Ce sera probablement l’article unique de 2020: je n’ai malheureusement pas pris le temps cette année de rédiger davantage: manque de temps, de motivation et de sujet vraiment original. Entre les moments de confinement, ceux d’entraide et finalement ceux où le travail a demandé plus d’attention, il est vrai que je me suis un peu emporté. Cela dit, je souhaitais revenir sur ce qui a été pour moi un « événement phare » de l’année: ma certification CompTIA Security+.

C’est quoi, et pourquoi Security+ ?

Cette certification sert d’entrée dans le monde de la sécurité. Plus précisément, il s’agit d’une porte d’entrée parmi d’autres. Ce qui m’a attiré dans le programme, c’était son étonnante couverture du domaine. Il y en avait pour tous les goûts: du réseau, de la programmation, de la cryptographie et j’en passe.

Cette diversité m’a donc attiré et, bien que certains sujets aient été plus compliqués que d’autres en fonction de mes connaissances déjà acquises et de mon orientation professionnelle, c’était somme toute abordable. N’allez pas vous méprendre, la préparation était rude, surtout en emploi (20% de mon temps ainsi qu’une bonne partie de mes weekends y ont passé).

Security+ est valable 3 ans, et doit être renouvelée à ce moment, soit en repassant l’examen, soit en justifiant de votre expérience à l’aide de crédits obtenus lors de conférences, articles, formations supplémentaires, etc.

Quels sont les défis ?

Ce qu’il est impératif de savoir, c’est que l’examen et les supports sont en anglais, vous devez donc impérativement maîtriser la moindre ce sujet. J’ai un niveau d’anglais B2/C1 et j’ai parfois dû relire plusieurs fois les questions pour être sûr d’avoir bien compris la chose. Certaines questions sont tournées de manière trompeuses et c’est un peu dommage à mon sens, car si vous n’êtes pas à 150% concentré, vous allez vous prendre le panneau dans la figure.

Vous avez également tout intérêt à maîtriser les concepts de base de l’administration réseau, car dans le cas contraire vous allez vite être laissé sur le côté. CompTIA propose également une certification nommée Network+ qui vous permet de vous mettre à niveau, si vous en avez besoin. Dans tous les cas, j’ai suivi les cours et les questionnaires d’entrainement proposés par Darril Gibson, qui s’y connaît bien en la matière. Vous pouvez trouver son livre ainsi que des informations sur les packs de révision disponibles sur le site Web getcertifiedgetahead.com. Je vous recommande vivement cette ressource qui en vaut largement le prix.

Enfin, sachez que l’examen peut être passé dans une succursale de Pearson Vue, ou à la maison, chez vous. Au vu du contexte tendu de 2020, j’ai préféré la seconde option, et je n’ai pas été déçu. Les procédures sont très strictes (lisez les conditions attentivement ! Pas de papier, de boissons, de pause pipi ni même de montre à votre poignet) mais vous permettent de passer l’examen sur votre ordinateur personnel, moyennant d’installer un logiciel qui contrôlera que vous ne faites pas de bêtises. L’agent peut naturellement être désinstallé après l’examen.

Qu’est-ce que ça rapporte ?

Une première attestation de vos compétences dans le domaine de la cybersécurité. C’est un peu un jalon prouvant que vous y comprenez les bases du métier, voire que vous pouvez suivre une discussion avec un professionnel certifié. N’allez pas vous imaginer hacker ou que rien ne vous résistera, ce serait illusoire. Vous allez en apprendre suffisamment pour vérifier que vous aimez ce domaine, et pour vous orienter dans la suite de votre potentielle futur carrière. Car oui, la cybersécurité, c’est vaste, très vaste ! Vous devrez choisir à un certain moment votre voie, celle qui vous attire le plus et dans laquelle vous vous débrouillez bien. Une voie populaire est celle du pentesting (test d’intrusion et recherche de vulnérabilités).

Pour vous aider dans votre recherche, je vous partage ici une liste de certifications disponibles et quels domaines elles touchent. Elle m’a beaucoup aidé à me décider sur ma propre voie (du moins le début), et j’espère qu’elle sera utile à d’autres !

Et maintenant, quelle est la suite ?

Honnêtement, je n’en sais encore trop rien. Cela dépendra essentiellement des opportunités professionnelles que je peux trouver. En l’occurrence, je suis intéressé par une formation comme CySA+, une suite logique après Security+ et par le même organe de certification. Je suis également en train de regarder ce que CEH (Certified Ethical Hacker) pourrait donner, et j’aimerais également de manière ultime pouvoir passer l’OSCP, très reconnue dans le domaine du pentesting.

Bref, quelques perspectives mais encore rien de précis pour le moment. J’espère néanmoins que cette brève présentation vous aura donné envie d’en savoir plus et de vous lancer dans ce domaine, si vous hésitiez !