Chaque année, des milliers de diplômés en sécurité de l'information ou en informatique sont diplômés de collèges et d'universités sans aucune préparation pour un vrai travail. Nous examinons ici les résultats d'une enquête récente qui a mis en évidence les plus grandes lacunes de compétences des anciens élèves et la façon dont les candidats à un emploi se démarquent de la foule.
Presque chaque semaine, je reçois au moins une lettre d'un lecteur qui me demande des conseils sur la façon de démarrer une carrière dans la sécurité de l'information. Dans la plupart des cas, les candidats demandent quelles certifications ils devraient obtenir ou quelle spécialisation a le meilleur avenir.
Il est rarement demandé quelles compétences pratiques vous devez maîtriser pour devenir un candidat plus attractif. Je vous préviens toujours que je n'ai moi-même aucun certificat ou diplôme, mais je discute régulièrement avec les responsables des services de sécurité de l'information et les recruteurs - et je pose souvent des questions sur les impressions des candidats modernes.
La réponse typique est que tant de candidats manquent simplement d'expérience des problèmes pratiques.
Bien entendu, la plupart des diplômés manquent d'expérience pratique. Mais, heureusement, un aspect unique de la sécurité de l'information est que l'expérience et les connaissances fondamentales peuvent être obtenues par la bonne vieille méthode d'essais et d'erreurs.
L'un des conseils clés consiste à apprendre les bases de l'interaction entre les ordinateurs et les autres appareils. Je dis cela parce que le réseautage est une compétence fondamentale sur laquelle reposent de nombreux autres domaines d'apprentissage. Obtenir un emploi dans la sécurité sans une compréhension approfondie du fonctionnement des paquets de données, c'est un peu comme essayer de devenir ingénieur chimiste sans avoir d'abord étudié le tableau périodique.
Ne me croyez pas sur parole. Le SANS Research Institute a récemment interrogé plus de 500 praticiens de la cybersécurité dans 284 entreprises différentes dans le but de découvrir quelles compétences ils trouvent les plus utiles pour les candidats à un emploi et celles qui manquent le plus souvent.
Au cours de l'enquête, on a demandé aux répondants de classer différentes compétences de «critiques» à «facultatives». Un énorme 85% ont cité la connaissance du réseau comme une compétence critique ou "très importante", suivie par Linux (77%), Windows (73%), les techniques d'exploitation courantes (73%), l'architecture informatique et la virtualisation (67%), traitement des données et cryptographie (58%). De manière assez surprenante, seulement 39% ont cité la programmation comme une compétence critique ou très importante (nous y reviendrons dans une minute).
Comment les professionnels de la cybersécurité ont-ils évalué les candidats potentiels à un emploi sur ces compétences essentielles et très importantes? Les résultats semblent accablants:
| Compétences | Combien de candidats ne pouvaient pas résoudre même des problèmes de base | Combien de candidats ont démontré des compétences |
|---|---|---|
| Techniques générales de piratage | 66% | 4,5% |
| 47% | 12,5% | |
| 46% | 4% | |
| Linux | 40% | 14% |
| 32% | 11,5% | |
| 30% | 2% |
«Les employeurs rapportent que la formation en cybersécurité pour les étudiants est largement inadéquate et frustrés de devoir passer des mois à chercher avant de trouver des employés qualifiés débutants, le cas échéant», déclare Alan Paller, directeur de la recherche à l'Institut. SANS. «Nous avons suggéré que pour commencer à relever ces défis et combler l'écart, nous devions articuler les compétences que les employeurs attendent mais ne trouvent pas chez les diplômés.»
La vérité est que certains des professionnels de la sécurité informatique les plus intelligents, les plus astucieux et les plus talentueux que je connaisse n'ont pas de certifications ou de diplômes en informatique ou en informatique. En fait, bon nombre d'entre eux ne sont jamais allés au collège ou n'ont jamais obtenu de diplôme universitaire.
Au contraire, ils se sont mis en sécurité parce qu'ils étaient passionnément et fortement intéressés par le sujet, et cette curiosité les a forcés à apprendre le plus possible - principalement en lisant, en essayant et en faisant des erreurs (beaucoup d'erreurs).
Je ne décourage pas les lecteurs de poursuivre des études supérieures ou une certification dans ce domaine (ce qui peut être une exigence de base dans de nombreuses entreprises), mais simplement pour qu'ils ne le voient pas comme une garantie d'un travail stable et bien rémunéré.
Sans maîtriser une ou plusieurs de ces compétences, vous ne serez tout simplement pas considéré comme un candidat très attrayant ou exceptionnel.
Mais comment?
Alors, où se concentrer et où est le meilleur point de départ? Premièrement, s'il existe un nombre presque infini de façons d'acquérir des connaissances et qu'il n'y a pratiquement aucune limite aux profondeurs que vous pouvez explorer, le moyen le plus rapide d'apprendre est de se salir les mains.
Je ne parle pas de pirater le réseau de quelqu'un ou d'un mauvais site. Veuillez ne pas faire cela sans permission. Si vous interrompez des services et des sites tiers, choisissez ceux qui offrent des récompenses via les programmes de primes aux bogues , puis assurez-vous de suivre les règles de ces programmes.
