L’avenir du consultant sécurité
Il y a quelques jours semaines (désolé pour le délai… ça arrive parfois), l’un des lecteurs de mon petit blog me posait en commentaire la question suivante :
« Je suis actuellement en fin d’étude et j’ai une proposition pour un poste de consultant junior en sécurité des SI. Je voulais savoir ce que vous pensez d’un tel poste et s’il y a de réelles perspectives d’avenir et d’évolution ? »
Il s’agit d’une question intéressante, qui complète un précédent billet que j’avais soumis en mars, et dans lequel j’exposais ma vision relativement pessimiste de la sécurité informatique.
J’en profite au passage pour saluer la promo du Mastère IPISO aux Mines de Paris qui a eu la joie de me supporter toute une semaine, j’ai eu un grand plaisir à vous donner le cours, et ce billet pourra vous intéresser, très probablement !
Tout d’abord, un petit coup de gueule
Il faut, afin de bien comprendre les enjeux, replacer le contexte et les époques.
L’époque de la bulle Internet a provoqué un engouement pour les nouvelles technologies, et ce phénomène accompagné du bug de l’an 2000 ont provoqué un phénomène intéressant : de nombreuses personnes se sont autoproclamées « ingénieur informaticien » sans avoir reçu les rudiments de base. De même, l’essor d’interfaces simples à-la-windows et de langages de programmation faciles à apprendre (PHP notamment) ont augmenté le nombre d’administrateurs systèmes ne sachant pas exactement comment le système fonctionnait, et de webmasters ou développeurs maîtrisant réellement les notions de programmation sécurisée. Enfin, la complexité croissante des différents systèmes et langages de programmation, mais cette fois ci en interne et non au niveau de ce que l’utilisateur, l’administrateur ou le développeur peuvent voir en ont fait un obstacle.
Bilan :
- Des systèmes et langages de plus en plus complexes et possédant de plus en plus de paramétrages fins,
- Des interfaces utilisateur ou interfaces de développement de plus en plus simples (en apparence),
- Des administrateurs et développeurs pensant maîtriser le tout alors qu’il n’en est rien,
Et au final un désastre en sécurité. J’ajouterai à cela les enseignants dans le domaine de la programmation qui semblent toujours, en 2009, basés sur des concepts anciens. Quelle ne fut pas ma surprise d’entendre à plusieurs reprises dans des cours de programmation en C, et cela encore récemment, que la fonction pour copier des chaînes était « strcpy« … pas un mot sur « strncpy » ou « strlcpy » qui permettent d’éviter bien des soucis en limitant la taille de la chaîne d’origine à copier… Après il ne faut pas s’étonner que les programmes soient buggés…
Internet, c’est bien. PHP et les interfaces de type Clickodrome c’est bien. Mais de là à se proclamer expert en informatique parce qu’on sait coder 2 lignes de PHP ou de C, et qu’on sait lancer regedit32, il y a des limites qui m’irritent. Et qui expliquent la raison du souci en sécurité.
Cela n’arrive pas qu’aux amateurs… de très nombreuses sociétés agissent exactement de la sorte, embauchent des développeurs pour créer un logiciel plus ou moins complexe, et le vendent en l’état, sans aucun test de qualité, en partant du principe que le client testera et débuggera lui-même. C’est du vécu au quotidien, et pas que pour moi mais pour la plupart des administrateurs que je connais.
L’éditeur en question, en plus, vous affirmera que le logiciel est sécurisé et que d’autres clients l’utilisent sans se plaindre. Si vous leur demandez de faire un audit du logiciel, ils vous diront que cela n’est pas légal car cela revient à de la décompilation ou je ne sais quoi d’autre. En insistant, ils vous diront qu’ils ont déjà tout testé chez eux et que tout fonctionne à merveille… J’ai (encore) eu un discours similaire il y a quelques mois, c’est pour dire… et pas pour un petit logiciel anodin. Bref, la culture du mépris du client persiste.
A cela, on ajoutera l’essor de concepts mal maîtrisés, comme le Web 2.0, le Cloud Computing, le SOA et d’autres principes qui, grosso-modo, partent de l’idée que les informations sont envoyées « ailleurs » pour traitement, et qu’on croise les doigts côté sécurité en se disant qu’ »ailleurs », ca doit certainement être sécurisé… Je vous laisse méditer là-dessus.
