DevOps vs Cyber/Pentest
donj8e
Bonjour à tous,
Je suis à un tournant de ma carrière et j’ai besoin de vos conseils. J’ai un diplôme en cybersécurité, mais j’ai passé les 2 dernières années en alternance en tant que DevOps. Je me demande si je devrais continuer dans le DevOps où j'ai de l'expérience pratique ou revenir à la cybersécurité (pentest).
Selon vous, quelle voie offre les meilleures perspectives à long terme ? Est-il possible de combiner efficacement ces deux domaines, ou vaut-il mieux se spécialiser ?
-
Free-Worker-1290446
Nombre de posts : 15Nombre de likes : 11Inscrit : 24 octobre 2024DevOps va t'ouvrir beaucoup plus de portes.
-
revo
Nombre de posts : 71Nombre de likes : 10Inscrit : 2 mai 2010Tournant de ta carrière, alternance ?
donj8e
Nombre de posts : 4Nombre de likes : 0Inscrit : 12 décembre 2023alternance Finie donc recherche de premier CDI
-
probe
Nombre de posts : 364Nombre de likes : 193Inscrit : 26 novembre 2007Les DEVs yen a des wagons
Les Pentester sont plus rare, et ne seront pas remplacé par l'IA 😱
Fatigué de recadrer, écoutez : https://www.dailymotion.com/video/x61ed23 OrelSan - Basique -
ArmLambda
Nombre de posts : 27Nombre de likes : 15Inscrit : 23 janvier 2020Si tu es bon tu auras des débouchés dans les deux domaines.
Devops ça veut tout et rien dire.
T’as qu’à même mêler les deux mondes et faire du DevSecOps. La secu ce n’est pas que le pentest, loin de là.
Si tu t’orientes selon la hype du moment et que tu es médiocre car ça ne te passionne pas ça n’a aucun intérêt.
Qu'est ce qu’il te plaît dans ton alternance? Au contraire, que ne veux tu plus faire?
donj8e
Nombre de posts : 4Nombre de likes : 0Inscrit : 12 décembre 2023En vrai je regarde les choses de manière pro (débouchés, besoins du marché, salaire, possibilités de free-lance…) pour essayer de faire un choix, les 2 me plaisent même si j’ai une préférence pour le pentest.
J’ai juste pas envie d’aller dans l’un et de « m’enfermer »
ArmLambda
Nombre de posts : 27Nombre de likes : 15Inscrit : 23 janvier 2020Si tu veux pas t’enfermer fais pas du pentest alors.
Devops c’est typiquement le poste où tu peux toucher à tout
Free-Worker-713705
Nombre de posts : 77Nombre de likes : 76Inscrit : 15 février 2024sauf que devops tout le monde peut se brander devops
pentest est plus une niche et moins sujet à la rude concurrence
-
donj8e
Nombre de posts : 4Nombre de likes : 0Inscrit : 12 décembre 2023Oui c’est un peu ce côté niche (= plus de demandes quand on est bon) que je recherche. J’essaye de voir le truc le plus long-termiste possible et c’est pour ça que je viens vers ce forum pour votre recul et expertise
revo
Nombre de posts : 71Nombre de likes : 10Inscrit : 2 mai 2010chômeur?
tu crois vraiment que ceux qui sont sur une niche bien payée vont venir sur un forum expliquer à tout le monde de venir n**** leur système ?
d'autre part l'informatique subit des révolutions perpétuelles, personne ne sait l'avenir. Ce qui est valable aujourd'hui ne sera pas valable demain.
Ne pas s'adapter et faire un all -in sur un job c'est l'inverse de l'informaticien actuel qui doit s'adapter en permanence.
yanolezard
Nombre de posts : 289Nombre de likes : 285Inscrit : 5 décembre 2016Bonjour "donj8e",
D'abord, félicitations pour la réussite de votre alternance et l'obtention de votre diplôme dans le vaste écosystème de la (cyber)sécurité.
Vous avez pratiqué du "DevOps" :
1) - Le "DevOps" n'est pas un métier : c'est un état d'esprit, une culture d'entreprise, une démarche, une philosophie ... En ce moment, l'IT met ce mot à toutes les sauces et en devient un galvaudage. A noter qu'il est plus délicat pour un "Ops" de faire du "Dev", que l'inverse et si l'on prend le cas des "SysOps" qui sont plus proches de la vérité (c'est un débat philosophique ....).
