NewbieContest

Bonjour à tous.

Actuellement Ingénieur R&D en informatique dans le domaine de la Réalité Virtuelle (6 ans d'xp), j'envisage une reconversion professionnelle dans le domaine de la sécurité informatique (Qui a dit que NC ne créé pas de vocations ?  =D )

Je souhaiterai donc savoir si il y a parmi vous quelques professionnels de la SSI qui voudraient bien partager un peu avec moi leur expérience quotidienne afin de me faire une idée plus précise des missions auxquelles un expert est confronté.
(si vous ne l'êtes pas mais que vous en connaissez un dans votre entourage, je suis preneur aussi )

Qui souhaite donner un coup de main à un jeune motivé ?  :oops:

Merci d'avance !

Salut Mandrake,

Tout dépend de ce que tu entends par sécurité en fait. Pentest, intégration d'équipements, travailler dans la DSI, conseil, etc ? Il y a plein de possibilités.
Mon retour là dessus :
 - au niveau intégration : tu feras pas de la sécu comme sur NC, ça va être beaucoup plus high level, c'est de l'install d'équipements (firewall, IPS, WAF, antispam, AV, etc), en gros, c'est installation physique, configuration de départ, tunning de la conf, transfert de compétence et le client se demmerde après. Par contre, ça soulève d'autres problèmatiques que celle de la sécu pure : optimiser l'archi du client, comment gérer le remplacement d'anciens équipements par des nouveaux sans couper la prod, ce genre de choses. Si tu te vois pas toute ta vie faire de la technique, imho, c'est un bon moyen de passer de tech pure à manager/RSSI par la suite.

 - au niveau boulot dans la DSI : c'est totalement différent (du moins de ce que j'en vois, mais je bosse principalement avec des grosses boites, j'ai moins de retour pour ce qui est PME), on est sur de l'administration plus... "classique", ouverture de flux sur les FW, règles sur les proxys, ce genre de choses, de mon point de vue c'est assez vite rébarbatif, c'est plus ou moins toujours pareil. Après, c'est mon caractère qui fait que j'aime pas être plus d'une semaine sur la même chose.

 - au niveau pentest : là c'est comme sur NC, ou presque. Quand tu fais du pentest, faut être gentil avec le client, s'il veut pas qu'on pète sa prod, ben on se ronge le frein et on fait des tests basiques. Perso, c'est mon kif, (suffit de mater mes stats sur la partie hack, HEIN XIA ! ;)), même si c'est pas toujours aussi sympa que ça en a l'air, il y a des rapports longs et chiants à faire, faut toujours faire attention à ce que tu testes (Injection SQL sur de l'INSERT, tu cherches les ennuis typiquement, faut savoir ce que tu fais).

Voilà les différentes parties que je connais de la sécu.

Après, rien n'est figé, typiquement, je bosse dans un boite d'intégration sécu/réseau, et je fais un peu des trois (mi temps chez un client une semaine sur deux, pas mal de pentest en ce moment et un peu d'intégration classique d'IPS et FW).

Si tu veux que je pousse un peu les explications, dis moi

Enjoy

The lsd

Salut the lsd

Merci d'avoir pris le temps d'avoir rédigé une réponse aussi complète.
Ton travail semble assez varié. Est-ce le cas dans la majorité des cas ou est-ce parce que tu travailles dans une petite société ?

Bien évidemment, ma partie préférée reste aussi le pentest.
Je pense que la partie analyse d'attaque doit être bien aussi mais tu n'en fais pas apparemment.
Est ce qu'il existe un métier qui ne couvre que ces 2 aspects ?

autres questions :
- Quel parcours as-tu suivi pour arriver dans ton job ?
- Est-ce que les epreuves de hacking NC représentent assez bien ce que tu trouves pendant tes missions ?
- Ne passes-tu finalement pas tout ton temps à lancer des tests automatiques sur les infrastructures de tes clients ?

On peut continuer la conversation en MP si tu préfères

Merci  :!:

J'ai pas trop de retour par rapport à d'autre boites, mais effectivement, c'est assez varié mon taf. Parce que c'est une petite boite peut etre, mais aussi parce qu'on a plusieurs activité, et surtout que j'ai lancé les pentests en arrivant là.


Si, on commence à faire un peu de forensics, mais pas comme tu dois penser :p Pas de volatility ni rien, en gros, on fait de l'analyse de logs FW, proxy, etc
SI tu vas dans une boite full sécu (au hasard sysdream), ils doivent surement faire les deux là bas.


Un parcours sans rapport avec la sécu :) dans l'IT forcément, mais de manière plus large, j'ai touché à tout (dev web, réseau, droit IT, toshop, etc)
Pour les épreuves de hack, honnetement, elles sont plus compliquées que ce qu'il y a dans mes missions. Si j'avais tout le temps que je voulais pour un pentest, effectivement, je pourrais chercher la petite bête, mais faut respecter le nombre de jours vendus, donc tu essaie de chercher en priorité les vulns les plus faciles, puis si t'as du temps en trop tu cherches plus loin.
Pour les tests automatiques, oui et non. Effectivement, certaines choses sont automatisées (scan de ports, brute force, ce genre de choses), mais pas tout. Typiquement, j'ai aucune confiance dans les plugins jor XSS-me. Si l'appli utilise des centaines de paramètres, je peux y réfléchir, mais il faut toujours faire attention aux effets de bord. Et il y a dans tous les cas des failles que tu ne peux pas automatiser.

Pour les MP, au besoin je pourrais t'envoyer des infos, mais on peut continuer ici pour le moment, ça aidera peut etre d'autres personnes.

Enjoy

The lsd

Coucou
Votre conversation est des plus intéressantes, surtout continuez ici plutôt qu'en MP.  :)

Sauf si vous devenez trop intimes...  :oops:

Ah ben zut, j’étais persuadé que tu allais me dire l'inverse.
Du coup, est-ce que tu conseillerais le métier de pentester à quelqu'un qui ne fonctionne qu'au "challenge" et qui adore "trouver la petite bête" ?
Autrement dit, c'est pas top "barbant" de se taper le recensement de toutes les failles faciles ? (et qui doivent donc toujours être les mêmes...)