Mais presque tout peut être joué localement. Vous souhaitez maîtriser les techniques générales de piratage et d'exploitation des vulnérabilités? Il existe d'innombrables ressources gratuites disponibles ; des outils spécialement conçus comme Metasploit et WebGoat , et des distributions Linux comme Kali Linux avec de nombreux tutoriels et tutoriels en ligne. En outre, il existe un certain nombre d'outils gratuits de test de pénétration et de détection de vulnérabilité tels que Nmap , Nessus , OpenVAS et Nikto . Ce n'est pas une liste complète.
Organisez votre propre laboratoire de hackers. Vous pouvez le faire sur un ordinateur ou un serveur de rechange, ou sur un ancien PC, qui sont vendus abondamment à bas prix sur eBay ou Craigslist. Outils de virtualisation gratuits comme VirtualBox, simplifiez le travail avec différents systèmes d'exploitation sans avoir à installer d'équipement supplémentaire.
Ou pensez à payer quelqu'un pour mettre en place un serveur virtuel sur lequel vous pourrez expérimenter. Amazon EC2 est une bonne option à faible coût. Si vous souhaitez tester des applications Web, vous pouvez installer n'importe quel nombre de services Web sur les ordinateurs de votre propre réseau local, tels que les anciennes versions de WordPress, Joomla ou des moteurs de boutique en ligne tels que Magento.
Envie d'explorer les réseaux? Commencez avec un livre décent sur TCP / IP , obtenez une bonne compréhension de la pile réseau et de la manière dont toutes les couches interagissent les unes avec les autres .
Pendant que vous assimilez ces informations, apprenez à utiliser certains des outils qui vous aideront à mettre vos connaissances en pratique. Par exemple, familiarisez-vous avec Wireshark et Tcpdump , des outils pratiques utilisés par les administrateurs réseau pour résoudre les problèmes de réseau et de sécurité, et pour comprendre comment les applications réseau fonctionnent (ou non). Commencez par vérifier votre propre trafic réseau, votre navigation sur le Web et votre utilisation quotidienne de l'ordinateur. Essayez de comprendre ce que font les applications sur votre ordinateur en regardant quelles données elles envoient et reçoivent, comment et où.
À propos de la programmation
Les employeurs peuvent ou non avoir besoin de compétences en programmation dans des langages tels que Go , Java , Perl , Python , C ou Ruby . Quoi qu'il en soit, la connaissance d'une ou de plusieurs langues fera non seulement de vous un candidat plus attrayant, mais facilitera également des études plus poussées et progressera vers des niveaux de compétence plus élevés.
En fonction de la spécialisation, vous constaterez peut-être à un moment donné que les possibilités de formation continue sont précisément limitées par la compréhension de la programmation.
Si l'idée de l'apprentissage des langues vous intimide, commencez par les outils de ligne de commande Linux de base. Le simple fait d'apprendre à écrire des scripts de base pour automatiser les tâches de routine est déjà un grand pas en avant. De plus, la maîtrise des scripts shell rapportera de beaux dividendes tout au long de votre carrière dans pratiquement tous les rôles techniques liés aux ordinateurs (que vous appreniez un langage de programmation particulier ou non).
Obtenir de l'aide
Ne vous y trompez pas: comme apprendre un instrument de musique ou une nouvelle langue, acquérir des compétences en cybersécurité prend du temps et est stressant. Mais ne vous découragez pas si vous êtes submergé et submergé par toute la quantité d'informations. Prenez votre temps et continuez à marcher.
C'est pourquoi les groupes de soutien aident. Sérieusement. Dans l'industrie de la sécurité de l'information, le côté humain du réseautage prend la forme de conférences et de réunions locales. Il est difficile de surestimer à quel point il est important pour votre santé mentale et votre carrière d'entrer en contact avec des personnes partageant les mêmes idées sur une base semi-régulière.
Beaucoup de ces événements sont gratuits, y compris les réunions BSides , les groupes DEFCON et les réunions OWASP... Et comme l'industrie de la technologie continue d'être à prédominance masculine, un certain nombre de réunions sur la cybersécurité et de groupes axés sur les femmes tels que Cyberjutsu Sorority et d'autres sont répertoriés ici .
Si vous ne vivez pas dans la nature, il y a de fortes chances qu'il y ait plusieurs conférences et réunions sur la sécurité de l'information dans votre région. Mais même si vous êtes hors des sentiers battus, bon nombre de ces réunions se tiennent désormais virtuellement en raison de la pandémie COVID-19.
En bref, ne vous attendez pas à ce qu'un diplôme ou un certificat vous donne les compétences que les employeurs attendent de vous. Cela peut être juste ou non, mais vous devrez développer et améliorer des compétences qui serviront le (s) futur (s) employeur (s) et les opportunités d'emploi dans le domaine.
Je suis sûr que les lecteurs ont leurs propres idées sur ce sur quoi concentrer leurs efforts pour les débutants et les étudiants. N'hésitez pas à parler dans les commentaires.
Voir également: