La société étant de plus en plus tributaire de la technologie pour les tâches quotidiennes, le besoin de professionnels qui comprennent comment construire, sécuriser et évaluer les systèmes d’information est devenu crucial. Ce poste s’adresse à la personne disposée à faire le travail nécessaire pour devenir un professionnel de la sécurité de l’information de classe mondiale. Pour votre insertion professionnelle, vous êtes censé posséder un certain degré de connaissances techniques et avoir le désir d’améliorer l’état de l’art en constante évolution. Plus important encore, l’on suppose que vous êtes prêt à vous engager dans un parcours d’apprentissage constant. Les informations sont pertinentes tant pour les diplômés universitaires qui entrent sur le marché que pour les professionnels chevronnés. Il s’adresse à tous ceux qui souhaitent faire évoluer leur vie professionnelle dans une nouvelle direction. L’objectif ici est de fournir un guide simple pour devenir un professionnel de la sécurité de l’information très recherché.

Êtes-vous architecte ou ingénieur ?

Il existe deux grandes voies dans la sécurité de l’information : l’ingénieur et l’architecte. Bien qu’encore très technique, l’architecte adopte une approche différente lors de l’évaluation de la sécurité d’un système d’information. Ce sont eux qui comprennent en premier les menaces spécifiques qui pèsent sur l’activité verticale. Ils se rendent compte de l’importance d’équilibrer les coûts avec une sécurité efficace. Les architectes ont la tâche difficile de transmettre les problèmes de sécurité de l’information d’une manière qui permet à la haute direction de prendre des décisions commerciales éclairées concernant les risques. Un bon architecte est efficace pour expliquer des problèmes complexes d’une manière qui est utile au leadership. Ils ont généralement des connaissances approfondies dans de nombreux domaines. À l’inverse, l’ingénieur adopte une approche très détaillée de la sécurité de l’information. C’est le domaine dans lequel travaillent les rédacteurs d’exploitation, les testeurs d’intrusion et les professionnels de la réponse aux incidents. Il se compose d’ensemble de compétences hautement ciblé et en constante évolution. Ce sont les types de personnes qui présentent ou enseignent lors de conférences sur la sécurité comme Black Hat et DEFCON. Le long des lignes militaires, si l’architecte est un commandant d’un programme de sécurité de l’information, l’ingénieur est le SEAL de la marine. L’ingénieur possède l’ensemble des compétences nécessaires pour exécuter avec succès des tâches très spécifiques. Les architectes sont mieux rémunérés que les ingénieurs. Cela étant dit, un ingénieur expérimenté et hautement technique peut gagner entre 150 000 et 250 000 euros par an. Vous conviendrez probablement que c’est un bon salaire. Vous pouvez dès à présent choisir votre voie et vous lancer dans cette carrière grâce au village de l’emploi.

Compétences de base : le cadre de sécurité de l’information

Les meilleurs professionnels de la sécurité de l’information sont compétents dans trois domaines importants que l’on appelle souvent « Information Security Framework ». Les composants de la structure sont la mise en réseau, l’administration des systèmes et le développement/la programmation d’applications. Ces domaines clés sont présents dans chaque système d’information et une connaissance approfondie d’au moins l’un d’entre eux est cruciale pour être efficace en tant que professionnel de la sécurité de l’information. Allons un peu plus loin dans chacun d’eux.

– La mise en réseau Le Web est la colle qui relie les systèmes d’Internet. À plus d’un niveau de base, vous devez comprendre comment les ordinateurs communiquent et les protocoles sous-jacents qui rendent la communication réseau possible.

– L’administration du système Le système de gestion est un domaine en lui-même. Cela étant dit, un bon professionnel de la sécurité de l’information doit comprendre les problèmes qui ont un impact sur la sécurité. Par exemple, comprenez-vous les différences entre la manière dont les mots de passe système sont stockés sur les systèmes Windows et Linux ? Si vous deviez enquêter sur une attaque contre un serveur Web, de quels types de journaux auriez-vous besoin et où les trouveriez-vous ? Comment les règles de pare-feu sont-elles ajoutées/supprimées et stockées ? Ces sujets et d’innombrables autres sujets couvrent le sous-domaine de l’administration système. Les connaissances dans cet espace vous permettront de poser des questions intelligentes aux vrais administrateurs système. Cela vous rendra beaucoup plus efficace dans votre travail. – La programmation Les blocs if-then-else, les pointeurs, la gestion du cache et les nuances de prédiction de branche font-ils briller vos yeux ? Alors la programmation est probablement pour vous. Même si vous n’écrivez jamais de logiciel pour gagner votre vie, il y a des avantages à comprendre comment écrire des codes. Vous devez comprendre comment le code s’écrit dans des langages de haut niveau tels que C, Java ou Python, comment il se traduit en bytecode exécuté par le processeur système.