Question alternative :
Quel type de métier dans la SSI et quel type de boîte peuvent offrir une activité avec plus de challenge. Je ne recherche pas le cliché hollywoodien du hacker, mais une activité tout de même un peu plus "en dehors des sentiers battus"...

Merci

@sandelsan
Heureux de savoir que ce topic en aide d'autres ;-) on va essayer de continuer en publique tant que c'est possible et si the lsd est d'accord.

Trop barbant non, ça reste assez varié, disons que les objectifs sont différents que les challenges NC. Les missions se ressemblent entre elles mais restent différentes :
 - déjà parce que tu trouves des failles différentes -une XSS par ci, une injection SQL par là, de faiblesses de chiffrement pour les classiques- mais c'est toujours sympa de trouver des vulns un peu exotiques. Par exemple, faire du googling intensif pour trouver des anciennes pages du site à tester, pour trouver des infos dans le cache google, c'est un autre type de "défi"
 - et ensuite parce que les client ne veulent pas forcément qu'on arrive à l'exécution de code -même si ça vend du rêve-, mais veulent du plus high level. Avoir un point de vue global de la sécurité de leur SI, voir s'ils sont sensibles au data leak ce genre de choses. Se rendre compte que les données sensibles peuvent se faire voler, ça peut être encore plus important que de se faire pwn une machine.

'fin en tout cas, moi ça me barbe pas pour le moment ^^


Tu veux du challenge ?
Va voir du coté de vupen, les mecs gagnent tous les ans le Pwn2Own, c'est un peu des tueurs. Par contre, pour y rentrer, BISOUS HEIN. Déjà parce qu'il faut être très bon, et ensuite parce que je viens d'apprendre que Vupen se barre à l'étranger (http://www.zdnet.fr/actualites/vente-de-failles-vupen-veut-quitter-la-france-et-blame-les-lourdeurs-administratives-39810061.htm). J'imagine que Sysdream et consort doivent avoir des labos de R&D qui peuvent être sympas aussi.
Par contre, tu seras pas embauché pour tes beaux yeux hein, si tu veux avoir du challenge, faut prouver que tu as le niveau au préalable :p

Sandelan, c'est bien pour ça que j'ai dit que ça me dérangeait pas de continuer en public ^^


Par contre, je me sens un peu seul, d'autres points de vue sont pas de refus hein ^^


Enjoy

The lsd

sûrement parce que t'es le seul à travailler dans la sécu informatique ici :)

Merci beaucoup pour tes réponses the lsd. C'est très complet.

Y a t il d'autre personnes qui travaillent dans la SI qui souhaiteraient contribuer au topic ?
Merci d'avance !

Come on, j'peux pas être, sur plus de 30 000 membres, le seul à faire de la sécu quand même ^^'


La SI ? Sécurité Informatique ? Ça se dit pas ça hein :p

Enjoy

The lsd

Salut,


Hélas! Je ne peux pas t'aider =D Tu es alone sur ce coup =D


La SI! La SI! Es-tu là? (J'entends aboyer dans le lointain =D)

ferbos

Bonjour !

Super intéressant comme thread ! Je suis moi aussi un passionné de sécurité et je suis actuellement en école d'ingénieur, 1ère année du cycle ingénieur (L3). Je voulais savoir si vous connaissiez des boites dans le pentesting qui prennent des stagiaires :) Ou si vous connaissez quelqu'un qui connait quelqu'un qui pourrait être intéressé par un stagiaire avec mon profil ^^ (un profil NC vaut probablement mieux qu'une lettre de motivation et un cv vide :p )

Merci beaucoup ! J'espère que j'aurai des réponses :D Sinon tant pis, bonne journée :)

Essaie Sysdream ou HSC, ce sont les plus gros que je connaisse. Pour ma part, j'ai pas assez de relation dans ces boites là, et dans la mienne on prend pas pour du pentest.


Vaut mieux les deux hein ^^ Et puis ça dépend des cas, avec mon pseudo, c'est pas avantageux de se pointer uniquement avec mon profil NC ^^

Enjoy

The lsd

Bonjour,

Si ça t'interesse, ma boite recrute des pentesteurs

j'ai posté le topic là: http://www.newbiecontest.org/forums/index.php?topic=4297.0

y a du pentest, du soc et tout, c'est assez varié.

Salut VY Canis Majoris  !

Oui, je viens de voir ton post. Ça m’intéresse effectivement énormément !
Je t'enverrai un mail très prochainement pour approfondir tout ça.

Je retourne potasser mes bouquins !
A bientôt !

Lu VY Canis Majoris,

Sorry, j'ai modéré ton autre topic, c'est de la pub directe, c'est pas super apprecié. Pour le coup ça m'a vraiment fait chier de modérer là parce que c'était pas un topic useless ^^'
Mais comme sur ce topic propose d'autres boites de pentest, renseignez vous aussi sur ITrust, on sait jamais  =)  (On est quittes comme ça ?  =) )

Enjoy

The lsd

Pas de problème je comprends,

J'avais essayé de réduire un peu l'aspect pub, notamment en étant honnete sur les points négatifs de la boite (je suis pentesteur chez ITrust, pas RH donc je dis ce que je veux) tout en sachant évidemment que je détournais en partie l'usage premier du forum.

En fait on a décidé de réorienter notre politique de recrutement en cherchant avant tout des passionnés et en les professionnalisant par la suite (plutot que prendre des mecs qui font bonne figure auprès des clients mais qui assure moyen techniquement derrière). Comme c'est moi qui ait soumis cette idée, j'essaye de faire en sorte qu'elle donne des résultats et donc je vais moi-même sur les sites de challenges faire ce speech.
Bon là c'était le premier essai, j'en ai pas encore fait d'autres.

Donc sans rancune, par contre si tu as la possibilité de m'envoyer en MP le message originel du sujet que t'as locké, ce serait pas de refus, car j'en ai pas de sauvegarde (comme j'ai dit, newbie contest est le premier site où j'ai essayé)

J'ai pas locké, j'ai modéré ton premier post, mais avec un peu de chance, j'ai encore le cache de dispo sur une de mes machines, je verrais ce soir si je peux te renvoyer tout ça. Je te promet rien hein.

