Discussion :

[fr0rst]

Bonjour à tous,

J'ai 32 ans, je suis titulaire d'un BEP électrotechnique.
J'ai travaillé +/- 10 ans dans la sécurité électronique (systèmes alarmes bancaires, contrôle accès biométrique, CCTV, etc..)


Actuellement je souhaite me reconvertir dans la cybersécurité, car je souhaite revenir à ma passion première qui est l'informatique.

Toutefois j'ai un peu du mal à mettre un nom sur le métier que je veux faire, ainsi que les certifications / diplômes / compétences que je dois acquérir.

Aussi j'aimerais avoir des avis de professionnels du domaine pour me faire une "feuille de route" d'apprentissage qui corresponde à la réalité du domaine.
Et pouvant être conciliée avec mon profil semi-autodidacte, en sachant que mon projet de reconversion porte sur +/- 3 ans.

Je suis actuellement dans une formation accélérée en développement web. (RNCP BAC+2).
Paradoxalement je n'ai pas choisi cette formation pour travailler en tant que développeur directement, mais plus pour acquérir les fondamentaux propres aux applications web.
(J'ai du faire un compromis entre les formations financées par pôle emploi, mon niveau d'étude actuel ainsi que mon objectif).


Au quotidien j'aimerais :
- Administrer / intervenir sur des systèmes Linux principalement.
- Effectuer des audits de sécurité réseau.
- Effectuer des pentests applicatifs (web).
- Participer à la conception / évolution d'infrastructures réseau.

Au niveau développement, les compétences que je souhaite acquérir seraient les suivantes :

Focus ++:
- Python
- Bash

Connaissances fondamentales :
- HTML/CSS/PHP/SQL/JS

Au niveau des certifications j'aimerais passer :

Sécurité:
- OSCP

Réseau:
- CCNA / CNNP (optionnel, à creuser)

Système:
- RedHat RHCE / RHCSA (optionnel, à creuser)

Méthodologies / Référentiels maitrisés :
- OWASP


J'aimerais avoir votre opinion en tant que professionnel du métier.

Quelle serait votre opinion d'un tel profil ? (pas forcément universitaire, certes)
Et selon vous, quel serait le métier "idéal" pour pouvoir mettre en application ces compétences au quotidien ?

Je suis également ouvert à toutes suggestions additionnelle évidemment !
Car tout ceci n'est encore qu'une ébauche de ma feuille de route.

Merci beaucoup pour votre aide.

[gangsoleil]

Hello,

Pour moi, ton profil pourrait se rapprocher d'un admin système/réseau orienté sécurité -- sauf pour le côté pentest d'applications Web, là c'est pentesteur. D'ailleurs, même si je comprends ton attrait pour les 2, je pense que ce sont 2 métiers différents, qui ne demandent pas les mêmes compétences.

Tu as l'air bien renseigné, avec un plan qui a l'air de tenir la route, je ne suis pas certain de comprendre quelle est ta qusetion ?

[fr0rst]

Hello,

Pour moi, ton profil pourrait se rapprocher d'un admin système/réseau orienté sécurité -- sauf pour le côté pentest d'applications Web, là c'est pentesteur. D'ailleurs, même si je comprends ton attrait pour les 2, je pense que ce sont 2 métiers différents, qui ne demandent pas les mêmes compétences.

Tu as l'air bien renseigné, avec un plan qui a l'air de tenir la route, je ne suis pas certain de comprendre quelle est ta qusetion ?

Bonjour et merci de ta réponse.

Et bien je cherchais à m'assurer que ce plan tienne la route justement, car je l'ai fait au fur et à mesure - dans mon coin- .
Du coup cela me rassure un peu que tu n'y ai pas vu de trop grosse incohérence.
Etant donné que je ne suis pas du tout issu d'une formation universitaire, je dois compenser avec les certifications, je pense. Sans parler des projets persos.

