Si le métier de pentester vous intéresse, il vous faut savoir comment y parvenir. Votre passion et compétences techniques seules peuvent faire de vous un pentester accompli, mais sans la formation appropriée vous risqueriez d’être bloqué par la suite notamment dans les grandes entreprises, dont les barême salariaux restent souvent indexés sur le niveau de diplôme.
Le cursus scolaire type pour devenir pentester
Le sécurité informatique et plus particulièrement la pratique des tests d’intrusions requièrent une formation scientifique.
Études secondaires
Au lycée, si vous sentez que vous avez une fibre pour la sécurité informatique et le “hacking éthique”, vous devez donc vous orienter dans la mesure du possible vers les disciplines scientifiques. Le baccalauréat Scientifique n’existant plus, il vous faudra choisir les spécialités appropriées. Ainsi, en première générale, vous devrez choisir 3 spécialités pour construire votre avenir, et 2 pour l’année de terminale.
Pour la première, vous pourrez choisir la spécialité “Mathématiques”, “Numériques et sciences informatiques” ainsi que “Sciences de l’Ingénieur”, pour au final choisir pour votre Terminale uniquement les deux premières. Il est à noter que la spécialité “Mathématiques” est quasiment inévitable, non seulement pour la suite, mais aussi car elle comporte la thématique “Algorithmique et programmation”, très lié à l’informatique.
Études supérieures
Une fois votre baccalauréat en poche, vous vous orienterez naturellement vers un cursus d’ingénieur. Bien entendu, certains pentesters n’ont pas leur diplôme d’ingénieur ou leur master, et cela ne les empêchent pas d’être très bons dans leur discipline. Dans les faits, c’est davantage votre curiosité et votre passion qui vous apportera initialement les éléments techniques nécessaires à la discipline, plus que vos études. Aller jusqu’au diplôme d’ingénieur vous apportera cependant une meilleure employabilité, et très certainement une meilleure carrière. En effet, certaines entreprises, notamment les grandes, restent assez intransigeantes sur le niveau d’étude, car leur grille de salaire est basée sur celui-ci.
Idéalement, orientez-vous vers des grandes écoles dans le domaine de l’informatique (Epita, Epitech, Mines-Telecom, ESME, Polytechnique, ESIEA, etc.). Si vous êtes vraiment réfractaires aux mathématiques, privilégiez par exemple Epitech plutôt que Epita.
Il existe également des formations de type IUT spécialisée en cyber-sécurité qui vous permettront d’obtenir une license spécialisée. A titre d’exemple l’IUT de Valenciennes propose une license “Cyber défense anti-intrusion des systèmes d’information” qui peut être intéressante.
Cependant, ne soyez pas trop pressé d’exercer votre métier ni d’avoir un salaire. Avoir un diplôme d’ingénieur ou un Master reste tellement avantageux comparé à une license qu’il serait dommage de passer à côté pour deux ans d’études supplémentaires.
Personnellement, je me suis arrêté à Bac+4 à l’Université. A l’époque il s’agissait d’une maîtrise “Mathématiques et Informatiques appliquées aux Sciences”. Les mathématiques n’étant pas mon fort, j’avais de très bonnes notes en informatique, mais des notes catastrophiques en mathématiques, si bien que je passais les semestres de justesse à chaque fois, le tout couplé à un désintérêt total pour les cours, bien trop théoriques.
Passé les deux premières années d’université, je n’ai plus été à aucun cours ni TD, pour apprendre moi-même tout ce qui était réseaux, systèmes, sécurité, etc., et en bachotant deux semaines avant chaque examen pour assurer la validation des semestres. Cela m’a convaincu de ne pas aller en DESS et de rester à Bac+4, et de chercher un travail tout de suite.
Tout le danger de choisir une formation inadaptée est là : se désintéresser des cours bien avant d’avoir votre diplôme. Il vous faut donc connaître vos limites, notamment sur les mathématiques, pour choisir au mieux votre école et votre formation pour ne pas décrocher en cours de route.
La préparation au marché du travail
Le pentest a ceci de particulier que vos candidatures seront toujours scrutées sous trois axes :
- Vos diplômes et certifications
- Votre passion
- Vos connaissances techniques
Le pentest, une affaire de passion
Tout au long de votre cursus scolaire, il est donc pertinent de compléter votre formation vous-même, de façon autodidacte, sur les sujets qui vous intéressent le plus. Lire des livres est un bon début, mais pratiquer, c’est mieux. C’est sûr que le pentester débutant qui a déjà un profile Github avec des scripts et qui a déjà remporté des “Bug Bounty” sera bien plus demandé que le pentester qui sort de l’école sans ne rien pouvoir montrer de concret. Ne négligez-donc pas cet aspect, et construisez progressivement les choses pour pouvoir insérer dans votre CV des éléments qui démontrent à la fois votre passion et vos compétences. Quelques exemples :
- Profile sur les plateformes de Bug Bounty;
- Profile Github avec des scripts liés à la sécurité;
- Un ou deux articles dans les magazines spécialisées;
- Missions de pentest faites en freelance avec des références que les sociétés intéressées par votre profil peuvent appeler;
- Blog personnel sur la sécurité;
- Certifications.
Avoir dans sa poche une certification avant même d’arriver sur le marché du travail est toujours pertinent, car cela démontre à la fois votre investissement personnel sur la sécurité (les certifications coûtent cher), et contribuent à faire lever le doute de votre employeur sur vos compétences techniques.
Les certifications pour les pentesters
Les formations certifiantes qui semblent les plus reconnues en matière de tests d’intrusion sont certainement les suivantes :
- La formation “Network Penetration Testing and Ethical Hacking” (SEC 560), du SANS Institute et du GIAC.
- La formation “Certified Ethical Hacker” de l’EC-Council.
- La formation “Offensive Security Certified Professional” (OSCP).
La première, celle du GIAC/Sans Institute, semble la plus équilibrée en terme de balance théorie/pratique, et elle reste très reconnue par les employeurs. La deuxième est moins orientée vers la pratique que la première, mais elle est également reconnue. La troisième est très technique mais moins reconnue.
Un autre avantage du Sans Institute est qu’ils ont beaucoup d’autres formations, et donc vous pourrez logiquement continuer leur cursus au long de votre carrière, par exemple en enchaînant sur celle qui permet d’être certifié “GIAC Web Application Penetration Tester”.
Les formations peuvent être passées en ligne, et la certification dans un centre d’examen dédié.
Quid des certifications CISSP, ISO 27001 et autres ?
Les certifications moins techniques et orientées plus généralistes ou organisationnelles sont également très demandées par les entreprises. Pendant un certain temps, les recruteurs avaient une préférence pour la CISSP, même pour des métiers techniques. C’était un peu le “baccalauréat” de la sécurité (et pour cause, elle demande un vrai “bachotage” !).
Cependant, ces formations étaient très peu techniques, elles semblent inutiles en début de carrière. Pour un premier job, il est bien plus pertinent de rassurer votre employeur sur votre capacité à travailler concrètement sur le terrain, plutôt que de le rassurer sur votre capacité à “manager la sécurité” au travers d’un standard comme ISO 27001.
L’objectif est d’avoir une première certification technique, quitte à la payer de votre poche, pour ensuite laisser vos employeurs vous payer les autres en fonction des besoins. Un pentester qui peut aller chez un client tout de suite est une vraie plus-value pour l’entreprise qui vous embauche.