Sur le principe, je suis d'accord avec toi, il vaut mieux prendre des mecs qui en veulent mais qui sont pas encore au point techniquement, plutôt que des bonhommes qui ont les connaissances théoriques grâce aux diplômes mais qui savent pas configurer une default gateway et qui s'en foutent.
On fait plus ou moins comme ça chez moi, et ça marche plutôt très bien.

Enjoy

The lsd

@VY Canis Majoris : J'ai gardé ton post pour ma part. En as-tu toujours besoin ?

Edit : Dites, j'ai bien aimé votre échange sur les profils que vous souhaitez recruter dans vos boites respectives. Pour ma part, je souhaite trouver une société qui puisse me prendre en contrat de professionnalisation. Je suis très motivé, mais encore juste en connaissances (d’où le contrat de professionnalisation...). Je passe donc mes journées à étudier en autodidacte afin de pouvoir me defendre un minimum en entretien et prouver mon serieux.

Auriez-vous, svp, une liste de connaissances qu'il vous semble indispensable de posséder pour prétendre postuler dans l'une de vos sociétés ?
Allez, je commence la liste :
- Savoir configurer une default gateway ^^ (merci the lsd)

PS : je recherche plutôt dans le pentest.

Merci d'avance pour votre aide !

Pour la partie pentest, en gros, je demande le profil NC voir le niveau en hack. Pour moi, tu peux pas commencer à faire du pentest si t'as pas en gros 75% des challs hacks validés, mais c'est pas le seul critère. Après, je parles là pour faire du pentest chez des clients, pour la partie apprentissage, j'm'en fous du niveau, ce qu'il faut c'est que le mec soit intéressé, mais ça c'est au feeling.
Mais bon, pour postuler sur du pentest dans ma boite, c'est mort, il y a déjà de la file d'attente en interne ^^.

Pour la partie réseau pur, j'ai envie de dire osef de configurer une GW, j'ai pas fait un parcours spécialement réseau dans mes études et on m'a pris quand même, alors que j'ai mis 2H à configurer ma première GW au taf (BRAVO L'ERREUR DE MASQUE RESEAU !!!). Ce qu'il faut dans ma boite, c'est en vouloir et montrer que t'es motivé et que tu captes ce qu'on te dit.


Enjoy

The lsd

PS : rassurez vous, maintenant je met une default GW les yeux fermés :)

Edit : 90% des mecs qu'on prend sortent des études, autant dire qu'ils ont zéro compétences réelles, mais on le sait et on les aide à comprendre en faisant des missions en binomes ou en leurs faisant faire des maquettes.

Pour ma part je suis Consultant en Risques & Sécurité.

Même si je reste plus fonctionnelle dans mon quotidien, je plussoi lsd, après avoir passé 5 ans sur les bancs d'études je n'ai pas acquis spécialement de méthodes de pentest.

J'ai eu des cours théorique d'un superbe prof sur la sécu, mais ça reste principalement ce thème :

- Gouvernance des SI, Gestion & Analyse du Risque, Riposte au Risque, Principes & Fonctionnement Virologique etc...

Mais en sortant tu sera pas coder un Malware, Réaliser un BOF, une SQLi etc...

Tout ça j'ai eu la chance de l'acquérir tout seule, en traînant sur des forums louches, NC, et j'ai envie de dire qu'on a une logique déstinée à ça !

Et aujourd'hui c'est ce qui me donne la "plus value" dans mon travail, car contrairement a un autre Consultant "Bullshit" qui sortira les gros principes de la Sécu, je suis capable d’analyser les infrastructures et me dire "Qu'est ce que je ferais....".

Mais si tu veux te reconvertir, on ne peut pas tout savoir, LSD sera d'accord je penses, on a tous nos spécialité.

Si on prend le cas des APT, ce sont en général des Ingénieurs, Doctorant qui sortent des écoles, dans des pays où il n'y a pas de travail et ils sont employé par des mafias qui risquent moins que la prostitution ou la drogue car les lois de leurs pays sont en retard. (Ou parfois même le gouvernement lui même cf : la CHINE !)

Et on discèrne deux équipes en général :

- L'équipe de prise d'empreinte, découverte de l'infrastructure, et de vecteurs d'infection.
- L'équipe d'exploit, de récupération d'informations et de suppressions des traces.

Ce sont des gens tellement créatif et fort qu'ils rendent notre travail intéressant ! C'est pour ça que des 0 days peuvent se vendrent jusqu'a plus centaines de milliers d'euros selon l'impacte et que les APT sont découvert 1 à 3 ans après l'attaque !

Pour résumé,si tu as la motivation on t'en voudra pas de ne pas tout savoir, tu l'apprendras au fur et au mesure, si on te saque comme on a pu me le faire en entretien à chercher la petite bête, passe ta route, avec un manager aussi con tu pourra malheureusement pas évolué, quand l'entretien se transforme en qui a la plus grosse c'est que y'a pas d'avenir malheureusement !

Voili Voulu !

Salut,

Je suis d'accord sur les quelques points évoqués par St4nl3y que je résumerai ainsi:

• si tu as le diplôme, tu n'as pas forcément l'expérience mais, sans le diplôme, tu n'as pas l'emploi notamment en France qui sont très accroc à cela. Notamment, il est un point d'appui pour accéder à un emploi en tant que manager/chef de projet alors que les compétences sont loin d'être acquises. Ce sont ceux qui ont appris par coeur des choses et qui vous les refourguent dans un emballage sans valeur ajoutée (souvent la preuve de leur incompétence).
• Il faut voir qui est ton supérieur direct et ses réactions: l'entretien est non seulement le moment de se faire tester mais aussi de tester ton employeur à moins de passer par des chercheurs de têtes. Certains sont gonflés à l'intox, d'autres ont de gros points faibles =D (un professeur de mathématiques qui ne connaîtrait pas le théorème de Pythagore par exemple) ou en surdose de caféïne =D
• J'ai vu dans divers domaines mon supérieur ou mon professeur (qui sont parfois les deux) faire volontairement les mauvais choix ou sortir des présentations très globales ou encore générer des conflits pour éviter que l'on pique leur travail en le faisant mieux qu'eux. Au final, en étendant mon réseau de travail, je sais qui je peux remballer et sur quoi mais aussi sur quoi je peux me faire remballer et par qui.