Après cette introduction assez cinglante, je dois relativiser un peu. Face à ce constat indigne, de nombreux éditeurs ont dû réagir face au mécontentement de la clientèle, et on trouve de plus en plus de sociétés qui se mettent à réagir de manière correcte. Microsoft en est l’exemple typique et ils ont non seulement rattrapé leur retard, mais franchement sont devenus très bons. Ce n’est pas pour rien si même Linux est devenu la risée lors des derniers Pwnie Awards…
Bref, le consultant sécurité a encore du pain sur la planche, croyez-moi. Et ce constat que je viens de faire n’inclut même pas les avancées notables des attaquants potentiels, cyberarmées et mafias qui, eux, ont de plus en plus de ressources financières pour attaquer… L’interconnexion à outrance a également un effet pervers, les soucis de sécurité peuvent désormais provenir de quasiment n’importe où sur le globe.
Conclusion : Pas d’inquiétude pour moi en ce qui concerne l’avenir du consultant en sécurité !
Bruno Kerouanton on septembre 1st 2009 in IT Security
Une photo de...
Dnucna responded on 05 sept 2009 at 11:03 #
Les cabinets de conseil en sécurité sont de très bonnes « écoles » pour découvrir le vrai monde de l’informatique. Avec deux audits par mois ça fait quasiment voir 20 entreprises différentes par an. Elles sont de toute taille et de tout niveau technologique. Ça apprend à relativiser les choses et petit à petit on sait où guider les personnes. Certaines veulent des réponses « techniques » et d’autres « organisationnelles ». Une banque ou une assurance sera très tournée sur son système informatique et contrairement une entreprise de béton voit son SI comme une source de dépense à minimiser…
On apprend vite à discuter des enjeux des entreprises avec les RSSI, les DSI et même les PDG (pour les plus petites boîtes, sinon ils sont inaccessibles).
Bref l’avenir d’un consultant en sécurité informatique est totalement ouvert. On peut devenir RSSI, DSI, monter sa boîte, être attiré par un autre métier. Tout est possible !
Bruno Kerouanton responded on 05 sept 2009 at 12:13 #
Tout à fait d’accord ! Le contact avec des environnements variés est très riche en enseignements. C’est en commençant comme « hotliner » que l’on devient expert. C’est en continuant comme consultant qu’on comprend les différents enjeux sécuritaires. Mais le rôle de consultant a cependant un revers : l’incapacité, dans la plupart des cas, de voir un projet de bout en bout.
Cela étant, c’est en effet une très bonne école… à condition toutefois de ne pas prendre les différents clients pour les enseignants et de s’en servir comme de laboratoires d’expérimentation, ce qui arrive trop souvent encore.
Da Scritch responded on 06 sept 2009 at 12:08 #
Personnellement, en tant que développeur de clicodrome en PHP, je pense qu’un consultant sécurité même junior, le minimum, ce serait qu’il aie un peu de bouteille.
La première fois que j’ai vu ma machine pénétrée (il y a 8 ans, et ça a été la dernière fois qu’un de mes linux a été percé), ben ça m’a appris à me remettre en question, à me documenter, mais surtout à passer un temps monstrueux à comprendre et revoir une bonne partie des pratiques.
Or, sans avoir justement de pratique, cela me semble trop léger.
Un consultant sécurité, pour moi, il doit avoir un bâton de maréchal, voire une expérience pratique à la limite de l’illégalité.
Et la première chose que demande une entreprise, c’est une personne déjà formée, déjà qualifiée et déjà expérimentée.
Dnucna responded on 06 sept 2009 at 12:58 #
J’ai commencé à sentir comment exploiter des failles lorsque j’ai codé mon premier site web. Mais c’est en faisant des challenges « web » durant mes soirées d’études que j’ai vraiment appris comment faire. Et si je n’avais pas fait ça alors mes premiers audits intrusifs n’auraient pas donnés grand chose…
Après c’est vrai que c’est bon (très bon) de faire des missions « longues » et de vivre un projet complet. La partie « sécurité » est souvent trop légère en elle-même pour bien comprendre toutes les imbrications du projet et tous les enjeux. J’avais beau connaître les VLAN, les DMZ, le NAT, les ACL, … C’est seulement depuis ma mission de plusieurs mois dans une équipe de production réseau que j’ai découvert la réalité du terrain.
