La pénurie nous guette-t-elle ?

« Et c'est reparSSTIC... - SSTIC 2010 - Compte Rendu (ou pas) »

Par Mat le jeudi, 10 juin 2010, 03:14 - Il était une fois... - Lien permanent

Les soirées du SSTIC se suivent ~~mais ne se ressemblent pas~~ et se ressemblent en fait (resto, rue de la soif, Hurukan va au dodo pendant que les autres "travaillent" )

Sur le chemin du retour vers l'hôtel, nous discutons ~~de la vie, de l'univers et le reste~~ du métier de pentester et de l'impression que beaucoup de sociétés recrutent actuellement :

de l'aveu même de Bernard Barbier (directeur technique de la DGSE), la DGSE recrute

l'ANSSI

~~Un représentant de la gendarmerie nationale annonce qu'il a l'autorisation d'augmenter ses effectifs de 25%)~~ (Voir les commentaires)

Lors des discussions de la soirée ou en journée, on se rend compte également que de nombreuses sociétés privées recrutent (liste bien sur non exhaustive, juste les quelques exemples glanés tout au long de la journée/soirée via des amis de certains collègues ou discussions avec d'autres pentesters) :

LEXSI

SOGETI

BT Services

Checkmates/Provadys

XMCO

L'impression que je retire de tout ca est qu'une bonne partie de la sphère "pentest" recrute en ce moment, mais la tendance est-elle vraiment nouvelle?

Peut-on également se demander pourquoi "tout le monde" recherche et "personne" ne trouve?

Le métier de pentester est un métier de niche et comprend donc logiquement peu de personnes. (combien il y a-t-il de pentesters en France? à la louche, je dirais entre 100 et 200)

De plus, il requiert une expertise technique et une implication faisant que peu de monde se "jette" dedans.

L'offre actuelle étant ce qu'elle est, et la demande des sociétés ayant l'air de progresser rapidement (dizaines de nouveaux postes créés), n'allons-nous donc pas logiquement vers une pénurie de l'offre?

Au jeu de l'offre et de la demande, la demande étant actuellement supérieure, il devrait logiquement :

mettre les pentesters en position de force vis-a-vis des entreprises
amener certaines sociétés à stagner (voir disparaitre, mais cela est moins plausible) si elles n'arrivent pas à recruter
amener d'autres sociétés à tirer leur épingle du jeu

La majorité des pentesters étant déjà en poste, les arguments les incitant à changer de société doivent être "convaincants" (salaire, avantages divers, conditions de travail, intérêt du travail...).

Les entreprises étant des entités économiques rationelles, elles recherchent le meilleur rapport qualité/prix :

un consultant déjà formé/autonome/compétent sur de nombreux domaines
un consultant le moins cher possible

Le "mouton a 5 pattes bon marché" demandé par les entreprises n'existe évidemment pas, et il faut donc faire des concessions :

revue à la baisse des compétences demandées
revue à la hausse des salaires proposés (les salaires proposés n'étant pas forcément attractifs du point de vue du consultant)

Le contexte économique étant ce qu'il est, les pentesters ne se voient pas forcément proposer des offres en or, et apparemment peu changent de société (impression que j'ai mais je peux me tromper).

Cette situation (plus ou moins) stagnante ne va-t-elle donc pas amener à une pénurie de recrutement?

Quel futur pour le "petit monde du pentest" ? (quand on voit le succès d'une conférence comme le SSTIC, on peut se dire que tout ira bien, mais combien de personnes dans l'assistance passeront réellement "du côté obscur" ? )

Commentaires

1. Le jeudi, 10 juin 2010, 08:12 par Sid

Tu oublies quelques facteurs déterminants. Je voudrais te répondre, mais ça me donne une idée de billet du coup pour l'après-SSTIC (jeu de mot, bouahahaha, je sors).

-> interchangeabilité des candidats vs employeur, ou quelles sont les attentes de boîtes
-> interchangeabilité des skillz, ou qu'est-ce que peut faire un pentesteur s'il ne trouve pas de job de pentesteur
-> état global du marché du travail
-> état de la demande, ou quelles sont les attentes des clients, qui drivent directement les attentes des boîtes

Le pentest, c'est encore vu comme un travail de "petites mains" qu'on file au juniors. La Tyrannie du management en somme. Du coup, je me demande si sur ce marché, l'offre et la demande sont réellement alignées...

