[the lsd]

Lu VY Canis Majoris,

Sorry, j'ai modéré ton autre topic, c'est de la pub directe, c'est pas super apprecié. Pour le coup ça m'a vraiment fait chier de modérer là parce que c'était pas un topic useless ^^'
Mais comme sur ce topic propose d'autres boites de pentest, renseignez vous aussi sur ITrust, on sait jamais    (On est quittes comme ça ?  )

Enjoy

The lsd

[VY Canis Majoris]

Pas de problème je comprends,

J'avais essayé de réduire un peu l'aspect pub, notamment en étant honnete sur les points négatifs de la boite (je suis pentesteur chez ITrust, pas RH donc je dis ce que je veux) tout en sachant évidemment que je détournais en partie l'usage premier du forum.

En fait on a décidé de réorienter notre politique de recrutement en cherchant avant tout des passionnés et en les professionnalisant par la suite (plutot que prendre des mecs qui font bonne figure auprès des clients mais qui assure moyen techniquement derrière). Comme c'est moi qui ait soumis cette idée, j'essaye de faire en sorte qu'elle donne des résultats et donc je vais moi-même sur les sites de challenges faire ce speech.
Bon là c'était le premier essai, j'en ai pas encore fait d'autres.

Donc sans rancune, par contre si tu as la possibilité de m'envoyer en MP le message originel du sujet que t'as locké, ce serait pas de refus, car j'en ai pas de sauvegarde (comme j'ai dit, newbie contest est le premier site où j'ai essayé)

[the lsd]

J'ai pas locké, j'ai modéré ton premier post, mais avec un peu de chance, j'ai encore le cache de dispo sur une de mes machines, je verrais ce soir si je peux te renvoyer tout ça. Je te promet rien hein.

Sur le principe, je suis d'accord avec toi, il vaut mieux prendre des mecs qui en veulent mais qui sont pas encore au point techniquement, plutôt que des bonhommes qui ont les connaissances théoriques grâce aux diplômes mais qui savent pas configurer une default gateway et qui s'en foutent.
On fait plus ou moins comme ça chez moi, et ça marche plutôt très bien.

Enjoy

The lsd

[Mandrake]

@VY Canis Majoris : J'ai gardé ton post pour ma part. En as-tu toujours besoin ?

Edit : Dites, j'ai bien aimé votre échange sur les profils que vous souhaitez recruter dans vos boites respectives. Pour ma part, je souhaite trouver une société qui puisse me prendre en contrat de professionnalisation. Je suis très motivé, mais encore juste en connaissances (d’où le contrat de professionnalisation...). Je passe donc mes journées à étudier en autodidacte afin de pouvoir me defendre un minimum en entretien et prouver mon serieux.

Auriez-vous, svp, une liste de connaissances qu'il vous semble indispensable de posséder pour prétendre postuler dans l'une de vos sociétés ?
Allez, je commence la liste :
- Savoir configurer une default gateway ^^ (merci the lsd)

PS : je recherche plutôt dans le pentest.

Merci d'avance pour votre aide !

[the lsd]

Pour la partie pentest, en gros, je demande le profil NC voir le niveau en hack. Pour moi, tu peux pas commencer à faire du pentest si t'as pas en gros 75% des challs hacks validés, mais c'est pas le seul critère. Après, je parles là pour faire du pentest chez des clients, pour la partie apprentissage, j'm'en fous du niveau, ce qu'il faut c'est que le mec soit intéressé, mais ça c'est au feeling.
Mais bon, pour postuler sur du pentest dans ma boite, c'est mort, il y a déjà de la file d'attente en interne ^^.

Pour la partie réseau pur, j'ai envie de dire osef de configurer une GW, j'ai pas fait un parcours spécialement réseau dans mes études et on m'a pris quand même, alors que j'ai mis 2H à configurer ma première GW au taf (BRAVO L'ERREUR DE MASQUE RESEAU !!!). Ce qu'il faut dans ma boite, c'est en vouloir et montrer que t'es motivé et que tu captes ce qu'on te dit.