Du coup j'ai conçu mon programme "au fil de l'eau" en conjuguant à la fois ce que j'aime faire et ce que j'ai pu lire sur le domaine de la sécurité informatique.
Mais vu que sur internet il y'a parfois à boire et à manger, je préfère demander sur un forum tout de même assez spécialisé pour m'assurer que je ne fasse pas trop fausse route.

A terme je pense me diriger vers l'audit, plus que l'administration, puisque le pentest et la réflexion qu'il y'a derrière est ce qui me plaît le plus.

Est-ce que selon vous, en prenant cela en compte, ce "profil" devrait être modifié/complété ?

[gangsoleil]

Dans le domaine de la cybersécurité comme beaucoup d'autres, plus on creuse plus on se spécialise.

Un développeur, c'est une personne qui écrit des logiciels informatiques. Entre celui qui écrit des drivers hardwares en assembleur et celui qui fait des interfaces graphiques sexy, rien à voir, mais ce sont 2 développeurs.

Entre un pentesteur et un admin sys spécialisé en sécurité, c'est pareil.

Pour moi, il faut que tu te concentres sur un but, celui qui est dans le domaine que tu aimes. Tu veux faire de l'audit, de l'admin système, du pentest, pourquoi pas, mais ce n'est pas la peine de creuser trop dans un domaine si tu sais que tu ne vas pas y toucher.
Attention, c'est toujours intéressant d'avoir des notions dans tous les domaines, mais tu n'as pas besoin d'être un bon pentesteur pour faire de l'audit général en sécurité. Par contre, si tu veux faire de l'audits de logiciels, là c'est important.

[keokaz]

Bonjour, je suis développeur web et j'ai une formation de base en électronique bac pro MAVELEC.

Ton métier en tant que electrotechnique est plutôt le montage, installation maintenance des appareils en sécurité alarme ou serrure et badgage (100% hardware)?
le métier en sécurité en informatique est je pense vaste il y a la sécurité des serveurs, client. C'est plutôt administrateur réseaux .
il y a le développement de logiciel en sécurité, antivirus ou encore des application développement métier qui être sécurisé.
Par exemple pour un paiement en ligne il faut développer des api sécurisé avec le protocole http.
ET aujourd'hui avec les objets connecté il faut aussi développer des couches de sécurité.

Pour profiter des compétences en hardware et sofltware , je dirais c'est de travailler dans le objet connectés car je pense qu'il y a beaucoup de chose à faire.
Si l'informatique en infrastructure c'est ce qui te motive je pense qu'il faut une formation administrateur réseaux .
Si c'est la programmation c'est développeur d'application.
Si c'est du hardware avec du software c'est informatique industriel.

Avec les nouveau possibilités des appareilles embarqué, ses 3 mondes sont de plus en plus lié...

[fr0rst]

Dans le domaine de la cybersécurité comme beaucoup d'autres, plus on creuse plus on se spécialise.

Un développeur, c'est une personne qui écrit des logiciels informatiques. Entre celui qui écrit des drivers hardwares en assembleur et celui qui fait des interfaces graphiques sexy, rien à voir, mais ce sont 2 développeurs.

Entre un pentesteur et un admin sys spécialisé en sécurité, c'est pareil.

Pour moi, il faut que tu te concentres sur un but, celui qui est dans le domaine que tu aimes. Tu veux faire de l'audit, de l'admin système, du pentest, pourquoi pas, mais ce n'est pas la peine de creuser trop dans un domaine si tu sais que tu ne vas pas y toucher.
Attention, c'est toujours intéressant d'avoir des notions dans tous les domaines, mais tu n'as pas besoin d'être un bon pentesteur pour faire de l'audit général en sécurité. Par contre, si tu veux faire de l'audits de logiciels, là c'est important.

Bonsoir à vous deux et merci d'avoir pris le temps de me répondre aussi précisément.

Je comprends que je dois me spécialiser et je pense que tu as totalement raison.
Je suis très curieux de nature donc j'ai tendance à vouloir toucher à tout et vouloir tout comprendre, mais j'ai par exemple choisi de ne pas faire de dev software par exemple.
Je n'ai qu'une tête ..