Tout cela est valable en-dehors de la Sécurité Informatique.

J'ai noté un truc:
J'ai cru comprendre que NC est louche =D

Puis un autre:
Je ne suis pas prêt d'être embauché moi =D

ferbos

Je suis tellement d'accord avec toi, c'est normal de trouver de l'emploi une fois que tu as le diplome mais avec ce genre de situation, le diplome n'est pas garantie de l'emploi. Je me rappel avoir passer plus de 3 entretien pour rentrer dans certaines société.

Et il suffit d'un élément de la chaîne qui à la grosse tête pour arrêter le processus de recrutement.

J'ai des camarades aux USA qui ont eu des entretiens technique sans diplomes et qui ont réussi et aujourd'hui ont des salaires monstrueux.

Aux moins c'est les compétences qu'on regarde avant le costard, le phrasé et le diplome qui sont finalement révélateur que de l'image ...

EDIT : LSD est pas le seul, pour une boite de sécu à Paris on m'avait demandé mon classement NC.

Juste pour qu'on ne fasse pas d'amalgame


Il ne faut fait une équivalence entre "Ce sont ceux qui ont appris par coeur des choses et qui vous les refourguent dans un emballage sans valeur ajoutée" et "ceux qui ont un diplôme".

Heureusement, il y a des gens qui ont un diplôme et qui ne font pas que du par coeur. Après, pour le reste, je suis d'accord.
Un diplôme n'est pas toujours suffisant pour un emploi, mais ne pas avoir de diplôme est souvent disqualifiant d'office.

Donc pour résumer : Choper un diplôme, et toujours rester curieux pour ne pas se satisfaire du bout de son nez, et apporter cette valeur ajoutée auprès des recruteurs, pour faire la différence.

Non, pas d'équivalence, pixis. Juste un lien.

ferbos

YeS, je découvre avec émerveillement vos réponses ! C'est un vrai plaisir de voir la solidarité et l'entraide qui existe sur NC ! Un grand merci à vous.

Donc pour résumer, un diplôme, c'est super, mais il y a aussi possibilité de trouver un job avec de la motivation, si toutefois le responsable n'est pas trop con.
Le résumé de Pixis me plaît bien aussi.

Bon, par contre, afin d'éviter de passer pour un véritable rigolo en entretien, quelles sont les connaissances qu'il vous semble indispensable de posséder ? (connaissances pratiques)
J'aurai beau dire au recruteur que je suis ultra motivé, si il faut qu'il m'apprenne tout à partir de 0, même un super recruteur compréhensif sera forcément découragé...

Désolé d'en remettre une couche mais :


Oui, mais si tu peux avoir le diplôme, en plus de ta motivation, c'est encore mieux

Ensuite, en ce qui concerne les connaissances préalables, je ne bosse pas dans le secteur de la sécu, mais je dirais que de manière générale, pour un job dans le domaine de l'informatique :
Il faut avoir un peu de connaissances dans chaque couche du modèle OSI, en somme. Du matériel physique aux applications, en passant par IP, le transport etc.
Ensuite, je pense qu'il est intéressant de comprendre rapidement comment fonctionne un programme dans un système, avec la gestion de la mémoire derrière tout ça
Surement connaitre un (quelques) langage(s) de programmation, si possible du C ou équivalent pour ne pas avoir trop de couches d'abstraction.
Après, pour ce qui tourne autour du web, être à l'aise avec les notions de client/serveur, qui fait quoi, les cookies, les sessions, etc.

Par ailleurs, des connaissances un peu plus larges, genre architecture, design pattern, des choses comme ça, c'est toujours bon à prendre.

Voilà, je retranscris pêle-mêle ce qui me vient en tête. C'est un peu compliqué de faire une liste exhaustive, mais les points ci-dessus sont, d'après moi, fondamentaux pour comprendre ce que tu fais, quelque soit le domaine informatique dans lequel tu bosses.

Si tu peux faire et maitriser le bootcamp de pentesterlab.com, t'as le niveau pour bosser chez nous directement

Pour les compétences minimales (attentions connaissances != compétences) à avoir, tout dépend évidemment du secteur dans lequel s'orienter. Pour la partie réseau :
 - couche OSI niveau 2 : protocole ARP (dans l'ensemble hein, pas de détails)
 - couche OSI niveau 3 : protocole IP (pas dans le détails hein, je connais pas l'emplacement exact de chaque entête)
 - couche OSI niveau 4 : protocole TCP (paril, tous les détails, c'est pas obligatoire, le SYN/SYNACK/ACK c'est c'est déjà pas mal
 - couche 5/6/7 : c'est pas du réseau "pur et dur", on est dans les couches hautes là, faut les connaitre rapidement, mais dans mon taf j'en ai rarement besoin (encore une fois, pour la partie réseau uniquement).

A coté de ça, il faut comprendre le fonctionnement de tout ce foutoir : vlan (parce que de nos jours, il n'y a pas un réseau digne de ce nom sans vlan), routage statique (de mon expérience, le routage dynamique, j'en ai jamais mis en place), un peu de système pour appréhender les problèmes réseaux (configuration IP/GW sur les machines, tcpdump, wireshark, ce genre de choses).
Par rapport à mon expérience, il faut aussi comprendre le fonctionnement des technos de firewalling, switching/routing, IPS/WAF, http/mail/<insérer ici des protos utilisés partout>. Là je parle dans la globalité, pas sur une techno en particulier, il faut par exemple connaitre les différentes entre du stateful et stateless, un hub et un switch, ce genre de choses.
Beaucoup de debug à faire aussi parce qu'évidemment, les produits bugguent, donc savoir réfléchir :)

Pour la partie sécu, pour le coup, c'est un truc assez transverse, il faut toucher à tout, réseau, système, humain, web, etc, donc en gros, pour les compétences à avoir :

 - connaissances des attaques web principales (XSS, injection SQL, ce genre de choses)
 - connaissances des attaques systèmes (BOF, metasploit)
 - connaissances des attaques réseau (MITM, DNS poisonning, et j'en passe)
 - savoir bullshiter (Social Engineering)
 - intérêt très fort pour la sécu

Après, encore une fois, ça veut trop rien dire pour moi. Un mec qui kiffe l'IT mais qui connait pas encore tout ça, c'est plus intéressant qu'un mec qui comprend mais qui s'en tape et qui fera le minimum.


