Passé, Présent, Futur ?
Par Hurukan le samedi, 24 octobre 2009, 18:07 - Il était une fois... - Lien permanent
C'est en dernière année d'école d'ingénieur que je décidais de faire mon stage de 6 mois dans une société de sécurité informatique. Je n'avais à cette époque là qu'un seul objectif en tête : devenir pentester (réaliser des tests d'intrusion).
Étudiant, je trouvais ce job gratifiant, et j'avais l'impression qu'il conférait pas mal de pouvoirs. C'était selon moi un job sexy pour geek curieux à la recherche du frisson. Faire semblant de jouer au méchant et se la péter devant le client en disant que le niveau de sécurité de son système d'informations est pitoyable. Que demande le peuple ? (Niark Niark).
Après avoir fait du tri entre les différentes sociétés qui proposaient de faire du pentest, j'envoyais mon CV et ma superbe lettre de motivation. Je n'eus qu'une seule réponse en tout et pour tout sur une trentaine de mails. Je venais de me rendre compte que faire du pentest pour un jeune sorti d'école, c'était à cette époque là galère ...
Aussi je décidais de renvoyer mon CV une deuxième fois à quelques jours d'intervalle. Et là, JACKPOT ...
Après 2 semaines actives de recherche, j'arrivai enfin à décrocher un stage de 6 mois dans une société de sécurité informatique composée d'environ 120 personnes. J'intégrai le pôle conseil avec la chance à cette époque de faire du pentest à temps plein dans un groupe de 4/5 personnes dédié à cette activité.
J'étais très content et les premiers mois de mon stage me permirent de :
- me perfectionner techniquement auprès de consultants confirmés,
- connaître les étapes nécessaires à la bonne réussite d'un test d'intrusion,
- comprendre que pas loin de 40% de mon temps, j'allais le passer sous Word à rédiger du rapport à gogo ...
Autre aspect inévitable du métier (que je redoutais beaucoup au départ) : le contact avec le client. Difficile en tant que geek de se mettre en costard pour aller discuter de sécurité avec des gens hauts placés (RSSI, DSI et décideurs de grand groupe). Encadré par un très bon maître de stage, mes peurs se sont vite dissipées.
Tout s'est donc très bien passé pendant mon stage, hormis quelques petits plantages chez certains clients ici ou là! Cela fait parti du métier! Aussi lorsque on est venu me proposer un CDI, j'ai signé assez rapidement même si le salaire n'était pas mirobolant à l'époque. (J'ai su plus tard qu'il était dans la norme). L'ambiance conviviale me plaisait ainsi que les blagues pourries et vaseuses de mes collègues.
Le début de mon CDI fut dans la lignée de mon stage. Pentests chez de grands comptes enchaînés assez rapidement. La période de rush de Septembre à Décembre tenait ses promesses...
J'ai donc pu rapidement découvrir pas mal de technologies différentes sur lesquelles j'avais peu de connaissances en sortant de l'école. Techniquement parlant c'était le pied, je me plaisais vraiment malgré les gros coups de stress / fatigues.
La boite fonctionnait dans une bonne ambiance, relativement familiale. Les choses n'étaient pas encore très carrées. Je dois dire avec le recul que les rapports que nous rédigions laissaient à désirer (même s'ils étaient dans la norme de ce qui se faisait à l'époque).
Des changements eurent lieux dans l'équipe au bout de 10 mois. Deux managers prirent la poudre d'escampette, ainsi que 2 consultants (Côté fonctionnel). Mon manager direct de cette époque décidait donc de partir (disons ça pour le politiquement correct).
Tout le monde s'en réjouissait, à part apporter une sale réputation à la société, poster des articles bourrés de fautes sur des sites de merde et se faire mousser ... Il ne nous apportait pas grand chose à part son phénoménal carnet d'adresses ...
Comme manager, il était nul, en 7/8 mois de travail il n'avait du prendre de mes nouvelles qu'une fois pour me proposer une mission de merde.