Enjoy

The lsd

PS : rassurez vous, maintenant je met une default GW les yeux fermés

Edit : 90% des mecs qu'on prend sortent des études, autant dire qu'ils ont zéro compétences réelles, mais on le sait et on les aide à comprendre en faisant des missions en binomes ou en leurs faisant faire des maquettes.

[St4nl3y]

Pour ma part je suis Consultant en Risques & Sécurité.

Même si je reste plus fonctionnelle dans mon quotidien, je plussoi lsd, après avoir passé 5 ans sur les bancs d'études je n'ai pas acquis spécialement de méthodes de pentest.

J'ai eu des cours théorique d'un superbe prof sur la sécu, mais ça reste principalement ce thème :

- Gouvernance des SI, Gestion & Analyse du Risque, Riposte au Risque, Principes & Fonctionnement Virologique etc...

Mais en sortant tu sera pas coder un Malware, Réaliser un BOF, une SQLi etc...

Tout ça j'ai eu la chance de l'acquérir tout seule, en traînant sur des forums louches, NC, et j'ai envie de dire qu'on a une logique déstinée à ça !

Et aujourd'hui c'est ce qui me donne la "plus value" dans mon travail, car contrairement a un autre Consultant "Bullshit" qui sortira les gros principes de la Sécu, je suis capable d’analyser les infrastructures et me dire "Qu'est ce que je ferais....".

Mais si tu veux te reconvertir, on ne peut pas tout savoir, LSD sera d'accord je penses, on a tous nos spécialité.

Si on prend le cas des APT, ce sont en général des Ingénieurs, Doctorant qui sortent des écoles, dans des pays où il n'y a pas de travail et ils sont employé par des mafias qui risquent moins que la prostitution ou la drogue car les lois de leurs pays sont en retard. (Ou parfois même le gouvernement lui même cf : la CHINE !)

Et on discèrne deux équipes en général :

- L'équipe de prise d'empreinte, découverte de l'infrastructure, et de vecteurs d'infection.
- L'équipe d'exploit, de récupération d'informations et de suppressions des traces.

Ce sont des gens tellement créatif et fort qu'ils rendent notre travail intéressant ! C'est pour ça que des 0 days peuvent se vendrent jusqu'a plus centaines de milliers d'euros selon l'impacte et que les APT sont découvert 1 à 3 ans après l'attaque !

Pour résumé,si tu as la motivation on t'en voudra pas de ne pas tout savoir, tu l'apprendras au fur et au mesure, si on te saque comme on a pu me le faire en entretien à chercher la petite bête, passe ta route, avec un manager aussi con tu pourra malheureusement pas évolué, quand l'entretien se transforme en qui a la plus grosse c'est que y'a pas d'avenir malheureusement !

Voili Voulu !

[ferbos]

Salut,

Je suis d'accord sur les quelques points évoqués par St4nl3y que je résumerai ainsi:

• si tu as le diplôme, tu n'as pas forcément l'expérience mais, sans le diplôme, tu n'as pas l'emploi notamment en France qui sont très accroc à cela. Notamment, il est un point d'appui pour accéder à un emploi en tant que manager/chef de projet alors que les compétences sont loin d'être acquises. Ce sont ceux qui ont appris par coeur des choses et qui vous les refourguent dans un emballage sans valeur ajoutée (souvent la preuve de leur incompétence).
• Il faut voir qui est ton supérieur direct et ses réactions: l'entretien est non seulement le moment de se faire tester mais aussi de tester ton employeur à moins de passer par des chercheurs de têtes. Certains sont gonflés à l'intox, d'autres ont de gros points faibles (un professeur de mathématiques qui ne connaîtrait pas le théorème de Pythagore par exemple) ou en surdose de caféïne
• J'ai vu dans divers domaines mon supérieur ou mon professeur (qui sont parfois les deux) faire volontairement les mauvais choix ou sortir des présentations très globales ou encore générer des conflits pour éviter que l'on pique leur travail en le faisant mieux qu'eux. Au final, en étendant mon réseau de travail, je sais qui je peux remballer et sur quoi mais aussi sur quoi je peux me faire remballer et par qui.

