Les risques de cybersécurité créés par l’irruption du calculateur quantique, ainsi que les différentes réponses.
À destination des spécialistes de cybersécurité qui … … ont une culture scientifique, et des bases mathématiques minimales, … ne sont pas experts en mécanique ni en calcul quantique, … veulent comprendre comment fonctionne la mécanique et le calculateur quantique, … (re)découvriront attaques quantique, cryptographie quantique et post-quantique
Mon mémoire de CES Cybersécurité passé avec Telecom Evolution, Telecom Paris et l’institut Mines-Telecom! Il constitue aussi un cours, qui se veut raisonnablement abordable pour un « esprit éclairé et curieux ».
Ce n’est pas un article de recherche, bien sûr. C’est une synthèse plutôt complète (1 ou 2 théorèmes manquent…), le socle culturel que devrait avoir tout RSSI.
Des MOOCs (etc) qui ne sont pas, au sens strict, dans le domaine de la cybersécurité, mais qui pourraient être utile pour se remettre à niveau sur des sujets importants pour un employeur.
https://www.fun-mooc.fr/courses/course-v1:MinesTelecom+04006+session10/about Le MOOC «Fondamentaux pour le big data» permet d’acquérir efficacement le niveau prérequis en informatique et en statistiques pour suivre des formations dans le domaine du big data et data science. Ce MOOC s’adresse à un public ayant des bases en mathématiques et en algorithmique (niveau L2 validé) nécessitant un rafraîchissement de ces connaissances pour suivre des formations en data science et big data. Il peut être suivi en préparation du Mastère Spécialisé « Big data : Gestion et analyse des données massives », du Certificat d’Études Spécialisées « Data Scientist » (https://www.telecom-evolution.fr/fr/formations-certifiantes/data-scientist-data-science TelecomParis, 26 jours, 11 500€ Le Mooc est un pré-requis) et de la formation courte «Data Science : Introduction au Machine Learning».
Les collègues: F.Chabaud, O.Heen, M.Le Roux, T.Guillard, B.Dano, J.C.Ribière, L.Plagne, P.Bouvet, J.D.Meunier, E.Lettermann, C.Cottais, N.Dely, D.Cabu, E.Lacroix, F.Albert, J.F.Lagardère et tous les autres
En général, ces excellentes personnes ont un profil LinkedIN, et certaines sont en recherche d’emploi au moment où j’écris…
L’association azvent qui regroupe la plupart des salariés qui ont du quitter Technicolor, avec l’objectif de s’entraider.
Blog tenu avec OVH pour l’hébergement en .bzh, wordpress pour l’outil, Century Gothic pour la fonte, Bento pour le thème.
C’est un des top 3 documents de référence, qui défini la plupart des métiers qui sont centrés la cybersécurité. Il est absolument à lire pour toute personne désirant se reconvertir en cybersécurité.
Le panorama est une mine d’information, car il décrit de façon plutôt précise les rôles, action, prérequis des métiers. Il permet donc de s’orienter, et de choisir un ou plusieurs métiers potentiel. Il prouve, au passage, qu’il est illusoire de tenter d’englober l’intégralité de tous les métiers.
J’essaie de le résumer dans l’image ci-dessous (à télécharger en .png, trop grosse pour être affichée.) L’idée est de figurer les métiers, les compétences, et une tentative de modélisation de 1 à 5 du « niveau » demandé pour chaque compétence. Ce niveau n’est pas vraiment explicite dans le panorama, donc c’est un feeling personnel et subjectif à la lecture du doc. Le lecteur peut s’en servir pour avoir une 1ere idée de l’étendue des compétences, et commencer à réfléchir de façon synthétique.
J’essaie aussi d’imaginer, de façon encore plus subjective:
Dans colonne ‘C’, quels postes sont les plus susceptibles de convenir à un ingénieur chevronné en développement logiciel qui veut se reconvertir en cybersécurité.
Dans la 1ere ligne, en gras, un socle commun de culture généraliste en cybersécurité
Compétences management
Compréhension de l’intérêt général
Leadership
Influence transversale
Management d’équipe
Définition de stratégie et sa mise en place
Compétences techniques
Compréhension des enjeux
Bonne connaissance
Maitrise
Capacité à conduire l’action
Capacité à définir l’action
Ce qui, à mon sens de débutant, manque dans le panorama: Les métiers connexes au développement, à la vente de solutions de sécurité. Il faut des développeurs logiciel proche du matériel, d’interface home-machine, full-stack, des scrum master, des business-developers, des commerciaux, des DRH… Qui auront besoin, eux aussi d’une culture générale en cybersécurité pour comprendre leur collègues, leur métier, leur produit.
Ici, on essaie de répondre à la question: « Qui puis-je devenir dans un monde professionnel cybersécurité? »
Après une reconversion
C’est à dire un changement complet d’activité, typiquement après une formation lourde de 12 mois, par exemple un Mastère.