Je rejoins également tout le monde sur le coup du "diplôme ça sert à rien, mais t'es obligé de l'avoir", dans la plupart des cas, c'est comme ça.
Petite anecdote de mon directeur technique : un jour, il était avec un client pour faire de l'avant vente, le mec dit à mon dir tech "De toute façon, moi j'embauche pas si c'est pas bac+5, ça sert à rien". Mon dir tech (qui pèse niveau technique/management/autres) l'a regardé et à répondu "Monsieur, je suis bac+2, et je vous emmerde", puis il s'est barré.
Tout ça pour dire que le coup du diplôme, c'est pas toujours le cas, mais, on le trouve encore beaucoup. Imho, ça va changer, mais faut encore attendre quelques années, que les DRH old school partent en retraite, et qu'on aie des mecs moins cons dans les RH.


Gros paté avec pas mal d'infos en vrac, faut pas hésiter si j'ai pas été assez clair.

Enjoy

The lsd

Je trouve ce topic assez amusant. Chacun y va de ses petites généralités qui le mettent en avant.

Des idiots, y'en a partout.

Certes, tu trouveras beaucoup de M2 qui n'ont aucune compréhension de ce qu'ils ont appris et qui se cantonnent à leur sacro-saint cours d'archi-n-tiers. Ah ça oui, j'en ai connu quelques uns.

Mais tu trouveras aussi beaucoup de techos à la vision bornée par les languages et outils qu'ils connaissent. Ces fashion victimes de l'IT excités comme des pucelles à la découverte de Node.js ou de Docker, qui vont en foutre dans tous leurs prochains projets sans se demander si c'est adapté, et encore moins se demander si ces technologies sont si révolutionnaires que ça. Ces mecs qui ont un mal fou à appréhender des concepts un poil abstraits même s'ils sont implémentés par leurs outils fétiche du moment. Ceux qui ne comprennent pas quand tu tentes de leur expliquer que leur truc ne marchera pas sur des exemples non-triviaux.



Un mec qui kiff mais qui est mauvais, c'est pas mieux. Les boulets aussi ont leurs passions. J'en connais quelques uns aussi, des mecs qui ont l'air passionnés mais qui ne comprennent rien à rien et reviennent constamment à la change avec des questions plus stupides les unes que les autres et ne progressent jamais. Ces mecs qui oublient de réfléchir, qui ne retiennent pas ce que tu leurs a répété 10 fois, qui ne font pas le lien entre les différents trucs que tu leur a dit.

À choisir, mieux vaut quelqu'un qui fera le minimum en traînant les pieds que quelqu'un qui tentera de tout faire mais fera tout de travers en emmerdant les gens constamment.

J'ai déjà vu un admin réseau chez Renater qui ne savait pas coder.
J'ai déjà vu une développeuse d'IHM chez Itron qui ne touchait pas au réseau.
L'intersection de leurs compétences est quasi-nulle. L'informatique est un domaine trop large pour qu'il y ait des compétences à absolument avoir.

Tu marques un point sur la partie fashion victim IT ^^



Comme tu dis, un mec qui aime l'IT, mais qui comprend rien à rien, c'est pas facile à gérer, d'où la notion de feeling dont je parlais dans un précédent post, on voit assez vite quelqu'un qui capte vite ou pas.



Perso, je vois plus souvent les exemples que tu cites plutot que des mecs qui ont des connaissances transverses. Après, Pixis a pas tort non plus, dans l'absolu, ça serait bien que tout le monde ait un minimum de socle commun. Je compte plus le nombre de fois où je me suis arraché les cheveux pour expliquer le principe des XSS à des mecs qui devraient connaitre -sinon comprendre assez vite- cette failles.



J'sais pas si c'est ironique ou pas ^^'
Toujours est-il qu'avant de bosser, je n'avais pas du tout cette vision des choses, si ça peut aider quelqu'un !

Enjoy

The lsd

Comme je ne connais pas trop Celelibi (quoique les autres non plus =D), je ne vais pas le prendre dans le sens ironique de Celelibi sans pour autant monter sur mon grand cheval =D Mais personnellement, c'est du vécu peut-être une longue expérience malheureuse, pas un gonflement de l'ego. C'est vrai, il y a des imbéciles partout. Mais il m'aurait fallu tartiner le forum sur 5 pages pour te dire tous les exemples qui se sont présentés à moi. et puis.... le secret professionnel....

Je m'étais abstenu car je ne suis pas dans le domaine informatique mais voici quelques exemples:

* un entretien d'embauche où un manager dit qu'il te soutiendra dans un premier temps et où un DRH t'explique que tu n'auras jamais de promotion (gros bluff). Dans les faits, il s'est passé exactement l'inverse mais j'ai bossé comme un chien; c'est peut-être pour cela que j'ai eu de petites promotions (faut pas pousser non plus =D). Avec ce manager, le soutien c'était aller droit dans le mur soit à cause de son incompétence soit pour se galvaniser auprès du DG lorsque tu te plantais. Avec ce manager, j'ai vu passer des stagiaires qui n'étaient que des bouche-trous. Surtout, il fallait faire ce que disait le manager car sinon il risquait de ne pas comprendre ce qui dépasserait ses compétences =D Du coup, comme ce manager n'a jamais travaillé en équipe, c'était moi le petit nouveau qui m'occupait des stagiaires pour éviter qu'ils écrivent des inepties dans leur rapport. Les seules réunions étaient celles pour programmer les vacances. Elle durrrraiiiieeeeeent 4 à 5 heures (2h00 pour les vacances; 1h30 pour l'ego; 0h30 pour les questions diverses et le reste pour les blagues de mauvais goût =D ). Ceci dit je ne remets pas en question ses autres compétences (apprendre par coeur, défendre la section). Mais le nommer "manager" c'est être à côté de la plaque. Du coup, je me manageais tout seul et parfois les collègues aussi =D