Tout cela est valable en-dehors de la Sécurité Informatique.

J'ai noté un truc:

Tout ça j'ai eu la chance de l'acquérir tout seule, en traînant sur des forums louches, NC, et j'ai envie de dire qu'on a une logique déstinée à ça !

J'ai cru comprendre que NC est louche

Puis un autre:

Pour la partie pentest, en gros, je demande le profil NC voir le niveau en hack. Pour moi, tu peux pas commencer à faire du pentest si t'as pas en gros 75% des challs hacks validés, mais c'est pas le seul critère.

Je ne suis pas prêt d'être embauché moi

ferbos

[St4nl3y]

• si tu as le diplôme, tu n'as pas forcément l'expérience mais, sans le diplôme, tu n'as pas l'emploi notamment en France qui sont très accroc à cela. Notamment, il est un point d'appui pour accéder à un emploi en tant que manager/chef de projet alors que les compétences sont loin d'être acquises. Ce sont ceux qui ont appris par coeur des choses et qui vous les refourguent dans un emballage sans valeur ajoutée (souvent la preuve de leur incompétence).

Je suis tellement d'accord avec toi, c'est normal de trouver de l'emploi une fois que tu as le diplome mais avec ce genre de situation, le diplome n'est pas garantie de l'emploi. Je me rappel avoir passer plus de 3 entretien pour rentrer dans certaines société.

Et il suffit d'un élément de la chaîne qui à la grosse tête pour arrêter le processus de recrutement.

J'ai des camarades aux USA qui ont eu des entretiens technique sans diplomes et qui ont réussi et aujourd'hui ont des salaires monstrueux.

Aux moins c'est les compétences qu'on regarde avant le costard, le phrasé et le diplome qui sont finalement révélateur que de l'image ...

EDIT : LSD est pas le seul, pour une boite de sécu à Paris on m'avait demandé mon classement NC.

[pixis]

Juste pour qu'on ne fasse pas d'amalgame

si tu as le diplôme, tu n'as pas forcément l'expérience mais, sans le diplôme, tu n'as pas l'emploi notamment en France qui sont très accroc à cela. Notamment, il est un point d'appui pour accéder à un emploi en tant que manager/chef de projet alors que les compétences sont loin d'être acquises. Ce sont ceux qui ont appris par coeur des choses et qui vous les refourguent dans un emballage sans valeur ajoutée (souvent la preuve de leur incompétence)

Il ne faut fait une équivalence entre "Ce sont ceux qui ont appris par coeur des choses et qui vous les refourguent dans un emballage sans valeur ajoutée" et "ceux qui ont un diplôme".

Heureusement, il y a des gens qui ont un diplôme et qui ne font pas que du par coeur. Après, pour le reste, je suis d'accord.
Un diplôme n'est pas toujours suffisant pour un emploi, mais ne pas avoir de diplôme est souvent disqualifiant d'office.

Donc pour résumer : Choper un diplôme, et toujours rester curieux pour ne pas se satisfaire du bout de son nez, et apporter cette valeur ajoutée auprès des recruteurs, pour faire la différence.

[ferbos]

Non, pas d'équivalence, pixis. Juste un lien.

ferbos

[Mandrake]

YeS, je découvre avec émerveillement vos réponses ! C'est un vrai plaisir de voir la solidarité et l'entraide qui existe sur NC ! Un grand merci à vous.

Donc pour résumer, un diplôme, c'est super, mais il y a aussi possibilité de trouver un job avec de la motivation, si toutefois le responsable n'est pas trop con.
Le résumé de Pixis me plaît bien aussi.

