Aller au contenu
Ixonae on Security
  1. Articles/

Notes de lecture : Cybersecurity Career Master Plan : Techniques et conseils pour avancer dans votre carrière en cybersécurité

·11 mins
Ixonae
Notes de lecture
Ixonae
Auteur
Ixonae
Sommaire

Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.

J’ai lu pas mal de livres récemment. Certains, liés à la sécurité, pourraient intéresser certains lecteurs de ce blog, j’ai donc décidé de créer une nouvelle catégorie Notes de lecture pour partager certaines des notes que je prends sur les livres (un résumé/les points principaux, et mes impressions générales).

Cybersecurity Career Master Plan: Proven techniques and effective tips to help you advance in your cybersecurity career est un livre écrit par Dr Gerald Auger, Jaclyn Scott, Jonathan Helmus et Kim Nguyen. Il a été publié en septembre 2021 et vise à donner des orientations aux personnes souhaitant obtenir un emploi dans l’industrie de la cybersécurité. Il est décrit comme suit (citation de la préface) :

Ce livre est un plan complet pour vous aider à décrypter le domaine et à comprendre une direction à prendre, les outils et fournitures à emporter dans votre voyage, et comment atteindre votre destination. […] Ce livre est divisé en […] trois sections logiques alignées sur une chronologie de carrière. La Section 1 […] vous aide à répondre à la question : « Un emploi en cybersécurité est-il fait pour moi, et si oui, lequel ? » La Section 2 [vous montre] comment appliquer vos connaissances, compétences et aptitudes dans le domaine et comment vous mettre en valeur auprès des responsables du recrutement potentiels La Section 3 [vous montre] comment faire évoluer votre carrière une fois que vous êtes dans le domaine […] Si vous êtes légèrement curieux ou férocement avide d’une carrière en cybersécurité, alors ce livre est pour vous.

Notes sur le contenu du livre
#

Comme mentionné précédemment, le livre est divisé en trois parties. Nous les parcourrons toutes et mettrons en évidence leur contenu et leurs points principaux.

Section 1 : Débuter en cybersécurité
#

Le premier chapitre de cette section introduira divers sujets liés à la cybersécurité, tels que les différentes lois relatives à la sécurité (RGPD, HIPAA, …), les principaux référentiels de sécurité (NIST, ISO 2700/27001, SOC2, …), ainsi que certains concepts comme la triade CIA (Confidentialité, Intégrité, Authentification) et quelques types d’attaques existantes. Le chapitre se termine en décrivant les avantages et inconvénients d’une carrière en cybersécurité. Entre autres :

  • Horaires flexibles, excellent salaire, travail à distance
  • Possible de se former par soi-même (mais les postes de débutant ont généralement pas mal de prérequis)
  • Les choses bougent constamment, il faut donc rester à jour et se former
  • La carrière nécessite une vraie passion et peut causer un épuisement mental dû au travail cérébral intense
  • Les criminels ne prennent pas de vacances

Quelques enseignements supplémentaires de ce chapitre sont qu’il est bon d’essayer de développer une ou deux spécialisations pour éviter d’être un touche-à-tout qui ne maîtrise rien, et qu’il existe d’abondantes ressources gratuites en ligne, donc commencer par elles avant d’utiliser des certifications et formations coûteuses est préférable.

Le deuxième chapitre vise à répondre à la question « Quelle carrière vous convient ? » Pour ce faire, il liste les différents domaines possibles et explique de manière assez détaillée quels types d’emplois on peut y trouver. Les domaines principaux ont chacun différentes spécialités, comme listées ci-dessous :

  • Évaluation des risques (Sécurité offensive)
  • Gouvernance (Gestion des risques, Conformité, Gouvernance)
  • Renseignement sur les menaces (Externe et Interne)
  • Opérations de sécurité (Réponse aux incidents)
  • Architecture de sécurité (Sécurité cloud)
  • Formation (Éducation, Formation et Sensibilisation)

Quelques enseignements sont que, pour choisir comment construire votre carrière, vous devez trouver vos passions, identifier vos forces, créer une liste d’emplois de rêve tout en continuant à explorer pour découvrir de nouvelles options.

Plusieurs composantes doivent être considérées lors de la construction d’une carrière : les compétences (relationnelles et techniques), vos passions et intérêts, la croissance personnelle potentielle, la valeur de l’emploi, le salaire, les opportunités de développement potentielles, etc.

Section 2 : Votre chemin vers l’industrie
#

Cette section est là pour vous aider à décrocher un emploi dans l’industrie. Je la diviserais grossièrement en deux parties : la première est généralement liée aux différents types de secteurs, et quelles formations et certifications vous devriez envisager. La deuxième partie concerne principalement le réseautage, l’auto-promotion et la recherche d’emploi.

