logo Homepage
Pages: [1] 2 3
  Imprimer  
Auteur Fil de discussion: Avis aux professionnels de la Sécurité Informatique  (Lu 22926 fois)
Mandrake

Profil challenge

Classement : 325/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 53


Voir le profil
« le: 05 Février 2015 à 17:51:56 »

Bonjour à tous.

Actuellement Ingénieur R&D en informatique dans le domaine de la Réalité Virtuelle (6 ans d'xp), j'envisage une reconversion professionnelle dans le domaine de la sécurité informatique (Qui a dit que NC ne créé pas de vocations ?  )

Je souhaiterai donc savoir si il y a parmi vous quelques professionnels de la SSI qui voudraient bien partager un peu avec moi leur expérience quotidienne afin de me faire une idée plus précise des missions auxquelles un expert est confronté.
(si vous ne l'êtes pas mais que vous en connaissez un dans votre entourage, je suis preneur aussi )

Qui souhaite donner un coup de main à un jeune motivé ? 

Merci d'avance !
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #1 le: 06 Février 2015 à 11:09:57 »

Salut Mandrake,

Tout dépend de ce que tu entends par sécurité en fait. Pentest, intégration d'équipements, travailler dans la DSI, conseil, etc ? Il y a plein de possibilités.
Mon retour là dessus :
 - au niveau intégration : tu feras pas de la sécu comme sur NC, ça va être beaucoup plus high level, c'est de l'install d'équipements (firewall, IPS, WAF, antispam, AV, etc), en gros, c'est installation physique, configuration de départ, tunning de la conf, transfert de compétence et le client se demmerde après. Par contre, ça soulève d'autres problèmatiques que celle de la sécu pure : optimiser l'archi du client, comment gérer le remplacement d'anciens équipements par des nouveaux sans couper la prod, ce genre de choses. Si tu te vois pas toute ta vie faire de la technique, imho, c'est un bon moyen de passer de tech pure à manager/RSSI par la suite.

 - au niveau boulot dans la DSI : c'est totalement différent (du moins de ce que j'en vois, mais je bosse principalement avec des grosses boites, j'ai moins de retour pour ce qui est PME), on est sur de l'administration plus... "classique", ouverture de flux sur les FW, règles sur les proxys, ce genre de choses, de mon point de vue c'est assez vite rébarbatif, c'est plus ou moins toujours pareil. Après, c'est mon caractère qui fait que j'aime pas être plus d'une semaine sur la même chose.

 - au niveau pentest : là c'est comme sur NC, ou presque. Quand tu fais du pentest, faut être gentil avec le client, s'il veut pas qu'on pète sa prod, ben on se ronge le frein et on fait des tests basiques. Perso, c'est mon kif, (suffit de mater mes stats sur la partie hack, HEIN XIA ! ), même si c'est pas toujours aussi sympa que ça en a l'air, il y a des rapports longs et chiants à faire, faut toujours faire attention à ce que tu testes (Injection SQL sur de l'INSERT, tu cherches les ennuis typiquement, faut savoir ce que tu fais).

Voilà les différentes parties que je connais de la sécu.

Après, rien n'est figé, typiquement, je bosse dans un boite d'intégration sécu/réseau, et je fais un peu des trois (mi temps chez un client une semaine sur deux, pas mal de pentest en ce moment et un peu d'intégration classique d'IPS et FW).

Si tu veux que je pousse un peu les explications, dis moi

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Mandrake

Profil challenge

Classement : 325/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 53


Voir le profil
« #2 le: 06 Février 2015 à 14:25:51 »

Salut the lsd

Merci d'avoir pris le temps d'avoir rédigé une réponse aussi complète.
Ton travail semble assez varié. Est-ce le cas dans la majorité des cas ou est-ce parce que tu travailles dans une petite société ?

Bien évidemment, ma partie préférée reste aussi le pentest.
Je pense que la partie analyse d'attaque doit être bien aussi mais tu n'en fais pas apparemment.
Est ce qu'il existe un métier qui ne couvre que ces 2 aspects ?

autres questions :
- Quel parcours as-tu suivi pour arriver dans ton job ?
- Est-ce que les epreuves de hacking NC représentent assez bien ce que tu trouves pendant tes missions ?
- Ne passes-tu finalement pas tout ton temps à lancer des tests automatiques sur les infrastructures de tes clients ?


On peut continuer la conversation en MP si tu préfères

Merci 
« Dernière édition: 06 Février 2015 à 14:38:10 par Mandrake » Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #3 le: 06 Février 2015 à 16:04:10 »

Ton travail semble assez varié. Est-ce le cas dans la majorité des cas ou est-ce parce que tu travailles dans une petite société ?

J'ai pas trop de retour par rapport à d'autre boites, mais effectivement, c'est assez varié mon taf. Parce que c'est une petite boite peut etre, mais aussi parce qu'on a plusieurs activité, et surtout que j'ai lancé les pentests en arrivant là.