Ce que j'ai un peu de mal à discerner encore aujourd'hui c'est la "frontière" entre les différents domaines.
Voici un exemple qui me trouble un peu : https://www.cyberseek.org/pathway.html (et je me méfie un peu aussi des graphiques tout fait..)

Dans mon scénario ideal cas par exemple, mon rôle "d'appoint" serait le réseau.
Puis, en entry-level "cybersecurity Technician".
Ensuite en mid-level, une -potentielle- perspective d'évolution en Pentest,
Puis en advanced-level soit ingenieur en cybersécurité, soit architecte en cybersécurité.
Visiblement les compétences/certifications restent tout de même communes (?).

Du coup ma question serait :
Est-ce que vous pensez que ce type de parcours qui démarre sur une spécialisation réseau en entrée de carrière, puis pentest ensuite, avant -éventuellement- de partir sur de l'ingénierie est réaliste ou cela parait éparpillé ?


Pour te répondre plus précisément Keokaz, mon métier était à l'origine technicien comme tu le stipulait, puis ensuite j'ai été amené à faire du conseil au clients grands comptes pour des chantiers nationaux.
A côté de cela je passais pas mal de temps au labo sur mon temps "libre" pour étudier les trames RFID, radio ou Ethernet de certains systèmes, et les modifier dans certains cas pour tester la sécurité. (le BE me détestait un peu. Gentiment..)
Donc c'est un peu un mélange de hard et de soft, mais si je devais choisir aujourd'hui ce qui m'intéresse le plus ce serait le réseau et le pentest.

[gangsoleil]

Hello,

Effectivement, je n'avais pas compris que tu incluais les évolutions, c'est plus clair maintenant

Même si tu commences par de l'admin réseau, assure-toi que ce soit de l'admin réseau orientée sécurité -- c'est un pré-requis nécessaire pour évoluer ensuite vers autre chose. Par contre, d'admin réseau à pentesteur, je ne suis pas convaincu. Je pense que pentesteur est accessible dès le début -- avec une formation bien sûr -- puis après tu pourras évoluer vers autres chose de plus générique.

[fr0rst]

Hello,

Effectivement, je n'avais pas compris que tu incluais les évolutions, c'est plus clair maintenant .

Je n'ai pas été très concis non plus je dois avouer, donc je ne t'en veux pas.

Même si tu commences par de l'admin réseau, assure-toi que ce soit de l'admin réseau orientée sécurité -- c'est un pré-requis nécessaire pour évoluer ensuite vers autre chose. Par contre, d'admin réseau à pentesteur, je ne suis pas convaincu. Je pense que pentesteur est accessible dès le début -- avec une formation bien sûr -- puis après tu pourras évoluer vers autres chose de plus générique.

Je vois ce que tu veux dire et effectivement le pentest était un peu ce que je visais en premier.
Malheureusement pôle emploi ne finançait pas CEH ou OSCP donc j'essaie de faire mon petit chemin en jonglant avec ce que je peux financer via le CPF (CCNA/CCNP) et ce que me finance pôle emploi (RNCP dev web).

Une fois ces titres en poche je pense prendre ce que je trouve en IT, je ne sais pas encore à quel poste.
Puis je réviserais et mettrais des sous de côté pour me financer une vraie certif de sécurité.


2021 va être une année chargée!

Merci de nouveau pour vos réponses, j'y vois tout de même un peu plus clair !

[gangsoleil]

Une fois ces titres en poche je pense prendre ce que je trouve en IT, je ne sais pas encore à quel poste.
Puis je réviserais et mettrais des sous de côté pour me financer une vraie certif de sécurité.

Certaines certifications sont un vrai plus, c'est certain.

Néanmoins, la sécurité informatique "pour toutes les entreprises" est un domaine qui en est encore à ses débuts, donc c'est un domaine dans lequel tu trouves des gens de divers horizons, plus qu'ailleurs. Je pense que c'est domaine dans lequel il est, aujourd'hui, encore possible de percer même si tu n'as pas une formation officielle, reconnue, etc... attention, ça ne va pas forcément durer.