Louarn Cyber
Le centre de son activité est la cyber sécurité elle-même, que ce soit en préventif: éviter les problèmes, ou en réactif: les corriger.
Gestion de la sécurité (puis pilotage de projets)
Conception de maintien d’un SI sécurisé
Gestion des incidents et des crises
Définition et développement d’outils cybersec
Cela demande une grande compétence en cyber sécurité, et permettra (au cas où ce soit un objectif) d’évoluer ensuite vers des postes de management, de direction… Louarn peut aussi développer des outils de cybersécurité, tout en participant à l’analyse sécurité sous-jacente. Il a résolument fait de la cybersécurité le nouveau centre de son activité, ce qui a peu de relation avec ses rôles précédents.
Sa formation cybersécurité initiale requiers une aptitude au développement logiciel. Ensuite, tout dépend de la spécialisation, par exemple en Architecture des Systèmes d’Information
Muriel Consult
Consultante en cybersécurité, ou business developper, le centre de son activité est la relation avec le client qui ne dispose pas des compétences cyber. Donc son focus est la compréhension de la problématique du client, la recherche de la bonne solution dans le catalogue de son entreprise, basée sur une solide compétence.
Comme Briac, Muriel a résolument fait de la cybersécurité le nouveau centre de son activité, qui a peu de rapports avec la vidéo numérique.
Conseils, services
Business développement
Muriel prévoit de commencer sa nouvelle carrière en tant que junior, et pense rapidement acquérir de l’expérience pour passer senior. Son expérience de la vidéo numérique pourrait l’aider à atteindre les premiers clients dans cette industrie.
Muriel a sans doute suivi une spécialisation en cybersécurité, avec une option « Architecture des Systèmes d’Information »
Après une adaptation
C’est à dire l’ajout d’une compétence Cybersécurité, pour continuer le même métier, dans une industrie différente.
Gaël Softeux
Le centre de l’activité de Gaël est le développement logiciel, éventuellement appliqué à des outils de cybersécurité dont la spécification est établie par des experts.
Tous les métiers du développement sont pris en compte: développeur, testeur, intégrateur, devops, testeur, créateur d’entreprise qui a besoin de développer…
Ce sont les compétences « logiciel » de Gaël qui vont lui faire trouver un nouvel emploi, la composante cybersécurité est l’argument supplémentaire qui emporte l’adhésion.
La cybersécurité est un nouvel atout, utile dans toutes les entreprises, et pas uniquement celles qui sont spécialisées en cybersécurité.
Gaël peut aussi développer un outil ou un service de cybersecurité, mais, initialement, il n’en maîtrise pas l’analyse sécurité et donc ne participera pas aux spécifications fonctionnelles de la partie sécuritaire. Par contre, il saura spécifier les autres parties (temps réel, interface utilisateur…) et analyser l’effort de développement. La compétence métier (par exemple, comment développer un Firewall) viendra plus tard.
Gaël a sans doute suivit des formations du type:
Les concepts et techniques de la cybersécurité
Développement logiciel sécurisé
Sécurité des OS, des applications, du réseau.
Son expérience précédente lui a peut-être déjà fourni une culture sécurité sur certains domaines (PKI, boot sécurisé, Kubernetes…) valorisables en VAE.
Bleuen Manager
Manager de projet, d’équipe de développement ou de produit logiciel, Bleuen veut rajouter une compétence cybersécurité pour être plus performante dans son rôle, car tous les développements critiques ont besoin de prendre en compte ce type d’enjeux.
Elle envisage son activité future dans une entreprise qui n’est pas spécialisée en cybersécurité, mais qui est fortement sensibilisée, et pour qui la formation en cybersécurité de Bleuen sera un avantage clef.
Bleuen pourrait aussi trouver un emploi dans une entreprise qui développe des produits logiciels en cybersécurité, et qui prendra le temps de la faire monter en compétence après sa formation d’adaptation, tout en lui confiant un premier projet/produit/équipe avec peu de contraintes sécuritaires.
Fañch Secure
Fañch a ne va pas changer d’activité (il restera product, bizdev, bid manager…) c’est-à-dire face au clients. mais, il vise, lui, directement une entreprise qui commercialise des produits ou des services de cybersécurité.
Bien sûr, pour être efficace et légitime dans cette nouvelle activité, il a besoin d’être compétent dans le domaine. On ne lui demande pas d’être un expert, ni de définir les produits. Mais il doit les comprendre en profondeur, pour que sa voix puisse porter.
Il doit pouvoir devenir à terme un porteur puis un créateur de vision, donc être à même d’augmenter sa compétence technique avec le temps, sans pour autant, bien sûr, arriver au niveau d’un expert.
Fañch suppose qu’une spécialisation en cybersécurité (p.ex 6 mois) est suffisante pour postuler dans une entreprise cyber, et qu’il n’est pas nécessaire de passer sur un profil type ‘Muriel’
Après une sensibilisation à la cybersécurité
Aëla Périph
Son activité ne concerne pas la technologie, mais comme tout utilisateur de système informatique/Telecom, une compréhension des enjeux lui permettra d’être plus pertinente et efficace, et de conseiller ses proches.