Dans la démarche "DevOps", on inclut de plus en plus de "stream de sécurité", à différents niveaux :
Dev(Sec)Ops, (Sec)DevOps, DevOps(Sec) ou du (Sec)Dev(Sec)Ops(Sec) => cela fait plusieurs années que je pratique le dernier choix et les retours de résultats et de bénéfices sont à 95% positifs (c'est une autre débat) => ce qu'il faut voir ici, c'est que plusieurs métiers/fonctions/rôles/profils peuvent interagir dans le processus du "Devops".
Sécurité en amont des projets, sécurité pendant le projet, sécurité en aval des projets, sécurité en post-production
2) - Le vaste univers du "Pentest" (BlackBox, GreyBox, WhiteBox, RedTeam, Blueteam, PurpleTeam, BugBounty) :
Le "Pentest" (tel que présenté dans la plupart des annonces ou des métiers) n'est plus une niche : pentester un site web ou une application web, un Active Directory ou un Azure/AWS/GCP devient d'une banalité sans nom (la majorité des outils sérieux sont offerts par l'opensource ou le libre ... c'est devenu aussi "facile" que de faire une "homepage" en PHP avec "SPIP").
Des "pentesteurs" de ce type, j'en trouve "100 à la 12zaine" ... par contre, des "pentesteur" type "Bugbounty", c'est une autre "paire de manches" (il faut avoir un "top niveau" en sécurité : pour s'exercer, essayez le challenge de l'ANSSI et de son écusson. Beaucoup s'essaient, peu arrivent au bout (9 niveaux).
Des "pentesteurs" sur de l'embedded (embarqué), là, ils se comptent sur les doigts d'une main (secteur aéro, auto, nucléo, médico, blockchain, IIoT, IA, Défense, Robotique, PLC, machines industrielles ...). Nombreuses demandes, peu d'élus = "pénurie".
Comme le disait un précédent internaute, l'écosystème de la (cyber)sécurité ne s'arrête pas au "pentest" ou au "Devops" :
entre l'offensif et le défensif, il y a le forensique, l'investigation, le juridique, le pénal.
les nouvelles technologies : Blockchain, Intelligence Artificielle, Quantique
l'embarqué : et pas que l'IOT/IIOT, tout ce qui embarque du code dans un "Bios", un "Firmware', un ensemble électronique, un calculateur (je connais des personnes dont le métiers est l'analyse de sécurité du code en temps réel, pour les salles de marché ou pour les calculateurs en avionique).
les réseaux et les protocoles de communications : analyse de trames, de l'analyse de code (en utilisant des "SAST" , "DAST" et autres du même acabit.
D'autres métiers autour du SOC (très en vogue actuellement), de la détection des menaces, des risques, des crises, de l'architecture en (cyber)sécurité (IT/OT).
Il y a quelques références intéressantes autour des métiers de la cybersécurité et les tendances :
(sans faire de publicité : https://guardia.school/metiers/)
Si j'étais "novice" en la matière, j'aurais une approche "pieds de marmite" (3 comme pour les vieilles marmites en fonte, celles dans lesquelles on fait les meilleures soupes et les meilleurs plats), en cumulant connaissances, expériences, compétence, formations et auto-formations, certifications, etc. :
un socle technique de base (architecture de sécurité car cela couvre à peu près le toit de la "cyber")
une spécialité : le pentest avec options, ou de l'analyse de sécurité de code, ou du forensique, ou du SOC (et ce qui tourne autour)
une complémentarité : OSINT, RGPD, "Devops" (? Sec ?), IA (au sens large), Blockchain, Datas, Solutions matériel/logiciel (sondes, firewall, hsm, de l'ICS, .... avec une bonne de dose de normes (ISO 27001 et consorts, NISv2, NIST, ...)
une subsidiarité : avec de l'expérience, on peut devenir formateur en "cybersécurité"" ou se diriger vers une fonction de collaboration (RSI, RSSI, CISO, PO, CTO, etc.).
Il y a différentes façons d'exercer dans la cybersécurité, le tout est de savoir par où commencer (l'entrée du tunnel) ... les routes ne sont jamais droites, pas toujours bien éclairées, les "nids-de-poules" sont existants, et cela ne s'arrête jamais ...
PS : cela fait environ 40 années que je vagabonde dans les limbes de la (cyber)sûreté/sécurité informatique, entre autres) et j'en découvre tous les jours et ce n'est pas prêt de s'arrêter.
En espérant avoir pu contribuer à éclairer quelques lanternes,
Bien à vous,
Yanolezard.