Industrie de la cybersécurité et formation
#

Dans le même esprit que la fin de la dernière section, les auteurs listent les 16 secteurs d’infrastructures critiques (par exemple, services financiers, santé et santé publique, énergie, technologies de l’information, …) définis par l’agence américaine de cybersécurité et d’infrastructure, et discutent de ce à quoi s’attendre en travaillant dans chacun d’eux. Ils font de même pour les secteurs public et privé et expliquent aussi quelles sont les structures organisationnelles typiques des bureaux de sécurité. Si vous n’êtes pas sûr du type d’entreprise que vous souhaitez pour votre prochain emploi, ces informations seraient assez utiles pour guider votre choix.

Un point sur lequel les gens sont généralement assez incertains est quel diplôme ou quelles certifications sont appropriés, ce qui est également abordé dans ce livre. Un chapitre liste les différentes certifications de l’industrie (CISSP, CompTIA Security+, OSCP, CEH, …) et donne une idée de ce qu’elles enseignent, combien elles coûtent, à quel point elles sont reconnues, et quel est leur niveau de difficulté. Concernant les études supérieures, le livre mentionne que les postes de débutant paient généralement 10 à 15% de plus si vous avez un diplôme, et beaucoup exigeront au moins un master pour commencer.

Le dernier chapitre de cette sous-partie vise à aider les lecteurs à résoudre le problème de l’œuf et la poule que l’on peut rencontrer quand on cherche un poste en sécurité sans expérience préalable : beaucoup d’entreprises veulent que vous ayez de l’expérience pour vous embaucher (mention spéciale pour les entreprises demandant un CISSP pour des postes juniors), mais personne ne vous embauchera si vous n’avez pas d’expérience. Les auteurs font les suggestions suivantes (qui sont un peu redondantes avec les chapitres suivants) :

  • Installez quelque chose comme WebGoat (une sorte de machines de test d’intrusion) pour pratiquer les tests de pénétration
  • Essayez d’aller à des conférences, des événements de capture du drapeau, … pour avoir des contacts dans l’industrie, mais aussi pour être à jour avec les dernières tendances
  • Si vous en avez l’opportunité, faire du bénévolat pour aider lors de conférences est un bon moyen de se connecter avec diverses personnes partageant les mêmes intérêts
  • Essayez d’élargir votre réseau professionnel : la plupart des postes ouverts ne sont jamais publiés en ligne, et si vous connaissez quelqu’un, vous pourriez passer par moins d’entretiens par rapport au processus normal
  • Si vous avez de l’expérience dans des emplois quelque peu liés (par exemple, ingénieur logiciel, help desk, …), essayez de tirer parti de cette expérience
  • Vous pourriez créer un blog pour vous aider à mettre en valeur vos compétences et votre capacité à communiquer tout en acquérant des connaissances
  • Si vous êtes déjà employé, vous pourriez essayer de vous connecter avec les personnes en charge de la sécurité dans votre entreprise et essayer de leur donner un coup de main dans la mesure de vos moyens quand c’est possible
  • Si vous êtes étudiant, un stage est un excellent moyen d’acquérir de l’expérience, car il serait généralement bien plus facile d’en obtenir un qu’un emploi

Réseautage et recherche d’emploi
#

Si vous avez tout lu jusqu’ici, vous avez maintenant une meilleure idée de ce à quoi ressemble l’industrie, et comment obtenir des certifications et des compétences pour décrocher un emploi. Cette sous-partie aide avec cette dernière chose.

Le premier chapitre de cette sous-partie vise à vous donner des outils pour construire votre image de marque. Pour y parvenir, vous aurez besoin d’un objectif et de constance. Les auteurs suggèrent quelques moyens de définir votre objectif (par exemple, vous demander ce que vous voulez faire, comment vous voulez être perçu, si vous aviez le choix, que voudriez-vous faire, qu’est-ce qui vous en empêche, et comment y remédier, …) Connaître votre objectif aidera à définir votre marque. Quelques points supplémentaires que les auteurs soulèvent sont :

  • Passez du temps à écrire des publications de qualité sur les réseaux sociaux
  • Publier régulièrement sur les réseaux sociaux
  • Connaître les caractéristiques des réseaux sociaux que vous utilisez (par exemple, Twitter n’a pas la même ambiance que LinkedIn)
  • Vous pouvez partager des articles si vous ne vous sentez pas à l’aise pour partager vos propres réflexions. Si vous le faites, ajouter un bref résumé ou une question d’engagement est bien

En général, les auteurs donnent beaucoup de conseils liés à l’utilisation des réseaux sociaux, sans que ce soit spécifiquement lié à la sécurité informatique.

