Discussion :

[polpotarienfaitdemal]

Bonjour,

Je suis actuellement étudiant en première année de Licence double-diplôme Informatique, Mathématiques. Pour mon projet de l'UE "Explorer l'environnement professionel" (EEP), je dois interviewer des professionnels dans le domaine qui m'intéresse. Je suis à la recherche d'un large éventail de profils : ingénieurs titulaires d'un diplôme d'ingénieur, ingénieurs titulaires d'un diplôme de master, étudiants de dernière année, professionnels travaillant à l'étranger, ...

Il vous suffit de répondre aux questions ci-dessous par un message privé ou par une réponse. Je vous remercie.

1. Pourquoi avez-vous choisi de se spécialiser dans la cybersécurité ?
2. Quel est votre parcours ?
3. Pouvez-vous généraliser votre travail comme expert de cybersécurité ?
4. Quelle est votre opinion sur le marché de travail pour nouveaux spécialistes de cybersécurité ?
5. A votre point de vue, quelle est l'avancement de carrière typique d'un spécialiste de cybersécurité ?
6. Y a-t-il des compétences nécessaires dans cette profession qui ne sont pas évidentes ?
7. Comment voyez-vous la cybersécurité dans 5 ans ou 10 ans en termes de technologie et d'opportunité d'emploi ?
8. Y a-t-il des conseils que vous voudriez donner aux étudiants, de L1 ou MPSI jusqu'à l'année finale d'études, qui veuleunt se spécialiser dans la cybersécurité ?

[gangsoleil]

Hello,

1. Pourquoi avez-vous choisi de se spécialiser dans la cybersécurité ?
Parce que c'est un domaine qui m'intéresse. Et donc vers lequel je suis allé naturellement, et sur lequel je n'ai pas (trop) de difficultés à me former.

2. Quel est votre parcours ?
M2 recherche en informatique (systèmes répartis pour être précis), puis j'ai travaillé comme développeur.

3. Pouvez-vous généraliser votre travail comme expert de cybersécurité ?
C'est très simple : je conseille les autres -- développeurs, responsables produits, architecte, (haut-)management, ... Tout·es ceux·lles qui ont des questions sur la cybersécurité. Exemple : on veut implémenter une nouvelle fonctionnalité qui fait du café, mais on veut que la machine soit sécurisée, comment on fait ? Ou bien : lorsque l'utilisateur se loggue, est-ce que la bonne méthode est de transporter son mot de passe en clair puis de le comparer à celui que j'ai dans la base en clair aussi ? (spoiler : non)

4. Quelle est votre opinion sur le marché de travail pour nouveaux spécialistes de cybersécurité ?
Le marché est très compliqué, je vais essayer de résummer.
Les gens, dont font partie les recruteurs, sont biberonnés avec toutes les conneries qu'on voit dans les films, et ça introduit un biais énorme. Un hack dans la vraie vie prend des mois. Lutter contre est un travail de tous les jours, ça ne sert à rien de mettre 10 experts dessus pendant 1 mois en espérant avoir de la sécurité pour 1 an.
Il y a un manque de formations connues ou reconnues, et le stéréotype du geek qui s'est formé tout seul dans sa chambre/cave a la vie dure.
Tout ça pour dire que d'un côté, il y a un réel besoin dans beaucoup d'entreprises, mais la plupart de ces entreprises n'ont pas la moindre idée des profils cybersécurité dont elles ont besoin. Un DSI seul ? Un prestataire externe pour mener à bien une mission ? Des formations du personnel ? Renforcer ses équipes ? Un audit ? autre ?
D'un autre côté, il y a des gens qui connaissent la cybersécurité, qui voudraient travailler dans le domaine, mais qui ne collent pas aux profils recherchés, ...
Après, il y aussi le fait que le domaine est méconnu. Travailler dans la cybersécurité, c'est presque aussi vague qu'informaticien (c'est valable pour beaucoup de domaines) : entre un développeur Web et un développeur réseau bas niveau, il y a très peu de points communs. Et c'est à peu près pareil entre un spécialiste cybersécurité haut niveau (capable d'avoir une vision d'ensemble, et d'intervenir sur de nombreux domaines de manière générale) et un pentesteur ou un cryptographe.
Et comme dans les films les gens sont capables de faire tout ça en même temps ("j'ai sécurisé la base avec un double cryptage RSA-AES512, et de l'autre main j'ai renforcé le pare-feu avec des scripts maisons, maintenant je vais hacker le PC du vilain méchant en tapant n'importe quoi au clavier, mais laisse-moi 2 minutes quand même"), ça n'aide pas à ce que le grand publique comprenne la séparation des domaines.
Du coup, il y a des entreprises qui ont des postes en cybersécurité ouverts depuis des années.

5. A votre point de vue, quelle est l'avancement de carrière typique d'un spécialiste de cybersécurité ?
Typique ? Aucun
Logiquement, une carrière va commencer par un métier technique et pointu -- dev, sécurisation réseau, pentesting, ...
Ensuite, avec l'expérience, les gens vont se spécialiser, soit dans la technique (lead-dev, architect sécurité, DBA option sécurité), soit vers un plus haut niveau d'abstraction (manager d'une équipe de cybersécurité, ce qui amène plus tard vers des postes décisionnaires comme DSI)
Attention, il n'y a pas un poste qui est mieux qu'un autre, il y a des postes qui conviennent à des gens et d'autres pas.