* un autre entretien d'embauche pour un poste rattaché au DRH, qui auparavant était manager. Tout se déroule à peu près bien puis je remarque que mes deux questionneurs, le DG et le DRH, ne sont pas d'accord. Je pose une petite question de rien du tout: "Quelles vont être mes fonctions et mon travail?". Le DRH donne une réponse et le DG en donne une autre. Comme le DG est plutôt ouvert, je me suis permis de répondre qu'ils (le DG et le DRH) n'étaient pas sur la même longueur d'onde. Blanc de 30s, réponse de 30s du DG et l'entretien reprend son cours. Du coup, j'ai compris pourquoi le poste s'était libéré: le DRH avait mis la pression et celui-ci était capable de tailler des costards à la moindre erreur (c'est bon d'avoir un tailleur =D ). 6 mois plus tard: grève importante contre le DRH pour avoir "forcé une embauche" de CDD en CDI (ne me demandez pas comment!). Puis, on apprend par une autre réunion que le DRH n'a pas suivi les consignes du DG. Il y aurait pu avoir faute grave (terme juridique) mais il n'y a pas eu de plaintes. Résultat pour calmer la foule: c'est le DG qui manage le DRH. Grosso modo, il reprend une partie des compétences du DRH. C'est incompréhensible =D

* dans un laboratoire de recherche de simulation (expérimentale et numérique), le manager de tout le personnel de recherche était incapable de faire fonctionner un PC ni un minitel =D Je dis cela, je ne dis rien =D Il donnait également des cours qui n'était jamais fini: on devait nous-mêmes finir le cours. Mais voilà: il récupérait tout le matériel pour le laboratoire et par la même occasion, il jouait les gros bras.

* j'ai un autre exemple dans le professorat (c'est du management des enfants =D ),lors d'une séance de formation en IUFM dans un travail en groupe à mettre en pratique à des élèves, j'ai retourné le cerveau d'un gars qui me soutenait ouvertement des bobards (j'imaginais qu'il disait la même chose aux enfants). Il est parti avant la fin de la séance.... Enfin j'étais pas mieux non plus: j'avais beaucoup de connaissances mais pas assez de compétences pédagogiques (aujourd'hui, ce ne serait plus pareil).

* j'ai un autre exemple aussi quand je ramassais les melons =D Mais bon, je n'ai pas trop envie de vous dégouter d'en manger ou alors il faudra vous mettre à la pastèque =D

Tout cela pour dire à Celelibi que ce n'était pas pour gonfler mon ego mais plutôt faire partager une expérience (et non pas une généralité) vers des personnes qui n'ont pas ou ont peu d'expérience dans le monde de l'emploi, de l'entreprise ou des relations humaines. Le but est plutôt de les mettre en situation, de savoir repérer les signes et de savoir comment on y réagit car cela varie d'une personne à l'autre. Pour ma part, sans trop en faire et surtout sans s'énerver. Il vaut toujours mieux éviter les mauvaises situations que nous ne pouvons pas gérer parce que, je cite:

C'est pour cela que je rejoins the lsd sur ce coup:

Tant qu'à jouer le lèche-bottes, je remercie NC, qui est plus un passe-temps pour moi, car cela m'a permis de me surpasser par rapport à certains aspects de mon travail et parfois à mieux appréhender les difficultés et mieux organiser mon travail =D

ferbos

Bon bah puisque chacun défend son morceau de viande, me voilà à mon tour. Et comme je ne connais pas Celibi, je ne saurais pas s'il y a une pointe d'ironie  :P
Mais dans le doute :

J'ai l'impression que, ironique ou pas, c'est une critique, et que, d'après Celibi, nous aurions mieux fait de ne pas répondre que de répondre nos "petites généralités". Je trouve ça dommage, parce que dans ce topic, il y a beaucoup d'informations utiles, des retours d'expériences, des faits concrets, du vécu et quelques généralité. Ne serait-ce pas toi qui généralise un peu trop vite ?  =|


J'en viens à mon morceau de viande. J'en ai déjà vu aussi, le contre exemple est toujours là. Seulement, plus t'en sais, mieux c'est.  =)
Personnellement, durant tous mes entretiens, j'ai eu un peu droit à tout type de question, dans des domaines très différents. Un dev web, pour bien développer, c'est important qu'il ait de bonnes notions de sécurité, de réseau, d'architecture ... L'idée que je donnais derrière l'expression "dans le domaine d l'informatique", c'était que, d'après moi, c'est une grosse plus-value d'avoir une vue d'ensemble, un bagage transverse pour pouvoir aborder tel ou tel problème. Évidemment, on ne peut pas être expert partout, ou alors ces profils sont très recherchés (et il faut comprendre que quand je dis "partout", c'est pas au sens littéral du terme. Personne n'est expert littéralement partout. Mais il y a des gens qui sont très fort en réseau, en dev, en archi, en sécu, en connaissances métier ...).

Non, ce que je dis, c'est que du peu d'expérience que j'ai, pendant toutes mes années d'études, je ne me suis pas cantonné à ce qu'on nous apprenait, je suis allé voir ailleurs, monté mes projets, découverts des techno, des notions, des domaines, (et un clin d'oeil à NC, également, qui m'a poussé dans mes retranchements). Ce sont cette connaissance plus transverse et cette curiosité (pour rejoindre l'avis de the_lsd) que la moyenne de mes gens de classe m'ont permis d'avoir des jobs qu'ils n'ont pas pu avoir, ou que mes profs sont venus me proposer des jobs à la fin des cours. Peut-être que ce retour d'expérience va être interprété de la mauvaise manière (Non, je ne dis pas ça pour me faire mousser), mais dans l'informatique, comme dans n'importe quel domaine, si tu as une solide culture G, que tu es bon dans beaucoup de choses, que tu sais t'adapter, que tu peux lier les méthodes d'un monde et d'un autre, que tu peux croiser tout ce que tu sais, c'est très pratique et recherché (et ça devient nécessaire).