Je pense que la partie analyse d'attaque doit être bien aussi mais tu n'en fais pas apparemment.
Est ce qu'il existe un métier qui ne couvre que ces 2 aspects ?

Si, on commence à faire un peu de forensics, mais pas comme tu dois penser :p Pas de volatility ni rien, en gros, on fait de l'analyse de logs FW, proxy, etc
SI tu vas dans une boite full sécu (au hasard sysdream), ils doivent surement faire les deux là bas.

- Quel parcours as-tu suivi pour arriver dans ton job ?
- Est-ce que les epreuves de hacking NC représentent assez bien ce que tu trouves pendant tes missions ?
- Ne passes-tu finalement pas tout ton temps à lancer des tests automatiques sur les infrastructures de tes clients ?


Un parcours sans rapport avec la sécu dans l'IT forcément, mais de manière plus large, j'ai touché à tout (dev web, réseau, droit IT, toshop, etc)
Pour les épreuves de hack, honnetement, elles sont plus compliquées que ce qu'il y a dans mes missions. Si j'avais tout le temps que je voulais pour un pentest, effectivement, je pourrais chercher la petite bête, mais faut respecter le nombre de jours vendus, donc tu essaie de chercher en priorité les vulns les plus faciles, puis si t'as du temps en trop tu cherches plus loin.
Pour les tests automatiques, oui et non. Effectivement, certaines choses sont automatisées (scan de ports, brute force, ce genre de choses), mais pas tout. Typiquement, j'ai aucune confiance dans les plugins jor XSS-me. Si l'appli utilise des centaines de paramètres, je peux y réfléchir, mais il faut toujours faire attention aux effets de bord. Et il y a dans tous les cas des failles que tu ne peux pas automatiser.

Pour les MP, au besoin je pourrais t'envoyer des infos, mais on peut continuer ici pour le moment, ça aidera peut etre d'autres personnes.

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
sandelan

Profil challenge

Classement : 40/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 91

"Newbie Accro"


Voir le profil
« #4 le: 06 Février 2015 à 17:20:38 »

Coucou
Votre conversation est des plus intéressantes, surtout continuez ici plutôt qu'en MP. 

Sauf si vous devenez trop intimes... 


Journalisée
Mandrake

Profil challenge

Classement : 325/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 53


Voir le profil
« #5 le: 06 Février 2015 à 18:57:37 »

Pour les épreuves de hack, honnêtement, elles sont plus compliquées que ce qu'il y a dans mes missions

Ah ben zut, j’étais persuadé que tu allais me dire l'inverse.
Du coup, est-ce que tu conseillerais le métier de pentester à quelqu'un qui ne fonctionne qu'au "challenge" et qui adore "trouver la petite bête" ?
Autrement dit, c'est pas top "barbant" de se taper le recensement de toutes les failles faciles ? (et qui doivent donc toujours être les mêmes...)


Question alternative :
Quel type de métier dans la SSI et quel type de boîte peuvent offrir une activité avec plus de challenge. Je ne recherche pas le cliché hollywoodien du hacker, mais une activité tout de même un peu plus "en dehors des sentiers battus"...

Merci

@sandelsan
Heureux de savoir que ce topic en aide d'autres ;-) on va essayer de continuer en publique tant que c'est possible et si the lsd est d'accord.
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #6 le: 07 Février 2015 à 14:28:18 »

Du coup, est-ce que tu conseillerais le métier de pentester à quelqu'un qui ne fonctionne qu'au "challenge" et qui adore "trouver la petite bête" ?
Autrement dit, c'est pas top "barbant" de se taper le recensement de toutes les failles faciles ? (et qui doivent donc toujours être les mêmes...)


Trop barbant non, ça reste assez varié, disons que les objectifs sont différents que les challenges NC. Les missions se ressemblent entre elles mais restent différentes :
 - déjà parce que tu trouves des failles différentes -une XSS par ci, une injection SQL par là, de faiblesses de chiffrement pour les classiques- mais c'est toujours sympa de trouver des vulns un peu exotiques. Par exemple, faire du googling intensif pour trouver des anciennes pages du site à tester, pour trouver des infos dans le cache google, c'est un autre type de "défi"
 - et ensuite parce que les client ne veulent pas forcément qu'on arrive à l'exécution de code -même si ça vend du rêve-, mais veulent du plus high level. Avoir un point de vue global de la sécurité de leur SI, voir s'ils sont sensibles au data leak ce genre de choses. Se rendre compte que les données sensibles peuvent se faire voler, ça peut être encore plus important que de se faire pwn une machine.

'fin en tout cas, moi ça me barbe pas pour le moment ^^

Quel type de métier dans la SSI et quel type de boîte peuvent offrir une activité avec plus de challenge. Je ne recherche pas le cliché hollywoodien du hacker, mais une activité tout de même un peu plus "en dehors des sentiers battus"...