Pour palier à ces départs, le directeur du pôle conseil a donc rapidement nommé 2 nouveaux managers, dont un collègue avec qui je bossais depuis le début. C'était vraiment mérité. Techniquement au top, super professionnel, super réglo, un peu froid aux premiers abords mais très sympa avec la blague pourrie en toute situation! Le second manager n'était autre que mon maître de stage qui est une crème!
Grâce à eux, le pôle s'est stabilisé, pendant pas mal de temps les départs ne se sont pas enchaînés au rythme effréné d'une SSII classique (Ouaiche Xav si tu me lis). L'activité s'est également accrue, l'équipe s'est agrandie avec de jeunes pentesters boutonneux! (Je vais me faire frapper là).
De 5 nous sommes passés à 12 pentesters à plein temps. On devait pas être loin d'être la plus grosse équipe de pentest en France je pense. Pas de boulet! Des gens avec un bon niveau technique, faisant consciencieusement leur boulot dans la bonne humeur! (Ça aide quand on est geek et qu'on a le même âge).
Avec notre manager direct, les choses sont devenus de plus en plus carrées, mais aussi de plus en plus difficiles avec l'industrialisation des pentests.
Le contenu des rapports s'est nettement amélioré, le nombre de missions a aussi pas mal augmenté. Le nombre de jours vendus quant à lui n'a pas changé .. Hélas, pour gagner une mission il faut ne pas être bien cher ...
Faire plus de qualité dans le même temps imparti est donc difficile. Le pentester doit prendre sur lui. C'était assez rigolo de voir les jeunes padawans déprimés en se prenant des retours de relecture dans la tête!
En contrepartie, les gens sérieux pouvaient espérer une bonne augmentation de salaire. Logique. "Tu fais du bon taff, tu es bien payé et tu progresses bien!". C'était pas sans compter sur le rachat de notre société et sur la crise...
...
Voilà déjà 1 an que nous nous sommes fait racheter par un grand groupe anglais. Bien entendu un peu comme dans tous les rachats nous l'avons appris par la presse. Ce rachat n'annonçait rien de bon et toutes nos prévisions se confirmèrent rapidement. Le but de ce rachat était de faire main mise sur la partie intégration sécurité de notre société.
La période de transition qui est sur le point de s'achever dura un an et s'est déroulée de manière catastrophique.
La lecture du mail d'accueil de notre nouveau PDG nous laissait déjà présager le pire. Du "performons ensemble" à tous les coins de phrase, des gros coups de pied au cul des managers pour qu'ils fassent bouger les chiffres déplorables du "Q4". Pas même une pensée pour le personnel.
Les mails de la direction qui suivirent ne furent pas beaucoup mieux ; des discours de marketeux, de gens hauts placés qui ne comprennent rien à leur société s'ils n'ont pas un tableau de rentabilité sous les yeux. Et ce qui devait arriver arriva donc... la crise aussi en prétexte.
Niveau boulot c'est assez facile à résumer :
- Des objectifs inatteignables pour nos commerciaux,
- Des décisions globales et irrévocables prisent par le N+42,
- Une non compréhension totale de notre activité et de notre métier.
- L'abandon de notre activité (volontaire ou pas).
Niveau social que du bonheur !
- Gel total des embauches : ça le fait pas de voir des stagiaires formés partir à la concurrence ...
- Gel des salaires : il faut payer les retraites des anglais!
- Pas d'intéressement, pas de participation non plus tant qu'à faire.
- Des remboursements de frais réduits : tu prends ton Etap hotel et tu fais pas chier. (Heureusement que notre super CDP est là!)
- Pas de plan social, c'est plus facile de faire démissionner un consultant que de lui payer 1 ou 2 mois d'indemnité et qu'il touche son chômage.
