra ou autre à tester:
On va vous empêcher de faire correctement votre travail. C'est très frustrant.
2 - Du marché du travail
Pour les SSII
L'expérience compte plus que les diplômes (de moins en moins vrai). Si la SSII peut vous sous-payer (exploiter) en sachant que vous allez fournir un boulot correct, c'est vous qu'ils prendront.
Une certification est un plus qui peut être apprécié lors de votre entrée sur le marché du travail.
Pour le freelance
C'est TRES difficile. Vous allez devoir trouver vous même vos client finaux. Généralement, vous faites de la sous traitance pour des SSII, ce qui reviens plus ou moins à la situation du dessus.
3 - Quelles études faire ?
Il existe des études spécialisées. Honnêtement, je ne sais pas ce que ça vaut. En revanche, un employeur vous prendra en priorité si vous pouvez justifier d'une expérience solide en la matière. Ne vous contentez JAMAIS de vos études. Faites des papiers ! maintenez un blog et publiez des sploits, c'est très apprécié par les employeurs.
Les études et les certifs ne vous apprendront presque rien, ca sert juste à faire bien sur le CV et à rassurer les clients finaux. La sécu, c'est avant tout à l'expérience et au feeling que ça marche.
On ne peut faire correctement de la sécu QUE pour une techno que l'on maitrise. Ce qui implique d'avoir plusieurs années d'expérience en tant que développeur ou ingé sur la techno en question avant de se mettre à faire de la sécu.
4 - Perspectives de carrière
Dans la sécu, on progresse très vite mais on ne va pas très loin. Au mieux on fini RSSI ou on supervise les pentests.
Ça n'est généralement pas un métier que l'on garde à vie. On finis par se lasser au bout de quelques années.
Tortue 974.
Commentaire