Alors ok, on a peut-être balancé des petites généralités, mais au fond, ya du bon sens, et je trouve ça dommage de le dénigrer comme ça...  =(

On a tous une expérience différente, et en ce sens, je ne pense pas que qui ce que soit ait tort. Je ne critique et ne contredit personne. Ça m'a simplement frappé quand j'ai vu que tout le monde sortait ses petites généralités pas forcément concordantes avec les autres.
Notre expérience biaise notre point de vue. Et pire que ça, on ne retient et/ou n'a envie de partager que les expériences qui ont été positives pour nous.
Ce n'est pas un reproche, c'était juste une remarque un peu meta.

Disons que ce topic (du moins la deuxième page) pourrait être caricaturé comme ceci :
"Les diplômes ça sert à rien" dit le mec sans diplômes.
"Les dipômés en costard n'y connaissent rien" dit le mec en short avec un t-shirt Docker.
"Pas tous les diplômés, hein !" dit l'ingénieur.
"C'est important de connaître le modèle OSI" dit l'admin réseau.
"C'est indispensable de savoir coder !" dit le codeur fou.

Et cette vision du topic m'a amusé. :)


Je cite cet exemple, mais ça serait valable pour les autres.

On demande aux managers de manager, pas de coder.
Combien de startup ont coulé parce qu'une bande d'informaticiens avec des idées et des compétences n'étaient pas capable de gérer une entreprise ?
Steve Jobs en 1983 est allé débaucher en le PDG de Pepsi-Cola pour le mettre directeur général chez Apple. Apple avait besoin d'un vrai directeur, pas d'un demi-technicien en baskets, et Steve Jobs l'avait bien compris.

J'ai aussi connu une chercheuse (en informatique) qui m'a dit ne plus avoir codé depuis ses 14 ans. Mais qu'importe ! Elle n'a pas besoin de coder dans son travail et ne donne pas de cours de programmation.

L'important c'est que chacun soit conscient des limites de ses propres compétences, et de faire confiance à "ceux qui savent". C'est un exercice difficile de reconnaître la compétence chez les autres (cf l'effet Dunning-Kruger (http://fr.wikipedia.org/wiki/Effet_Dunning-Kruger)) et certains n'y arrivent pas.


Bravo, tu fais parti d'une minorité. Un étudiant comme on aime en avoir. :) Malheureusement les gens comme toi sont trop peu nombreux.

Et encore une fois, je ne contredis personne, je pense que tout le monde a raison.

Tu es tout de même malin Celelibi =D Tu nous dis:
Ce n'est pas de la généralité là? Tu serais manager que cela ne m'étonnerait pas =D

Et, dans le même temps (peut-être dans un univers parallèle =D), tu viens nous dire qu'on est trop caricatural alors que tu fais pareil:
Qui te dit que c'est un mec sans diplôme?
Qui te dit que c'est le mec en short avec un t-shirt Docker?
Qui te dit que c'est l'ingénieur?
Qui te dit que c'est l'admin réseau?
Qui te dit que c'est le codeur fou?
Tu vois ce que je veux dire? =D


Tu trouves logique que le mec, qui embauche tout le personnel (le topic c'était "trouver un emploi" au départ =D) qui lui est obligé de bosser sur des PC pour y déposer les résultats, n'est pas de PC pour y observer les résultats et pour décider qui aura les subventions? Tu as raison: il aurait mieux fallu que tout le monde se ramène avec des listings de 30 pages et malheur à toi si tu t'avais fait une faute =D Pour moi, c'est du bon sens. Le manager doit organiser au mieux le travail [http://fr.wikipedia.org/wiki/Manager (http://www.newbiecontest.org/wiki/Manager)]
Et pourquoi, c'est toujours moi qui trinque? Santé =D

Ca, si ce n'est pas de la généralité je ne m'y connais plus:
Non, là, tu exagères, tu nous fais une belle généralité =D Parfois, on croit que l'on répète à tort alors qu'on est juste mauvais pédagogue souvent en faisant trop vite et en n'insistant pas sur les points importants. C'est bête =D

Ca, si ce n'est pas de la généralité je ne m'y connais plus:
C'est exactement ce que dit un manager qui a fait le mauvais choix: celui qui traîne les pieds lui pose tout simplement moins de problème, alors que celui qui emmerde tout le monde montre que le manager s'est royalement trompé sur la marchandise =D D'ailleurs, ce n'est pas une qualité du manager que de récupérer des informations, de les recouper, etc....etc.... même pour une embauche??? Dans sa précipitation à embaucher, il oublie qu'il doit choisir quelqu'un qui lui convienne quitte à ne pas embaucher.... et l'inverse est aussi vrai. J'ai lu un livre m'ayant marqué sur le sujet "Le management, voyage au centre des organisations" d'Henry Mintzberg qui dit, je cite:
[Partie I, Chapitre 5 des managers et non des MBA]
Et cela continue....
Est-ce que tu as vu un manager qui n'était jamais pressé, jamais à la bourre etc....? Moi, jamais.... Je n'en ai pas vu un seul gérer sur le long terme.... donc l'embauche c'est pareil.... il y a une partie de feeling et le diplôme c'est juste une confirmation pas justifiée à mon sens.... Combien de fois j'ai vu un manager dire: "J'ai recruté dans la bonne école. Et blablabla" alors que celui qui l'était recruté était simplement bon. Et combien de fois est-ce que j'ai vu le support informatique se faire humilier par ces mêmes managers? Je ne les compte plus. Je peux comprendre qu'un manager soit exigeant, demande beaucoup de certaines personnes, qu'il est les connaissances sans avoir les compétences mais qu'on arrête de me dire que c'est lui qui fait avancer son équipe à long terme car c'est faux. On lui demande juste que le travail soit abattu pour atteindre les objectifs et quand il ne les atteint pas. Aïe, Aïe Aïe caramba =D La critique inverse peut être faite: on a tous une facheuse tendance à se penser "manager", qu'on aurait fait mieux,etc....