Communiquer efficacement

Bien qu’avoir la capacité de déchiffrer une capture de paquet soit amusant et important, vous ne pouvez pas ignorer l’importance d’être un communicateur efficace. Les meilleurs professionnels de la sécurité de l’information ont la capacité d’expliquer des sujets complexes aux moins techniques. En fait, la marque de quelqu’un qui comprend vraiment un sujet est de pouvoir l’expliquer de manière à ce qu’un profane puisse comprendre le concept à un niveau élémentaire. Bien qu’être un communicateur efficace soit essentiel pour ceux qui empruntent la voie de l’architecture, les ingénieurs doivent également passer du temps à l’améliorer. La plupart des bons architectes étaient des ingénieurs à un moment donné. Ainsi, même si l’architecture de sécurité n’est pas votre objectif, le temps passé à améliorer vos compétences en communication est important. Il est important de se rappeler que des systèmes de sécurité de l’information sont en place pour protéger les ressources de l’entreprise et la propriété intellectuelle. Être capable de transmettre des préoccupations d’une manière qui montre que vous n’êtes pas simplement un autre «Teche» permettra à vos mots d’avoir beaucoup plus de poids.

Obtenez des certifications

Indépendamment de ce que l’on entend généralement, les certifications sont importantes pour votre développement en tant que professionnel de la sécurité de l’information. Les certifications industrielles ouvrent des portes et donnent aux employeurs l’assurance que le professionnel de la sécurité de l’information possède réellement des compétences. La préparation aux examens de certification vous oblige également à apprendre les nuances d’un concept que vous n’avez peut-être pas étudié à fond dans le passé. Les certifications que vous obtiendrez avant votre emploi dépendront vraiment du chemin que vous envisagez pour la suite de votre vie professionnelle. Une certification de base que tous les professionnels de la sécurité de l’information doivent obtenir est le CISSP (Certified Information Systems Security Professional). Bien que le CISSP ait souvent mauvaise réputation pour ne pas être assez technique, il est clair qu’il peut être important. Le CISSP fournit une large base de connaissances qui crée une base solide.

En conclusion

Une carrière dans la sécurité de l’information offre de nombreuses options. Quel que soit le chemin que vous choisissez, réalisez que pour être et rester parmi les meilleurs dans le domaine, il faut un engagement à un apprentissage et un raffinement constants. Fixez-vous un objectif de lecture de 10 à 12 livres spécifiques sur la sécurité de l’information par an. Vous allez faire un long chemin pour garder vos compétences aiguisées. Un autre excellent moyen de se familiariser régulièrement avec l’état actuel de la technique est d’assister à des conférences sur la sécurité. Certaines des conférences plus générales comme Black Hat, DEFCON et ShmooCon proposent des conférences et des formations sur un large éventail de sujets. Il existe également des conférences plus spécifiques comme Infiltrate et ReCon qui se concentrent sur l’exploitation du système et la rétro-ingénierie. Faites-en votre objectif d’assister au moins à un par an. En plus de pouvoir écouter des conférences sur une variété de sujets, ces conférences sont un excellent moyen de rencontrer de nouvelles personnes dans l’industrie. Gardez à l’esprit que la sécurité de l’information nécessite des connaissances dans de nombreux domaines technologiques différents. Les principaux composants du cadre (mise en réseau, administration de systèmes et développement et programmation d’applications) constituent la base de base à partir de laquelle développer vos compétences. Comprenez et acceptez le fait qu’il y aura toujours quelque chose de nouveau à apprendre et que cela améliorera votre capacité à résoudre gracieusement des problèmes complexes.