Bon, par contre, afin d'éviter de passer pour un véritable rigolo en entretien, quelles sont les connaissances qu'il vous semble indispensable de posséder ? (connaissances pratiques)
J'aurai beau dire au recruteur que je suis ultra motivé, si il faut qu'il m'apprenne tout à partir de 0, même un super recruteur compréhensif sera forcément découragé...

[pixis]

Désolé d'en remettre une couche mais :

Donc pour résumer, un diplôme, c'est super, mais il y a aussi possibilité de trouver un job avec de la motivation, si toutefois le responsable n'est pas trop con

Oui, mais si tu peux avoir le diplôme, en plus de ta motivation, c'est encore mieux

Ensuite, en ce qui concerne les connaissances préalables, je ne bosse pas dans le secteur de la sécu, mais je dirais que de manière générale, pour un job dans le domaine de l'informatique :
Il faut avoir un peu de connaissances dans chaque couche du modèle OSI, en somme. Du matériel physique aux applications, en passant par IP, le transport etc.
Ensuite, je pense qu'il est intéressant de comprendre rapidement comment fonctionne un programme dans un système, avec la gestion de la mémoire derrière tout ça
Surement connaitre un (quelques) langage(s) de programmation, si possible du C ou équivalent pour ne pas avoir trop de couches d'abstraction.
Après, pour ce qui tourne autour du web, être à l'aise avec les notions de client/serveur, qui fait quoi, les cookies, les sessions, etc.

Par ailleurs, des connaissances un peu plus larges, genre architecture, design pattern, des choses comme ça, c'est toujours bon à prendre.

Voilà, je retranscris pêle-mêle ce qui me vient en tête. C'est un peu compliqué de faire une liste exhaustive, mais les points ci-dessus sont, d'après moi, fondamentaux pour comprendre ce que tu fais, quelque soit le domaine informatique dans lequel tu bosses.

[VY Canis Majoris]

Si tu peux faire et maitriser le bootcamp de pentesterlab.com, t'as le niveau pour bosser chez nous directement

[the lsd]

Pour les compétences minimales (attentions connaissances != compétences) à avoir, tout dépend évidemment du secteur dans lequel s'orienter. Pour la partie réseau :
 - couche OSI niveau 2 : protocole ARP (dans l'ensemble hein, pas de détails)
 - couche OSI niveau 3 : protocole IP (pas dans le détails hein, je connais pas l'emplacement exact de chaque entête)
 - couche OSI niveau 4 : protocole TCP (paril, tous les détails, c'est pas obligatoire, le SYN/SYNACK/ACK c'est c'est déjà pas mal
 - couche 5/6/7 : c'est pas du réseau "pur et dur", on est dans les couches hautes là, faut les connaitre rapidement, mais dans mon taf j'en ai rarement besoin (encore une fois, pour la partie réseau uniquement).

A coté de ça, il faut comprendre le fonctionnement de tout ce foutoir : vlan (parce que de nos jours, il n'y a pas un réseau digne de ce nom sans vlan), routage statique (de mon expérience, le routage dynamique, j'en ai jamais mis en place), un peu de système pour appréhender les problèmes réseaux (configuration IP/GW sur les machines, tcpdump, wireshark, ce genre de choses).
Par rapport à mon expérience, il faut aussi comprendre le fonctionnement des technos de firewalling, switching/routing, IPS/WAF, http/mail/<insérer ici des protos utilisés partout>. Là je parle dans la globalité, pas sur une techno en particulier, il faut par exemple connaitre les différentes entre du stateful et stateless, un hub et un switch, ce genre de choses.
Beaucoup de debug à faire aussi parce qu'évidemment, les produits bugguent, donc savoir réfléchir

Pour la partie sécu, pour le coup, c'est un truc assez transverse, il faut toucher à tout, réseau, système, humain, web, etc, donc en gros, pour les compétences à avoir :

 - connaissances des attaques web principales (XSS, injection SQL, ce genre de choses)
 - connaissances des attaques systèmes (BOF, metasploit)
 - connaissances des attaques réseau (MITM, DNS poisonning, et j'en passe)
 - savoir bullshiter (Social Engineering)
 - intérêt très fort pour la sécu

Après, encore une fois, ça veut trop rien dire pour moi. Un mec qui kiffe l'IT mais qui connait pas encore tout ça, c'est plus intéressant qu'un mec qui comprend mais qui s'en tape et qui fera le minimum.


