DevOps vs Cyber/Pentest

alternance Finie donc recherche de premier CDI

En vrai je regarde les choses de manière pro (débouchés, besoins du marché, salaire, possibilités de free-lance…) pour essayer de faire un choix, les 2 me plaisent même si j’ai une préférence pour le pentest.

J’ai juste pas envie d’aller dans l’un et de « m’enfermer »

Si tu veux pas t’enfermer fais pas du pentest alors.

Devops c’est typiquement le poste où tu peux toucher à tout

sauf que devops tout le monde peut se brander devops

pentest est plus une niche et moins sujet à la rude concurrence

chômeur?

tu crois vraiment que ceux qui sont sur une niche bien payée vont venir sur un forum expliquer à tout le monde de venir n**** leur système ?

d'autre part l'informatique subit des révolutions perpétuelles, personne ne sait l'avenir. Ce qui est valable aujourd'hui ne sera pas valable demain.

Ne pas s'adapter et faire un all -in sur un job c'est l'inverse de l'informaticien actuel qui doit s'adapter en permanence.

Bonjour "donj8e",

D'abord, félicitations pour la réussite de votre alternance et l'obtention de votre diplôme dans le vaste écosystème de la (cyber)sécurité.

Vous avez pratiqué du "DevOps" :

• 1) - Le "DevOps" n'est pas un métier : c'est un état d'esprit, une culture d'entreprise, une démarche, une philosophie ... En ce moment, l'IT met ce mot à toutes les sauces et en devient un galvaudage. A noter qu'il est plus délicat pour un "Ops" de faire du "Dev", que l'inverse et si l'on prend le cas des "SysOps" qui sont plus proches de la vérité (c'est un débat philosophique ....).

  Dans la démarche "DevOps", on inclut de plus en plus de "stream de sécurité", à différents niveaux :

  • Dev(Sec)Ops, (Sec)DevOps, DevOps(Sec) ou du (Sec)Dev(Sec)Ops(Sec) => cela fait plusieurs années que je pratique le dernier choix et les retours de résultats et de bénéfices sont à 95% positifs (c'est une autre débat) => ce qu'il faut voir ici, c'est que plusieurs métiers/fonctions/rôles/profils peuvent interagir dans le processus du "Devops".

    • Sécurité en amont des projets, sécurité pendant le projet, sécurité en aval des projets, sécurité en post-production

    2) - Le vaste univers du "Pentest" (BlackBox, GreyBox, WhiteBox, RedTeam, Blueteam, PurpleTeam, BugBounty) :

    Le "Pentest" (tel que présenté dans la plupart des annonces ou des métiers) n'est plus une niche : pentester un site web ou une application web, un Active Directory ou un Azure/AWS/GCP devient d'une banalité sans nom (la majorité des outils sérieux sont offerts par l'opensource ou le libre ... c'est devenu aussi "facile" que de faire une "homepage" en PHP avec "SPIP").

    Des "pentesteurs" de ce type, j'en trouve "100 à la 12zaine" ... par contre, des "pentesteur" type "Bugbounty", c'est une autre "paire de manches" (il faut avoir un "top niveau" en sécurité : pour s'exercer, essayez le challenge de l'ANSSI et de son écusson. Beaucoup s'essaient, peu arrivent au bout (9 niveaux).

  • Des "pentesteurs" sur de l'embedded (embarqué), là, ils se comptent sur les doigts d'une main (secteur aéro, auto, nucléo, médico, blockchain, IIoT, IA, Défense, Robotique, PLC, machines industrielles ...). Nombreuses demandes, peu d'élus = "pénurie".

  Comme le disait un précédent internaute, l'écosystème de la (cyber)sécurité ne s'arrête pas au "pentest" ou au "Devops" :

  • entre l'offensif et le défensif, il y a le forensique, l'investigation, le juridique, le pénal.

  • les nouvelles technologies : Blockchain, Intelligence Artificielle, Quantique

    • l'embarqué : et pas que l'IOT/IIOT, tout ce qui embarque du code dans un "Bios", un "Firmware', un ensemble électronique, un calculateur (je connais des personnes dont le métiers est l'analyse de sécurité du code en temps réel, pour les salles de marché ou pour les calculateurs en avionique).

    • les réseaux et les protocoles de communications : analyse de trames, de l'analyse de code (en utilisant des "SAST" , "DAST" et autres du même acabit.

      D'autres métiers autour du SOC (très en vogue actuellement), de la détection des menaces, des risques, des crises, de l'architecture en (cyber)sécurité (IT/OT).

      Il y a quelques références intéressantes autour des métiers de la cybersécurité et les tendances :

      (sans faire de publicité : https://guardia.school/metiers/)

      Si j'étais "novice" en la matière, j'aurais une approche "pieds de marmite" (3 comme pour les vieilles marmites en fonte, celles dans lesquelles on fait les meilleures soupes et les meilleurs plats), en cumulant connaissances, expériences, compétence, formations et auto-formations, certifications, etc. :

    • un socle technique de base (architecture de sécurité car cela couvre à peu près le toit de la "cyber")

    • une spécialité : le pentest avec options, ou de l'analyse de sécurité de code, ou du forensique, ou du SOC (et ce qui tourne autour)

    • une complémentarité : OSINT, RGPD, "Devops" (? Sec ?), IA (au sens large), Blockchain, Datas, Solutions matériel/logiciel (sondes, firewall, hsm, de l'ICS, .... avec une bonne de dose de normes (ISO 27001 et consorts, NISv2, NIST, ...)

    • une subsidiarité : avec de l'expérience, on peut devenir formateur en "cybersécurité"" ou se diriger vers une fonction de collaboration (RSI, RSSI, CISO, PO, CTO, etc.).

    Il y a différentes façons d'exercer dans la cybersécurité, le tout est de savoir par où commencer (l'entrée du tunnel) ... les routes ne sont jamais droites, pas toujours bien éclairées, les "nids-de-poules" sont existants, et cela ne s'arrête jamais ...

    PS : cela fait environ 40 années que je vagabonde dans les limbes de la (cyber)sûreté/sécurité informatique, entre autres) et j'en découvre tous les jours et ce n'est pas prêt de s'arrêter.

  En espérant avoir pu contribuer à éclairer quelques lanternes,

  Bien à vous,

  Yanolezard.