Frustrant de voir tous ses acquis sociaux partir en fumée quand on bosse dur et qu'on a l'impression d'être une des seules parties rentables de la société. De nombreuses questions viennent donc nous titiller les neurones : Se défoncer pour qui, pour quoi? Pour des guignols en haut qui se foutent de nous en envoyant des mails grotesques ?
Difficile aussi de ne pas créer des tensions au sein de notre groupe de pentesters. Ne pas augmenter correctement les pentesters juniors est souvent synonyme de départ. Le métier est contraignant, et un des seuls avantages et de voir son salaire progresser rapidement.
En général, sur Paris, un junior commence entre 33KE et 37KE. Au bout de 2 ans, il atteint une fourchette entre 37KE et 42KE. De 3 ans à 4 ans d'expérience, il passe confirmé et gagne entre 42KE et 47KE.
Au bout de 5 ans avec le grade de senior on peut espérer gagner entre 47KE et 52KE. Bien entendu, on ne peut rester pentester dans le sens noble et technique du terme qu'à un niveau confirmé. Le senior passera 50% de son boulot à faire de la gestion de projet ou à faire le boulot du manager.
Donc malgré ces gels, en pleine crise, notre groupe de pentester a temporairement tenu le choc, beaucoup de gens ont voulu se barrer (moi y compris) mais il n'y a eu aucun passage à l'acte.
Je pense que notre petit groupe de 10 pentesters a tenu ces quelques mois :
- Grâce à la bonne humeur de chacun,
- Grâce à notre manager direct (ex ancienne boîte) qui n'a passé son temps qu'à rédiger des propales (proposition commerciales) et gagner des appels d'offre.
- Grâce à notre ancien directeur qui a pris sur lui les remarques à la con des N+42.
Mais le temps passe, petit à petit ce bouclier s'est fissuré. La semaine dernière nous avons appris la démission de ces 2 collègues :
- Marre de faire de la propale à gogo (c'est dur quand on vient de la technique pure),
- Marre d'avoir des dirigeants à la con.
- Des projets perso ailleurs dans la sécurité (ou pas).
Autant dire que notre groupe de pentest est maintenant à l'agonie et va sûrement imploser. J'ai donc l'impression qu'une belle histoire se finit là et qu'il va falloir tourner la page relativement rapidement. On va attendre de voir ce qui est susceptible de changer, mais nous sommes déjà tous à l'écoute du marché.
Commentaires
Bon courage et tenez bon. Je twitte votre excellent billet-CV en espérant qu'il trouve son public. Avec les compétences que vous avez, il n'y a pas de raison...
C'est juste super sympa! On croise les doigts ;-)
Je retweete, même si je n'ai pas compris un mot de ce dont vous parlez. Ça doit vouloir dire que vous êtes compétent.
Bonne chance.
Ou ça veut dire que c'est mal écrit ;-)
Merci en tout cas!
Vous devriez tous partir ensemble et créer votre structure...
Irréaliste ?
Avec tout ça, je ne sais toujours pas ce qu'est un pentester…
Bonne chance, cependant !
Pour faire simple, un pentester est un consultant informatique qui réalise des tests d'intrusion.
Ce consultant joue au hacker chez un client, essaye de trouver des failles sur un périmètre donné puis fait un joli rapport derrière!
J'ai modifié l'article en espèrant que les gens qui n'y connaissent rien comprennent un minimum ;-)
Créer sa propre société ?
Plusieurs personnes seraient partantes, mais il faut déjà pouvoir amener un minimum de capital. Se faire prêter de l'argent par les banques en cette période et loin d'être évident.
Ensuite, il est relativement difficile pour des petites structures d'obtenir des contrats chez des grandes sociétés voire même PME. (Niveau contractuel, assurances, blabla...)
Partir dans une même société ou à plusieurs chez un concurrent pourrait être synonyme de procès avec notre ancienne société (débauchage, problèmes de concurrence).
Bonjour,
J'ai fait suivre à mon tour, Hurukan. Ma portée est autrement plus limitée que celle de Zythom ou d'Eolas, mais sait-on jamais, si cela peut aider...
Votre article est remarquable, très intéressant. J'en viens à regretter de ne pas avoir de besoins en ce moment, tant vous m'apparaissez, certes structuré et compétent, mais également sociable et de bon état d'esprit. Or un projet, c'est 50% d'humain.
Je n'ai aucune inquiétude quant à la suite de votre parcours.
Bon courage à vous !
Merci pour ce commentaire qui me va droit au coeur!
Franchement merci à tous!
Bonjour ,
en tant que collègue bossant dans l'informatique (pas le même secteur mais cela ne change pas grand chose) je le vois dans l'obligation de retweeter votre billet.
Commentaire purement de forme à effacer après usage :
J'arrivAI, j'intégrAI (passé simple)
CelA fait PartiE
C'ÉTAIT sans compter sur le rachat
La lecture nous laissAIT déjà présager LE pire
Billet très intéressant !
Huhu, merci pour la correction des fautes!
J'ai fait l'article quasiment d'un trait. Il est difficile de voir les fautes en relisant à chaud.
Merci encore car certaines auraient fait peur à ma maman ;-)
Je me suis permis de forwarder, même si comme Sofienne ma portée est très limitée. Mais si les réseaux sociaux peuvent servir à quelque chose (y compris à la solidarité entre geeks), alors pourquoi pas ? En tout cas, bon courage ...
Merci c'est super sympa!
Bien moins marrant que les dd sur efnet mais tres interessant...
Niveau boulot, partir a l'etranger est assez sympa
Hello Snyff, ça fait un bail! Ca me rappelle le bon vieux temps ;-)
Concernant l'étranger, je pense que c'est pas mal quand on est étudiant voire pour son premier job!
Dans mon cas, pas évident de partir loin de gens qui me sont chers maintenant!
Bonjour, je découvre ce blog depuis quelques semaines... Je le trouve très intéressant pour un jeune sortant juste d'école d'ingénieure ayant eu une formation relative à la sécurité informatique. Je tiens à vous souhaiter bonne chance et bon courage dans votre quête, que je ne doute pas sera fructueuse à la vue de votre niveau de compétences (technique et humaine) qui apparaissent dans la lecture de votre blog.
Salut le lab :)
Ce post donnerait presque envie de verser une larme, faudrait se prendre un verre d'ici peu.
Je paierai mon assiette :P !
Ton billet m'a fait l'effet d'un miroir: même type de job, société rachetée également, même conséquences professionnelles et peut être même finalité... L'avenir nous le dira.
En tout cas bon courage à toi pour la suite.
Ton email bounce, mais tu sais comment me joindre :)
L'expérience montre qu'un groupe de personne très compétent dans une grande structure implose à un moment ou un autre. Lorsqu'on se retrouve dans une telle structure, il faut vraiment en profiter.
Beau billet. En plein de le vrai.
Bonjour,
je suis votre blog que je trouve très intéressant et amusant.
Ma SSII, plus grosse, c'est faite racheté par des anglais aussi il y a un peu plus longtemps.
C'est vrai que ces rachats ne présagent rien de bon. Malgré le nombre important d'ingénieurs (5K sur paris) on y a beaucoup perdu malgré tout et au fur et à mesure l'air de rien on perd tout se qui faisait l'ame de notre ancienne boite.
Moi qui voulais me réorienter dans la sécurité. Une ancienne passion, qui à mon époque (début 2000) était pas vraiment une carrière professionnelle.
Ca laisse songeur :)
Je vous proposerais pas d'échangé ça à l'air aussi pourri des 2 cotés.
Mais quelque part je retrouve beaucoup dans votre ticket se qui c'est passé pour notre boite (les anglais qui viennent plomber nos bons chiffres, de la pseudo revitalisation verbale, etc).
Bref, pas de bonnes nouvelles tout ça.
Mais nous on fait que du logiciel, et la partie sécurité chez nous pour se que j'ai compris se borne à installer des DMZ et à dire "attention, évitez de mettre comme mot de passe en prod, 'prod' ou la même chose que le nom d'utilisateur"
Bonne chance
@[Sid] : Maaaaaaaaa quel boulet je fais ;-)
Tout est remis dans l'ordre!
Epic Fail pour le mail quand même...
Tu avais autant d'espoir?
Bonne chance dans ta quête et à demain ;)
Ouip, brain failure pour le mail mais de toute façon pas eu beaucoup de retours ;-) A demain Mister Tram ;-)
Twitt 'Job wanted' lancé histoire de faire avancer tes voiles. Bonne chance!
il y a bien l' ANSSI 8-) .
ok je sors
--[]
Zut Hurukan ! Je rentre à peine de mission, je me pose au bureau, je lis ton blog, et j'apprends que l'on est a l'agonie et qu'on va implosé !!! Allez mec, faut se reprendre (à une corde, ahah) , je te l'accorde on a pas le vent dans le dos, mais tout n'est pas perdu. Regarde on vient de recevoir un mail de propagande de notre n+666, tu vois on existe encore (au moins dans l'Exchange).
Très beau billet snifff ...
Je ne m'en fais pas pour toi nounours ! ,Courage
Wait and see......
Alea Jacta Est
Belle histoire qui s'achève... chacun de son côté, peut-être qu'on retravaillera ensemble dans le futur...
Hehe JC, j'espère qu'on aura l'occas un de ces jours! ;-)
+1
"des discours de marketeux, de gens hauts placés qui ne comprennent rien à leur société s'ils n'ont pas un tableau de rentabilité sous les yeux" => tout à fait d'accord... Je pense que cela ne se limite pas au monde de l'informatique et s'étend à toutes les grosses structures...
Très interessant comme petit blog. Surtout que je me reconnais bien dans ta description :). Sauf que finalement pendant mon stage je fais pas vraiment de pentest :(. Tu penses que pour commencer en tant que junior il faut un bagage technique long comme le bras ?
Je l'ai lu de bout en bout... D'espoirs en désillusions !
Cela me confirme que le monde de l'économie de marché n'a de cesse de s'éloigner de la valeur travail...
J'aimerais avoir des nouvelles récentes de vos activités !
Cordialement...
Merde alors, j'ai l'impression que tu parles de ma société et de la situation totalement pourrie que nous vivons actuellement... ca fait peur. Après relecture, j'ai bien vérifié :p
Merci pour ce billet qui résume fort bien la situation de beaucoup.
Bon courage et espérons que notre métier puisse survivre à tous ces con..rds.
Après avoir regardé ton IP, on ne vient pas de la même société ;-)
Milca: Pour commencer en tant que Junior, c'est clair qu'il faut des bases correctes. C'est un métier où il faut être polyvalent techniquement (pas forcément excellent dans tous les domaines, mais avoir un bon niveau global)...
Après le métier s'apprend sur le terrain. Je dirais qu'il faut être bosseur, curieux et filou pour la technique. ;-) Faut avoir un bon niveau rédactionnel en français et en anglais. C'est là où les consultants ont le plus de lacunes (Faut dire qu'on en chie sur les rapports).
Est-ce qu'un métier de pentester est à conseiller?
J'ai l'impression que la sécurité est un échec (air connu..) et qu'il n'est que demandé de faire du rapport sous Word. La vraie sécurité ne sera jamais abordée, en tout cas jamais payée, et l'audit sert juste au financier de savoir si ce qu'il paye comme sécurité est justifié ou non. Pour avoir discuté avec qques personnes, c'est même souvent l'inverse: En gros, "j'ai un niveau de sécu 'x', je vais payer moins et baisser mon niveau de sécurité, de toute façon, je m'en fiche."