2. Le jeudi, 10 juin 2010, 09:17 par Romain

Rendez-vous au social event alors... ;)

3. Le jeudi, 10 juin 2010, 10:08 par Mat

@sid : "Tu oublies quelques facteurs déterminants."

surement, mais les idées ne sont pas forcément très claires et exhaustives à cette heure ;)

"La Tyrannie du management en somme."

Faut-il comprendre que ca se passe différemment chez EADS? (étant toi même manager/chef)

4. Le jeudi, 10 juin 2010, 12:45 par Michaël

"Le contexte économique étant ce qu'il est, les pentesters ne se voient pas forcément proposer des offres en or,"

Au delà du contexte économique actuel (blabla, crise tout ça...), je pense que les pentesters français ne se verront JAMAIS proposer des offres en or pour la simple et bonne raison que les clients des pentests ne sont pas prêts à payer chèrement ce genre de prestation (excepté qq cas rares). Du coup, les boites que tu cites au-dessus sont contraintes économiquement à embaucher des gens "pas trop chers" alors que ces mêmes personnes ont des compétences techniques élevées. Je pense que c'est ici que réside l'incompatibilité.
Cela me rappelle une fameuse discussion ("http://news0ft.blogspot.com/2009/07...") qui faisait notamment le constat qu'en France la technicité n'est pas reconnue comme elle peut l'être à l'étranger. Dommage.

5. Le jeudi, 10 juin 2010, 19:56 par Hurukan

Je ne suis pas mort, je rassure mes lecteurs... par contre je sens que je vieillis et les 3 fois 3h du matin passent mal.

Heureusement j'ai un auteur insomniaque qui a vraiment une motivation hors du commun pour rédiger à 3h15 du Mat...

A mon avis, on trouvera toujours un junior inexpérimenté qui sorti d'école sera très content de trouver un job qui sexy aux premiers abords (mais qui l'est parfois moins plus tard). Il sera même prêt à faire des concessions sur son salaire pour être pris. (Pas mal de monde doit se reconnaître).

Maintenant ça sera une personne inexpérimentée, qui ne sera pas opérationnelle tout de suite. Si les managers vendent bien cette ressource.. il ne sera mentionné nulle part qu'il est junior (c'est courant on vend parfois même des stagiaires à 800 euros la journée... mais chut).

Maintenant les boîtes et leurs managers veulent le beurre et l'argent du beurre : des mecs expérimentés, techniquement bons et assez généralistes pour intervenir sur un large panel d'audits techniques et de missions...
Il faudra aussi que les candidats soit alors de doux rêveurs ou des pigeons qui aiment assez leur job pour baisser leur froc en s'asseyant sur leurs salaires. Les managers qui maitrisent la suite Office( mais pas grand chose d'autre)s n'ont eux pas des petits salaires et en profitent bien ;-)

(Antisoooooooooooociallllllll tu perds ton sannnnnnnnnng froidddddddddddddddd!)

On peut aussi s'interroger sur le business modèle qui peut fonctionner pour une boite de pentest. J'essaierai de faire un article sur ça.

Je ne suis pas sûr qu'il soit possible de faire du pentest dans une grosse société. Les missions étant courtes et au forfait, même en étant booké à 80% de l'année et en bossant comme des malades, 10 pentesters sur une année ne rapportent même pas le prix d'une mission moyenne d'infogérance, de supervision ou d'intégration d'un grand groupe... Et c'est beaucoup de contraintes de gestion de projets et plein d'autres trucs. Quant à faire du pentest pour améliorer l'image de marque d' une société, faut avoir une direction qui suit, je ne suis pas sûr que ça soit réellement rentable, à long terme, la direction risque de couper le robinet...