Tu veux du challenge ?
Va voir du coté de vupen, les mecs gagnent tous les ans le Pwn2Own, c'est un peu des tueurs. Par contre, pour y rentrer, BISOUS HEIN. Déjà parce qu'il faut être très bon, et ensuite parce que je viens d'apprendre que Vupen se barre à l'étranger. J'imagine que Sysdream et consort doivent avoir des labos de R&D qui peuvent être sympas aussi.
Par contre, tu seras pas embauché pour tes beaux yeux hein, si tu veux avoir du challenge, faut prouver que tu as le niveau au préalable :p

Sandelan, c'est bien pour ça que j'ai dit que ça me dérangeait pas de continuer en public ^^


Par contre, je me sens un peu seul, d'autres points de vue sont pas de refus hein ^^


Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Asteriksme
Modérateur Global

Profil challenge

Classement : 37/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 785

.


Voir le profil WWW
« #7 le: 07 Février 2015 à 15:56:54 »

sûrement parce que t'es le seul à travailler dans la sécu informatique ici
Journalisée

"It's a funny thing about some mathematicians. We often don't care if the results have applications because the results are themselves so pretty."
Mandrake

Profil challenge

Classement : 325/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 53


Voir le profil
« #8 le: 09 Février 2015 à 11:29:03 »

Merci beaucoup pour tes réponses the lsd. C'est très complet.

Y a t il d'autre personnes qui travaillent dans la SI qui souhaiteraient contribuer au topic ?
Merci d'avance !
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #9 le: 09 Février 2015 à 11:33:23 »

sûrement parce que t'es le seul à travailler dans la sécu informatique ici

Come on, j'peux pas être, sur plus de 30 000 membres, le seul à faire de la sécu quand même ^^'

Y a t il d'autre personnes qui travaillent dans la SI qui souhaiteraient contribuer au topic ?

La SI ? Sécurité Informatique ? Ça se dit pas ça hein :p

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
ferbos

Profil challenge

Classement : 11/54254

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #10 le: 09 Février 2015 à 17:54:56 »

Salut,

Come on, j'peux pas être, sur plus de 30 000 membres, le seul à faire de la sécu quand même ^^'

Hélas! Je ne peux pas t'aider Tu es alone sur ce coup

La SI ? Sécurité Informatique ? Ça se dit pas ça hein :p

La SI! La SI! Es-tu là? (J'entends aboyer dans le lointain )

ferbos
Journalisée

"Les seules limites sont les fautes."
Hillfias

Profil challenge

Classement : 387/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 30


Voir le profil
« #11 le: 28 Février 2015 à 07:29:45 »

Bonjour !

Super intéressant comme thread ! Je suis moi aussi un passionné de sécurité et je suis actuellement en école d'ingénieur, 1ère année du cycle ingénieur (L3). Je voulais savoir si vous connaissiez des boites dans le pentesting qui prennent des stagiaires Ou si vous connaissez quelqu'un qui connait quelqu'un qui pourrait être intéressé par un stagiaire avec mon profil ^^ (un profil NC vaut probablement mieux qu'une lettre de motivation et un cv vide :p )

Merci beaucoup ! J'espère que j'aurai des réponses Sinon tant pis, bonne journée

Journalisée

If you can't explain it, you don't understand it well enough - Albert Einstein
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #12 le: 01 Mars 2015 à 21:12:12 »

Je voulais savoir si vous connaissiez des boites dans le pentesting qui prennent des stagiaires Ou si vous connaissez quelqu'un qui connait quelqu'un qui pourrait être intéressé par un stagiaire avec mon profil.

Essaie Sysdream ou HSC, ce sont les plus gros que je connaisse. Pour ma part, j'ai pas assez de relation dans ces boites là, et dans la mienne on prend pas pour du pentest.

un profil NC vaut probablement mieux qu'une lettre de motivation et un cv vide :p

Vaut mieux les deux hein ^^ Et puis ça dépend des cas, avec mon pseudo, c'est pas avantageux de se pointer uniquement avec mon profil NC ^^

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
VY Canis Majoris

Profil challenge

Classement : 1514/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 15


Voir le profil
« #13 le: 04 Mars 2015 à 12:50:47 »

Bonjour,

Si ça t'interesse, ma boite recrute des pentesteurs

j'ai posté le topic là: http://www.newbiecontest.org/forums/index.php?topic=4297.0

y a du pentest, du soc et tout, c'est assez varié.
Journalisée

Tant qu'on n'a pas tout donné, on n'a rien donné
Mandrake

Profil challenge

Classement : 325/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 53


Voir le profil
« #14 le: 04 Mars 2015 à 14:42:30 »

Salut VY Canis Majoris  !

Oui, je viens de voir ton post. Ça m’intéresse effectivement énormément !
Je t'enverrai un mail très prochainement pour approfondir tout ça.

Je retourne potasser mes bouquins !
A bientôt !
Journalisée
Pages: [1] 2 3
  Imprimer  
 
Aller à: