Annonce

Rduire
Aucune annonce.

Comment travailler dans la scurit des systmes d'information

Rduire
Ceci est une discussion importante.
X
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Comment travailler dans la scurit des systmes d'information

    Beaucoup de jeunes se posent des questions sur les mtiers de la scurit des systmes d'information (infosec).

    Je suis rgulirement sollicit par messages privs par des curieux et des passionns qui veulent en savoir plus.
    Je lance donc ce petit topic qui permettra d'apporter l'essentiel des rponses aux questions que ceux qui ne sont pas encore dans le mtier se posent.

    Ce qui suis est issus de mon exprience personnelle. C'est tout fait partial et certains ne seront pas d'accord avec a. N'hsitez pas complter le sujet.

    1 - Du mtier de pentesteur

    Le mtier qui intresse souvent les plus jeunes est celui de pentester. Ie. le type qui va pratiquer les tests d'intrusion.

    Ide fausse :

    Chouette ! Je vais passer mon temps pntrer des systmes.

    NON ! 75 85 % du temps, vous allez le passer mettre des couleurs sur vos rapports ou montrer pendant les runions combien vous avez bien travaill pour votre SSII.
    Au passage, 80% des gens prsents dans ce genre de runion ne sont pas des dveloppeurs ou des ingnieurs. Il vont faire semblant de piger ce que vous racontez avant de ranger 1 fois sur deux votre rapport au fond d'un tiroir (manque de temps / fonds pour corriger les problmes que vous aurez montrs).

    On va aussi vous de mander de bosser sur des technos que vous ne maitrisez pas, ou dans des dlais trop courts. On va donc (de mon point de vue) vous payer pour faire du survol satellitaire des problmes de lapplication / infra ou autre tester:
    On va vous empcher de faire correctement votre travail. C'est trs frustrant.

    2 - Du march du travail

    Pour les SSII

    L'exprience compte plus que les diplmes (de moins en moins vrai). Si la SSII peut vous sous-payer (exploiter) en sachant que vous allez fournir un boulot correct, c'est vous qu'ils prendront.
    Une certification est un plus qui peut tre apprci lors de votre entre sur le march du travail.

    Pour le freelance

    C'est TRES difficile. Vous allez devoir trouver vous mme vos client finaux. Gnralement, vous faites de la sous traitance pour des SSII, ce qui reviens plus ou moins la situation du dessus.

    3 - Quelles tudes faire ?

    Il existe des tudes spcialises. Honntement, je ne sais pas ce que a vaut. En revanche, un employeur vous prendra en priorit si vous pouvez justifier d'une exprience solide en la matire. Ne vous contentez JAMAIS de vos tudes. Faites des papiers ! maintenez un blog et publiez des sploits, c'est trs apprci par les employeurs.

    Les tudes et les certifs ne vous apprendront presque rien, ca sert juste faire bien sur le CV et rassurer les clients finaux. La scu, c'est avant tout l'exprience et au feeling que a marche.
    On ne peut faire correctement de la scu QUE pour une techno que l'on maitrise. Ce qui implique d'avoir plusieurs annes d'exprience en tant que dveloppeur ou ing sur la techno en question avant de se mettre faire de la scu.

    4 - Perspectives de carrire

    Dans la scu, on progresse trs vite mais on ne va pas trs loin. Au mieux on fini RSSI ou on supervise les pentests.
    a n'est gnralement pas un mtier que l'on garde vie. On finis par se lasser au bout de quelques annes.

    Tortue 974.
    Dernire modification par TorTukiTu, 24 juin 2014, 19h28.
    OxyGen Software
    Scurit, dveloppement, formations, informatique biomdicale
    [email protected]

  • #2
    Envoy par TorTukiTu Voir le message

    1 - Du mtier de pentesteur

    Le mtier qui intresse souvent les plus jeunes est celui de pentester. Ie. le type qui va pratiquer les tests d'intrusion.

    Ide fausse :

    Chouette ! Je vais passer mon temps pntrer des systmes.

    NON ! 75 85 % du temps, vous allez le passer mettre des couleurs sur vos rapports o montrer combien vous avez bien travaill pour votre boite en runion.
    Au passage, 80% des gens prsents dans ce genre de runion ne sont pas des dveloppeurs ou des ingnieurs. Il vont faire semblant de piger ce que vous raconter avant de ranger 1 fois sur deux votre rapport au fond d'un tiroir (manque de temps / fonds pour corriger les problmes que vous aurez montrs).

    Il faut voir aussi que l'on va vous de mander de bosser sur des technos que vous de maitrisez pas, ou dans des dlais trop courts. On va donc (de mon point de vue) vous payer pour faire du survol satellitaire des problmes de l’application / infra ou autre tester. C'est trs frustrant.
    Je suis totalement d'accord avec toi, mais bon, pour ma part, c'est quand mme le cot pentest qui m'intresse, les rapports, si tu aimes ton mtiers (passion), tu les feras.

    Nous devons de toute faon, pour chaque pentest effectu, indiqu toutes les actions faites:

    -Pour nous protger (c'est vous qui avait tout cass, c'est bizzare a marchait avant que vous veniez, etc)
    -Pour le client, il paie pour que vous bossiez. Vous ne rendrez jamais 5 pages avec dessus: (le serveur AD est vulnrable, le serveur fichier je l'ai fait tomber, vos firewalls sont pas jour, etc)

    Cordialement,

    L'OMBRE
    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

    Commentaire


    • #3
      Merci pour le partage de ton exprience.Personnellement, j'ai eu beaucoup de mal avec la scurit la premire fois qu'on m'en a parler c'est mon pote (dans la vrai vie et sur le net) piconbier et lors d'un apro. Il m'a montrer q'un de mes projets prsenter des failles bantes de scurit. J'tais plat comme si tout ce que j'avais appris ne servais plus rien. Comme lui aussi met en place des sites pro/particulier (securit comprise), il m'a filer un livre technique en Anglais o je piger pas grand chose si ce n'est que je devais revoir une partie de ce que je savais dj et qui avais t mis mal par les pentesteurs.
      Je le remercie jamais assez car sans lui je serais encore aveugle l'heure d'aujourd'hui.

      Commentaire


      • #4
        Je suis dbutant que faire alors

        Commentaire


        • #5
          Bonjour,
          J'ai aussi mme des ides partager concernant le domaine de scurit informatique, et je pense que la scurit lectronique aide mieux protger nos donnes et surtout pour les entreprise.
          pour plus d'info je vous invite lire et dcouvrir ce site qui a beaucoup d'information de des solutions: https://www.secumall.ma/fr/9-securite

          Commentaire


          • #6
            Merci pour les infos

            Commentaire

            Chargement...
            X