Enfin, la culture de la technicité ou de l'expertise en info, ça n'a pas l'air d'exister en france ou du moins de rapporter. Un mec super calé peut être payé peanuts. On le voit d'une manière générale avec la situation de la recherche en France. Maitre de conf avec BAC+10 sur Paris et 1600 euros net dans un appart de 15m carré, ça fait pas rêver... un BAC + 2 dans le privé sera à 1900-2000 euros net... (J'ai rien contre les BAC + 2 mais c'est pour montrer le fossé)

"Le pentest, c'est encore vu comme un travail de "petites mains" qu'on file au juniors. La Tyrannie du management en somme. Du coup, je me demande si sur ce marché, l'offre et la demande sont réellement alignées..."

=> Tout à fait, le métier n'est pas connu, compris et reconnu dans la plupart des sociétés. Le pentester, c'est un technique que le manager ne comprend pas forcément et sur lequel on peut se faire de la marge facilement dans une PME.

Bref c'est des idées en vrac à la volée, j'oublie plein de trucs, mais SSTIC oblige. Faudra que je réaborde ces différents points de manière un peu plus concise... et argumentée ;-)

Faut se grouiller d'aller au social... RhaaAAaAaa

6. Le vendredi, 11 juin 2010, 02:21 par Hurukan

J'ai entendu aussi qu'HSC recrutait dans le fonctionnel ;-)

C'est dû à la conférence sur la sécurité des systèmes de vote? [vieux troll poilu]

Je suis moins négatif que beaucoup de mes collègues sur cette conf que j'ai pas mal aimée. En fait, il est rare de faire une conf sur un sujet sensible sur lequel on a 36 000 chances de se faire brûler. Rien que pour ça, ça méritait de l'attention et du respect! C'était osé. Peu de gens se seraient mouillés...

Même si sa solution est loin d'être parfaite, y'avait de l'audace. Mais bon 5 min de plus et le conférencier se faisait brûler ;-)

J'essaierai d'en parler plus dans un compte rendu, vous pouvez troller!!!

7. Le vendredi, 11 juin 2010, 16:38 par Dim

Ces échanges sont très intéressants. Je me suis souvent torturé avec cette question de reconnaissance des hommes techniques en France. De mon côté, je me suis expatrié au Canada pour voir si l'herbe est plus verte dans la SSI outre-atlantique.

Honnêtement, les gars techniques sont vraiment reconnus et respectés. Du coup ils ont pas besoins d'être arrogants comme on le voit trop en France, pour compenser ce manque de reconnaissance, ce qui peut faire peur aux clients... Dommage, car je reste impressionné du niveau technique en France en sécurité, qui est réellement excellent (cf les contenus du SSTIC).

Il y a aussi des gens qui font du pentest, avec une pénurie de ressources bien plus grande. Du coup on compense en automatisant et en industrialisant au maximum les choses.

J'ai aussi appris ici le retour sur investissement. Le pentesting est du travail d'artisan, au sens noble du terme, ou même d'artiste. En réalité, on trouve encore difficilement un retour sur investissement de ce niveau technique quand on voit les erreurs de conception ou failles grossières de sécurité. Il y a énormément à faire en organisation, gouvernance et sensibilisation en amont pour atteindre les objectifs de sécurité.

Le nerf de la guerre, c'est le rapport entre investissement (entreprise) mais aussi personnel (pentesteurs) VS retour sur investissement en terme de sécurité pour l'entreprise, en lien avec ses besoins d'affaires.

8. Le samedi, 12 juin 2010, 18:12 par Eric Freyssinet

Bonjour,

Je n'ai jamais parlé d'augmentation d'effectifs, mais uniquement de croissance interne des personnels formés aux technicités de l'investigation numérique. Il doit y avoir confusion avec les déclarations de Patrick Pailloux ?

9. Le samedi, 12 juin 2010, 20:29 par Hurukan

Voilà j'ai barré le passage dans l'article, histoire qu'il n'y ait pas de confusion.

Désolé pour cette méprise! En espérant que celà ne soit pas préjudiciable pour vous!

La discussion continue ailleurs

URL de rétrolien : http://pentester.fr/blog/index.php?trackback/32

Fil des commentaires de ce billet

Le petit monde d'un pentester