Cette sous-partie se termine par comment postuler à des postes, faire un bon CV, décrocher des entretiens et bien s’y comporter. Encore une fois, la plupart des points des auteurs ne sont pas spécifiquement liés à l’infosec. Quelques éléments que nous pouvons noter :

  • Déterminez la cause profonde de votre changement de carrière pour prendre les décisions appropriées
  • Utilisez des services de recherche d’emploi tels que LinkedIn, Glassdoor, Indeed, … pour trouver des postes intéressants, mais aussi pour obtenir des renseignements sur le marché (quels types d’emplois sont largement disponibles, comment est la rémunération, …)
  • Recherchez des personnes avec un parcours similaire au vôtre, et essayez de voir comment elles sont entrées dans l’infosec, et à quoi ressemble leur parcours professionnel
  • Des ressources telles que resumeworded.com, skillsyncer.com peuvent être utilisées pour voir si votre CV contient les bons mots-clés pour être attractif

Section 3 : Vous êtes dedans ; il est temps de passer au niveau supérieur !
#

Cette section donne principalement des conseils pour vous aider à aller plus loin dans votre carrière une fois que vous avez réussi à entrer dans l’industrie.

Les auteurs encouragent les lecteurs à intervenir lors de conférences et donnent des conseils sur comment postuler, quelles conférences pourraient être bien, et comment découvrir des sujets sur lesquels parler. Ils soulignent aussi que le burnout est un risque dans l’industrie, et proposent des moyens pour essayer de l’éviter, ainsi que les indicateurs d’un environnement de travail toxique (par exemple, les ragots, le jeu des reproches, un leadership toxique, un taux de turnover élevé).

Pour conclure le livre, quelques derniers conseils qu’il offre sont :

  • Comprendre et définir des objectifs SMART (Spécifiques, Mesurables, Atteignables, Pertinents, Temporellement définis)
  • Être responsable et fournir le travail nécessaire
  • Essayer de trouver un mentor et entretenir cette relation
  • S’engager avec les gens en ligne à travers divers moyens tels que LinkedIn, les serveurs Discord, Twitter, ….
  • Se rappeler ceci lors de la construction d’un réseau social
    • Trouver un terrain commun quand on contacte de nouvelles personnes sans introduction (par exemple, vous travaillez dans le même domaine)
    • C’est à propos d’eux, pas de vous : éliminez le contexte d’une relation parasitaire
    • Créer de la profondeur, pas de la largeur : consacrez du temps et de la régularité à votre réseau. Ce n’est pas une question de publications/Snapchats quotidiens, mais d’emails personnalisés, de messages, … La régularité est la clé
  • Être malin dans le réseautage : construire un réseau prend du temps. Une bonne approche est de trouver un moyen de faire plusieurs choses en même temps quand on appelle quelqu’un, par exemple pendant les trajets
  • Faire un suivi après la première rencontre avec quelqu’un

Mon opinion sur le livre
#

Je pense que les auteurs font beaucoup de bons points utiles dans les différents chapitres. Quelques choses sur lesquelles j’étais un peu réservé :

  • Vous pourriez vouloir vous demander si tous les conseils sont bons pour vous. Par exemple, à un moment, il est suggéré de taguer des gens dans les commentaires de vos publications LinkedIn pour obtenir de l’engagement. Cela m’agacerait personnellement d’être tagué sans bonne raison, mais chacun ses goûts
  • Dans certaines parties, j’ai eu l’impression qu’un lien vers de la documentation en ligne serait mieux. Spécifiquement, la partie sur comment installer et utiliser WebGoat (aussi, je recommanderais personnellement plutôt quelque chose comme Hack the Box)
  • C’est peut-être dû au fait que le livre a plusieurs auteurs, mais il y a plusieurs endroits où ils font les mêmes remarques, et parfois les transitions sont un peu confuses

Cela dit, je recommanderais totalement de lire le livre si vous êtes dans l’une des situations suivantes, car il y a beaucoup de bons conseils et connaissances exploitables dont vous pourriez bénéficier :

  • Vous êtes étudiant, ou vous venez de commencer votre carrière (si vous étudiez la sécurité, les parties où les concepts CIA et autres sont définis pourraient être quelque chose que vous voudriez ignorer)
  • Vous êtes un professionnel en milieu de carrière sans expérience en sécurité qui souhaite entrer dans l’industrie de la sécurité. Dans ce cas, la première moitié du livre serait utile pour vous familiariser avec la sécurité et comment acquérir de l’expérience. La deuxième moitié peut-être un peu moins, sauf pour la partie sur l’image de marque personnelle