Du coup, je ne comprends pas pourquoi tu critiques =D

Au contraire, nous avons tous une expérience qui peut être utile, ici pour l'embauche; mais ce n'est pas pour autant que c'est une règle car chacun doit faire sa propre expérience dans les meilleures conditions si possibles =D
Tu vois ce que je veux dire Celelibi?

ferbos

Bon, moi je rebondis là dessus, et ensuite j'arrête, parce que la conversation tourne en rond, du coup  :rolleyes:


Ok c'était une remarque, mais qui me parait vraiment hors de propos. "Notre expérience biaise notre point de vue", évidemment ! Mais quoi de pus riche que des retours d'expériences divers et variés venant de différents domaines de travail, de différentes années d'expériences ? Quoi de plus riche que le partage d'expériences positives ?   =D
Encore une fois, oui, j'ai compris que ce n'était qu'une remarque, mais encore une fois, je ne la trouve pas pertinente, et je pense que c'est dommage parce que cette remarque ne donne plus envie de partager ce qu'on sait, ce qu'on pense, et ce qu'on a vécu...  :/

Sur ce, j'arrête, et je laisse aux intéressés le travail de faire la part des choses dans tout ce qui a été dit

Hey ben, si j'avais su que mon topic déchainerait les passions ^^

La discussion me fait un peu penser au principe de Peter, qui évoque que "tout employé a tendance à s’élever à son niveau d’incompétence" (cf . http://fr.wikipedia.org/wiki/Principe_de_Peter).

J'avais écrit un gros pâté pour partager mon opinion, mais je l'ai finalement effacé.
Je pense que beaucoup a déjà été dit et que chacun a sa propre opinion de ce qu'est un bon ou un mauvais manager pour lui. Cet opinion se forge avec l'expérience et le ressenti (et il y a beaucoup d’expérience et de ressenti dans ce topic... Merci pour le partage  =) )

@ the_lsd : Etude des couches OSI terminées hier. C’était très instructif. Ca m'a donné l'occasion de configurer et tester mon labo virtuel (configuration gateway, ecoute reseau wireshark tcpdump) et faire quelques extras (arp spoofing avec scapy). Il me reste à étudier le firewall, IPS/WAF et le "stateful/stateless". Thx for the tips !

@ celelibi :Merci pour le coup de main hier pour l’étude d'un serveur DNS "maison"  =)

@ Pixis : Tes conseils rejoignent ceux de the_lsd avec un accent sur le coté "prog". J'ai déja des expériences professionnelles pas trop mauvaises dans ce domaine. Mais une petite remise à niveau ne peut pas me faire de mal ^^

Mon coeur fait boom boom =D

"C'est pas faux." mais c'est passionnel aussi =D J'espère ne pas arriver au point Godwin [http://fr.wiktionary.org/wiki/point_Godwin (http://www.newbiecontest.org/wiki/point_Godwin)]

A mon avis, Celelibi a fait une remarque plus sur la forme que sur le fond (même si je n'ai pas pigé l'histoire de la concordance qui porte plutôt sur le sens =D )

ferbos

Edit du 24/03/2015:

C'est bon tu m'engages? =D

Super intéressante discussion !!

Merci à ceux qui ont pu nous donner toutes ces infos  ;)


PS: Concernant le remarque de Celelibi à propos d'Apple et du CEO que Steve Jobs débaucha, John Sculley. Il l'avait recruter car John avait, avec PEPSI, réussit à contrer Coca (le leader du marché à l'époque) et il était très bon en marketing/pub.

Toutefois, regarde les bilans d'Apple durant les 4 ans où il a dirigé Apple. C'était une catastrophe! Et Steve Jobs est revenu après, comme quoi

"Devant son échec à faire progresser Apple, il quitte néanmoins la compagnie en 1993, 4 ans avant le retour de Steve Jobs." Wiki

++

Re !

Je reprend le fil du topic avec une nouvelle question:
Est-ce qu'il y a des membres de NC qui ont déja tenté la certification OSCP ? (Penetration testing with Kali Linux)
https://www.offensive-security.com/information-security-training/penetration-testing-with-kali-linux/ (https://www.offensive-security.com/information-security-training/penetration-testing-with-kali-linux/)

Si vous l'avez faite (ou si vous connaissez quelqu'un qui l'a faite), qu'en pensez vous ?

J’hésite encore un peu, mais je pense que je vais m'inscrire pour la session qui débute le 19 Avril. Des motivés pour faire ça en tandem ? (plus sympa pour la motivation et pour partager les connaissances)

Thanks !

Nop, et je connais personne qui l'aie. Il y a également la CEH qui est connue comme certif


Enjoy

The lsd

@Mandrake,

L'expert sécurité de mon entreprise l'a passé il y a quelques temps, niveau technique c'est pas mal.

Par contre elle est moins réputée que la CEH enfin d'après ce qu'il m'en avait dis, car lors d'entretiens d'embauche aucun des employeurs ne savaient ce que c'était par contre la CEH ça ils connaissent.

J'ai effectivement eu l'occasion de discuter avec quelques recruteurs ces derniers jours. Aucun ne connaissait l'OSCP, et tous connaissaient la CEH.
Pourtant, si j'avais à choisir entre recruter un ingé certifié OSCP ou CEH, je prendrais OSCP sans hésiter.

La CEH, c'est un QCM. Même en répondant au hasard, on peut avoir 25% des bonnes réponses ^^
L'OSCP, c'est 5 machines à exploiter en 24h non-stop (70% minimum), suivi d'un compte rendu à transmettre dans les 24h suivante. Soit 48h de pratique. Elle est considérée comme la certification pentesting la plus difficile (avec OSCE). Dommage donc que l'OSCP ne soit pas plus reconnue...

Je viens de me rendre compte que je n'avais pas bien tout expliqué dans le post précédent (pensant que tout le monde connaissait l'OSCP).
L'adhésion à la formation donne droit à une support de cours PDF (361 pages pas mal foutues), des heures de vidéos, et un accès illimité à un lab (30, 60, 90 jours ou plus selon abonnement) contenant une 60aine de machines à exploiter en utilisant des techniques variées.
L'adhésion à la formation donne droit à une tentative à l'examen. (racheter une nouvelle tentative coute 60USD)

Je suis motivé par l'OSCP car j'ai besoin d'acquérir beaucoup de technique. Ce qui m’inquiétè un peu, c'est que le niveau des cours et de l'épreuve soit vraiment trop élevé et que je ne profite finalement pas à fond de cette formation. C'est un avis sur la qualité et la difficulté de la formation et de l'épreuve qui m’intéresse, plus que la reconnaissance des DRHs. Mais merci quand même ^^