Cybersécurité

De Ensiwiki
Aller à : navigation, rechercher

Interviews menées

Ingénieur-chercheur dans le domaine de l'évaluation de la sécurité des cartes à puce

Description

Étude de certaines propriétés des cartes à puce afin de délivrer un certificat de conformation à certaines normes de sécurité.
Notamment analyse des générateurs de nombres aléatoire sur la puce, de leur implémentation, mais aussi analyse de la duplicabilité, de l'encryptage...
Travail en équipe de 30 personnes afin de couvrir un maximum d'angles d'attaque pour trouver les failles de la carte possible.

Le travail en soit consiste en plusieurs aspects :

  • étude de simulations (des puces) et ajustement de celles-ci
  • étude documentaires des produits testé
  • travail d'équipe (réunion, travail de groupe)
  • écriture des rapports
  • améliorations des attaques (recherche)
  • suivi de 2 doctorants

Éléments importants

Travail intéressant car utile, concret (comme des résolutions d'énigme), même si le cadre strict d'écriture de rapport peut être ennuyant.
Rigueur comme qualité essentielle afin que son propre travail soit réexploitable par d'autre personnes.

Compte rendu complet

Lien vers le compte rendu complet

Consultant en sécurité indépendant

Kezako:
Il s'agit de vérifier la sécurité d'une entité donnée. Le but est de trouver des vulnérabilités avant une autre personne qui serait elle malveillante.
On peut être amené à travailler sur des projets très variés, par exemple sur un ensemble de site internet, une infrastructure réseau, de la revue de code ou encore une application mobile.
Le consultant devra simuler des attaques, et souvent proposer les correctifs nécessaires (tout dépend de la mission demandée).

Quelques chiffres:

  • 40h /semaine (mais pas ressentie comme du travail)
  • Une mission peut durer de 1 semaine un mois


Qualités requises:

  • Il faut aimer apprendre
  • savoir manipuler de nombreux langages ( C, Java, PHP, Python.....)
  • avoir de bonnes connaissances sur e fonctionnement des applications web, des bases de données et dans les réseaux
  • ne pas être allergique à l'écriture, chaque mission se solde d'un rapport à fournir à son employeur


Avantages:

  • Les avantages d'être indépendants: choisir ses horaires, pas de patron, ...
  • Travailler à la maison
  • de bons salaires (très variable d'un pentester à l'autre)
  • mentalement stimulants: résoudre des problèmes, toujours être à jour sur les nouvelles failles


Inconvénients:

  • Les inconvénients d'être indépendants: demande de la rigueur, parfois solitaire
  • Certaines missions peuvent être répétitives et ennuyantes


astuces:

  • Contribuer à la communauté: avec un blog, github, c'est très bien perçu
  • ne pas hésiter à pratiquer passer des certifications (OSCE, OSCP, CCSP,...) bien vu par les employeurs
  • Il est préférable d'avoir eu une expérience en entreprise avant de se lancer en tant qu'indépendant

Points clef

  • Domaine qui évolue rapidement: s'adapter au besoins de compétences, mais aussi adapter son poste en fonction de ses compétences.
  • Du point précédent découle le fait que son parcourt peut être plutôt différent de sa formation initiale: liberté dans son parcours professionnel.