C’est vrai qu’il y a un énorme sentiment d’incapacité dans ce métier. On est tellement multi-compétence (ça frise le prétentieux). Quand on fait un audit réseau on voit des problèmes applicatifs, mais ça ne sera pas pris en compte. Même quand on fait un audit applicatif tous les ans chez le même client, on découvre que rien n’est corrigé…
Quand dans un audit on découvre une faille SQL, mais un peu dur à exploiter, on se dit qu’il nous faut du temps pour apprendre à mieux les exploiter, mais une chose est sûre, ce n’est pas sur le temps de travail qu’on pourra s’expérimenter… Et c’est encore moins le cas pour les buffer-overflows. En 5 ans d’expérience je n’ai jamais fait d’audit « client lourd ». Et si on m’en donnait un à faire je serai tout de même capable de sniffer le réseau ou de dumper la mémoire facilement pour récupérer des clés ou des passes, mais pas de faire un overflow… A la rigueur de le trouver, mais pas de l’exploiter.
En tout cas on ne peut pas être bon partout, ni tout savoir. D’ailleurs dans ma boîte les audits de code sont réalisés par des développeurs de code sécurisé et non par les pentesters.
Alors le grand classique c’est de se dire : « Je suis moyen/bon un peu partout et très bon dans un domaine. » Et finalement on a toujours quelque chose à dire sur un système informatique, même si ce n’est pas trop ce qu’attendent les développeurs qui voudraient qu’on leur dise comment coder pour éviter de faire des erreurs. On sait dire à leur chef qu’il y a des erreurs et aiguiller dans une direction pour les corriger. Par exemple envoyer les développeurs en formation « développement sécurisé »… ou mettre en WAF
)
anonyme responded on 08 sept 2009 at 15:14 #
« L’interconnexion à outrance à également un effet pervers » => a également
Bruno Kerouanton responded on 08 sept 2009 at 15:53 #
merci pour la remarque : coquille corrigée !
Sebes responded on 09 sept 2009 at 15:16 #
Bonjour à tous et merci pour ces posts très intéressants.
Merci plus particulièrement à toi Bruno qui ne m’a pas oublié et qui m’a rassuré au travers de ce billet. Aussi désolé de n’avoir pas pu réagir plus tôt mais j’étais attelé à terminer mon mémoire pour valider la fin de mes études.
Je me permets d’exposer ma situation de manière plus précise afin que vous compreniez mes interrogations. Je suis actuellement en fin d’études universitaires en M2 informatique orienté réseaux et systèmes. J’ai donc une formation très technique et la plupart des personnes sortant de ma promotion aspirent à des jobs d’ingénieur systèmes, réseaux, etc..
Or j’ai toujours été très intéressé par la sécurité informatique et voilà que je suis en passe de m’engager dans un cabinet de conseil et d’audit en sécu informatique comme consultant junior. Actuellement, ce cabinet traîte avec des grands comptes uniquement.
Cependant, cette société souhaite créer une nouvelle activité ou plutot cibler un nouveau marché, à savoir celui des PME. Mon rôle consisterait donc à participer à la création de cette nouvelle offre mais aussi à en assurer la concrétisation sur le terrain. Autrement dit : participation à la création d’un business plan, effectuer de l’avant vente, allez chez les clients pour faire de la sécurité informatique système et réseau, etc…
Par contre, du fait de cette nouvelle activité, je ne risque pas de voir les environnements des grandes structures comme les banques…Aussi je suis très interessé pour passer la certification CISSP et je vais d’ailleurs m’acheter un livre sur ce sujet asap !
Ma principale peur est de trop m’éloigner du technique et du coup de ne pas pouvoir maintenir mes compétences dans ce domaine.
Qu’en pensez-vous ?
Merci !
Sebes responded on 09 sept 2009 at 15:21 #
Egalement, je recherche les meilleures ressources sur Internet pour pouvoir engranger des connaissances dans la sécu informatique.
Actuellement je lis donc le blog de Bruno, celui de Zythom. Quels sites pouvez-vous me conseiller ?
Merci d’avance.
Dnucna responded on 09 sept 2009 at 22:40 #
J’ai un collègue de promo qui a été embauché dans une boîte qui débutait totalement.
Il apprend bien plus en gestion d’entreprise et en démarchage/marketing qu’en sécurité informatique. Enfin franchement orienté blabla plutôt que technique… Son objectif était plus de monter sa boîte un jour que d’être super bon techniquement alors il est content.
Moi personnellement je crois que pour débuter c’est mieux de voir le terrain et de bien se booster techniquement. Après le côté « commercial » est étroitement lié au métier de consultant (surtout dans les petits cabinets), mais je préfère roder mon discours par exemple lors des réunions de lancement d’audit plutôt qu’en avant-vente. Un jour sans doute… mais pas maintenant.