J'hésite à me lancer; quoi qu'il en soit, la société que je vise n'a, semble t'il, pas été rachetée par des anglais récemment :-)
Les gros points négatifs:
Pour les points positifs, il faut que je reprenne mon souffle pour faire une nouvelle bulle ;-)
Mais pour résumé, faire 2 ou 3 années, celà reste très formateur.
Si je comprends bien, ça se résume à répéter ad nauseum le plus rapidement possible des frameworks de tests (a quand le plugin word pour écrire un rapport suite à un db_autopwn sous metasploit?).
Effectivement, ça ne fait pas rêver.
Concernant la progression de carrière, oui c'est du management, mais c'est le cas quel que soit le boulot. Si à 40 ans t'es encore dans la technique, t'es un has been qu'on va sous payer. Si t'es manager, on te considérera, on te payera bien, même si le management est un désastre. C'est un point que je n'arrive pas à comprendre. Il parait qu'aux states il existe des filières d'expertise.. Qui sait?
Pour revenir à la sécurité, je me demande si l'audit/pentest est vraiment une piste à creuser. Mais sinon, qu'est ce qui reste comme jobs? Un CERT? Il y en a combien en france? Une boite de sécu? comme tu le dis, il n'y a que du pentest/conformité ISO27000 etc... qui ne servent qu'a remplir des tableurs excel.
Alors où? L'ANSSI? Il parait qu'ils payent extrêmement mal.
Et d'ailleurs, travailler dans la sécurité informatique, ça signifie quoi?
Tests automatiques = Tests d'infrastructure / Tests des systèmes
En gros c'est faire tourner du nessus ou du Qualys sur un gros périmètre (50 à 200 machines par exemple). C'est souvent récurrent pour voir le niveau de sécurité dans le temps. Avec la norme PCI, beaucoup de gros clients sont obligés de faire ce type de scans. C'est pas sexy du tout pour un pentester. On apporte pas beaucoup de valeur ajoutée...
Qui plus est, ça fait déjà depuis bien quelques années que l'on ne rentre plus sur un SI depuis l'externe en utilisant des vulnérabilités systèmes. Tu vas pas rentrer sur un site bancaire en utilisant metasploit... ;-) Les clients ont du mal à saisir ça et un scan Qualys reflète souvent (selon eux) leur vrai niveau de sécurité (ArrrrrrrrGggggggHhhhhhh).
En général ce qu'un pentester préfère, c'est les tests applicatifs (Tests de site Web ou d'applications lourdes). Pour avoir de bons résultats tu ne peux pas que lancer des scanners automatiques (genre Appscan)... et c'est là qu'on intervient. Manque de bol, la plupart des missions applicatives sont sous vendues (soit pour gagner la mission, soit qu'on a une mauvaise estimation du périmètre). Du coup quand on va vite, on est pas à l'abri d'oublier pas mal de failles car on ne peut pas gratter ;-)
Maintenant faut être clair, si tu rentres dans une société comme la mienne, tu feras quand même une majorité de tests applicatifs ;-) (sous vendus par contre). Ca reste très formateur pour quelqu'un qui sort d'école. Niveau technique on acquiert pas mal de compétences rapidement... mais on stagne au bout de 3/4 ans.
Pour les boîtes de pentests (qui ont des gens dédiés à ça), je dirais qu'il y'en a ou 5 ou 6 de correctes, mais pas de marques.
Enfin dans le public, tu auras un moins bon salaire, mais par contre tu n'auras aucun stress, et pas de contraintes de temps (sur tes missions si tu en as ou sur tes rapports). Je pense même que dans certains domaines tu pourras faire de la qualité. C'est une reconversion pour certains.
J'ai en fait pas mal de questions à poser sur le métier de pentesteur.
Peux tu m'envoyer un mail? Je ne voudrais pas polluer le blog par des questions personnelles.
Je pense faire un billet destiné aux étudiants dans pas longtemps. N'Hésitez pas à me poser des questions par mails ou dans ces commentaires, y'a pas de soucis.