Je rejoins également tout le monde sur le coup du "diplôme ça sert à rien, mais t'es obligé de l'avoir", dans la plupart des cas, c'est comme ça.
Petite anecdote de mon directeur technique : un jour, il était avec un client pour faire de l'avant vente, le mec dit à mon dir tech "De toute façon, moi j'embauche pas si c'est pas bac+5, ça sert à rien". Mon dir tech (qui pèse niveau technique/management/autres) l'a regardé et à répondu "Monsieur, je suis bac+2, et je vous emmerde", puis il s'est barré.
Tout ça pour dire que le coup du diplôme, c'est pas toujours le cas, mais, on le trouve encore beaucoup. Imho, ça va changer, mais faut encore attendre quelques années, que les DRH old school partent en retraite, et qu'on aie des mecs moins cons dans les RH.


Gros paté avec pas mal d'infos en vrac, faut pas hésiter si j'ai pas été assez clair.

Enjoy

The lsd

[Celelibi]

Je trouve ce topic assez amusant. Chacun y va de ses petites généralités qui le mettent en avant.

Ce sont ceux qui ont appris par coeur des choses et qui vous les refourguent dans un emballage sans valeur ajoutée (souvent la preuve de leur incompétence).

Des idiots, y'en a partout.

Certes, tu trouveras beaucoup de M2 qui n'ont aucune compréhension de ce qu'ils ont appris et qui se cantonnent à leur sacro-saint cours d'archi-n-tiers. Ah ça oui, j'en ai connu quelques uns.

Mais tu trouveras aussi beaucoup de techos à la vision bornée par les languages et outils qu'ils connaissent. Ces fashion victimes de l'IT excités comme des pucelles à la découverte de Node.js ou de Docker, qui vont en foutre dans tous leurs prochains projets sans se demander si c'est adapté, et encore moins se demander si ces technologies sont si révolutionnaires que ça. Ces mecs qui ont un mal fou à appréhender des concepts un poil abstraits même s'ils sont implémentés par leurs outils fétiche du moment. Ceux qui ne comprennent pas quand tu tentes de leur expliquer que leur truc ne marchera pas sur des exemples non-triviaux.

Après, encore une fois, ça veut trop rien dire pour moi. Un mec qui kiffe l'IT mais qui connait pas encore tout ça, c'est plus intéressant qu'un mec qui comprend mais qui s'en tape et qui fera le minimum.

Un mec qui kiff mais qui est mauvais, c'est pas mieux. Les boulets aussi ont leurs passions. J'en connais quelques uns aussi, des mecs qui ont l'air passionnés mais qui ne comprennent rien à rien et reviennent constamment à la change avec des questions plus stupides les unes que les autres et ne progressent jamais. Ces mecs qui oublient de réfléchir, qui ne retiennent pas ce que tu leurs a répété 10 fois, qui ne font pas le lien entre les différents trucs que tu leur a dit.

À choisir, mieux vaut quelqu'un qui fera le minimum en traînant les pieds que quelqu'un qui tentera de tout faire mais fera tout de travers en emmerdant les gens constamment.

Ensuite, en ce qui concerne les connaissances préalables, je ne bosse pas dans le secteur de la sécu, mais je dirais que de manière générale, pour un job dans le domaine de l'informatique :

J'ai déjà vu un admin réseau chez Renater qui ne savait pas coder.
J'ai déjà vu une développeuse d'IHM chez Itron qui ne touchait pas au réseau.
L'intersection de leurs compétences est quasi-nulle. L'informatique est un domaine trop large pour qu'il y ait des compétences à absolument avoir.