6. Y a-t-il des compétences nécessaires dans cette profession qui ne sont pas évidentes ?
Comprendre les contraintes clients.
La cybersécurité ne doit pas être absolue dans tous les cas.
Exemple : on te demande de créer un module de chiffrement pour des messages. Ton appli reçoit un message (peu importe d'où), et doit le transmettre de manière sécurisée. OK, donc lors du design tu vas trouver des cas dans lequel tu n'arrives pas à chiffrer le message (c'est normal), donc tu as 2 choix : tu sors en erreur sans envoyer le message (puisque tu ne peux pas le chiffrer), ou bien tu transmets le message en clair.
La 1ère solution est sécurisée, et semble donc meilleure. La seconde est clairement une faille dans l'implémentation, qui pourrait être exploitée par un méchant pour que ton module transmette tout en clair, ce qui est mal.
Donc tu choisis la 1ère solution.
Et ça tombe bien car ton client est une banque, qui envoie de l'argent à une autre banque. Si le transfert échoue, on ré-essaye quelques secondes/minutes plus tard, après avoir rebooté le truc si besoin, le client râle un peu mais c'est cool, l'information est sécurisée, rien n'est passé en clair, tout va bien.
Mais pas forcément.
Imagine maintetant que ton module de chiffrement serve à des militaires en opération : leur vie peut dépendre du fait que le message passe ou pas. Oui, ce message doit être sécurisé, mais le fait que le message passe est plus important que la sécurité du message.
Donc dans ce cas précis, tu implémentes la 2nde solution. Avec une faille de sécurité.

7. Comment voyez-vous la cybersécurité dans 5 ans ou 10 ans en termes de technologie et d'opportunité d'emploi ?
Sérieusement, j'espère que les constructeurs de conneries connectées vont commencer à prendre en compte un peu la cybersécurité.
Je pense que l'évolution va être comme le métier de développeur : au début il y avait principalement des bidouilleurs issus de l'électronique, et aujourd'hui on a aussi bien de vrais développeurs formés que des gens qui ont lu 2 tutos sur le net et qui se disent développeur.

8. Y a-t-il des conseils que vous voudriez donner aux étudiants, de L1 ou MPSI jusqu'à l'année finale d'études, qui veuleunt se spécialiser dans la cybersécurité ?
Je ne connais pas les parcours actuels -- ils sont trop récents
Par contre, je ne peux que te conseiller de faire ce que tu aimes, tu vas y passer 8h par jour, c'est donc important de bien choisir. N'hésite pas à poser des questions, regarder des domaines insoupçonnés, gratter à droite ou à gauche pour découvrir de nouvelles choses. Sois curieux donc.

[polpotarienfaitdemal]

Merci beaucoup pour la réponse !

J'ai des questions supplémentaires :

1. En dehors un diplôme d'État, l'obtention de certifications est-elle une bonne idée pour se démarquer des autres candidats ?
2. Y a-t-il une différence importante dans une programme de cybersécurité entre la fac et une école d'ingé ? Par exemple, serat-il avantageux d'obtenir le bac+5 dans une bonne université ou une école d'ingé privée (ex : ECE Paris, ESIEA, ...)
3. Y a-t-il de bonnes opportunités d'ouverture internationale et cela dépend-il du prestige de l'école ?

[gangsoleil]

1. En dehors un diplôme d'État, l'obtention de certifications est-elle une bonne idée pour se démarquer des autres candidats ?
Oui, non, ça dépend.
Oui, c'est toujours bien d'avoir des certifications, mais attention à ce que tu passes, car une certification inconnue des recruteurs, ou bien trop pointue, ne servira pas.
Après, tu peux regarder les certifications mondialement connues, comme CISSP, mais est-ce orienté vers ce que tu veux faire ?

2. Y a-t-il une différence importante dans une programme de cybersécurité entre la fac et une école d'ingé ? Par exemple, serat-il avantageux d'obtenir le bac+5 dans une bonne université ou une école d'ingé privée (ex : ECE Paris, ESIEA, ...)
Pareil, ça dépend... Entre quelle fac et quelle école ? Sachant qu'entre 2 facs ou 2 écoles, c'est déjà très différent.
Après, tu tomberas dans ta carrière sur des gens qui te diront "ah oui, tu as fait ça... c'est pas la meilleure, mais bon, c'est mieux que rien", d'autres qui ne jugeront que par la fac, d'autres qui te diront que si t'es pas ingénieur tu as raté ta vie (ou presque), donc ce qu'il faut c'est que tu te concentres sur le programme, ce que tu vas apprendre, et les conditions de travail (si tu dois avoir 4h de transports par jour pendant 3 ans, est-ce que ça en vaut la peine ?).

3. Y a-t-il de bonnes opportunités d'ouverture internationale et cela dépend-il du prestige de l'école ?
Oui, il y a du travail dans la cybersécurité à l'international. Attention au niveau de langue -- anglais obligatoire, plus la langue du pays ça aide toujours, mais ça peut s'apprendre plus tard, surtout si c'est une langue peu courante. Le prestige de l'école, moui, déjà il faut qu'il y ait des équivalences de diplômes, donc fais attention à choisir des formations diplomantes (ou mondialement connues).