Aëla peut vouloir devenir « Référent Cybersécurité »
Aëla a commencé par suivre le MOOC ANSSI, et a trouvé que ce domaine lui plaît et qu’elle peut y être utile, elle a donc enchaîné avec une formation de quelques jours en « référent », et a obtenu la certification correspondante!
D’autres formations courtes autour de la Cyber (à définir, relatives par exemple au Système de management de la sécurité de l’information, à l’audit de sécurité organisationnelle) peuvent venir renforcer cette première expérience pour continuer à progresser vers une compétence cyber plus complète.
Tout au long de ce blog, nous allons utiliser des personnes fictives, habituellement désignés sous le terme de « persona » dans le langage marketing. Enora, Briac et les autres méritent que le lecteur se mette à leur place, imagine leurs émotions, leurs craintes, leurs aspirations, leurs contradictions.
Les vrais personnalités sont évidement plus complexe. J’ai été tour à tour Briac, Rozenn, Enora, Yann puis Orso. Que reste-t-il de ces expériences, entre illusions et réalité?
Yann Boss
Yann est à l’origine un ingénieur. Il a été amené à organiser le travail d’une équipe, puis prendre des responsabilités en étant redevable des résultats.
Yann est devenu le manager d’un domaine TECHNIQUE et MÉTIER, il encadre directement équipe, dont il est le responsable hiérarchique. il définit ses moyens (méthodologie, outils), Il est responsable de la compétence et des performances des membres de son équipe pour les différents projets auxquels ils sont affectés.
Il sait gérer des situations de crise, de conflit de ressources. Yann aime avoir la responsabilité d’une équipe et l’amener à l’excellence. Faire que l’équipe soit pertinente techniquement, développer on expertise. Être en charge du recrutement. Organiser le travail, manager, coacher.
Il espère trouver dans la cybersécurité un nouvel univers très carré où son sens de l’organisation pourra s’épanouir, de nouvelles équipes à diriger, en apportant son expérience d’un domaine différent.
Orso Business
Orso commencé par une carrière typique d’ingénieur ou de commercial. Puis, il a compris que les clients sont primordiaux, et que les difficultés à résoudre dans ce domaine sont nombreuses et qu’il peut créer de la valeur, en particulier par sa compréhension des enjeux technologiques
Orso aime aller voir les clients, les convaincre que nous sommes les meilleurs, ramener des nouveaux projets. Faire le relai entre client et R&D, entre ce que l’on veut et ce que l’on peut faire. Il sait analyser les besoins des clients et leur faire des recommandations, trouver des nouveaux axes de développement.
Par son passé d’architecte logiciel et de développeur, il garde une appétence très forte pour ces activités, une grande proximité avec ses anciens pairs, même si il a un peu perdu en pertinence et convient, malheureusement, qu’il doit laisser la main à ceux qui sont investis à 100% sur ces missions.
Il envisage la cybersécurité pour trouver un nouveau type de business, dynamique, où son entreprise peut développer une vraie valeur ajoutée. Comme il a une fibre très technique, il espère explorer des nouveaux domaines à comprendre et des nouveaux enjeux technologiques.
Enora Projet
Enora s’est investi dans un domaine technique et managé directement une équipe, puis s’est spécialisée dans la gestion de projets et de programmes. Elle est résolument tournée vers le client et l’atteinte des objectifs. Elle travaille en mode projet, en étant responsable des performances d’un groupe de personne, pour son projet.
Enora préfère le pilotage par objectif, l’analyse des risques, du rapport coût/qualité/délais, le reporting. Enora doit s’assurer de former la bonne équipe avec les ressources disponibles, quelle ira demander à Yann et les pairs de celui-ci.
Enora veut trouver un nouveau terrain de jeu, avec des nouveau problèmes, des nouvelles solutions, des nouveaux clients, des nouveaux projets, des nouveaux objectifs et challenges.
Briac Développeur
Développeur soft expérimenté, Briac est passionné par la technologie et la réalisation, il a développé du soft dans plusieurs domaines d’activité, est capable de passer de l’un à l’autre facilement.
Briac a creusé à fond un ou deux sujet (temps réel, IHM, système, outils…) et est capable d’en creuser des nouveaux.
Briac aime être performant dans son travail, développer vite et bien en obtenant une super qualité. Il adore apprendre de nouveaux outils, de nouvelles techniques. Il est fortement sensibilisé aux problématiques de qualité du logiciel, aux méthodes agiles, au coût de maintenance du logiciel.
Briac veut trouver des nouveaux défis et un nouveau domaine d’activité, tout en restant dans le développement logiciel, avec de nouvelles contraintes et de nouveaux objectifs. Il deviendra rapidement un développeur/intégrateur reconnu et apporter son expérience. Il envisage d’étudier profondément la cryptographie et ses bases mathématiques pour développer une nouvelle expertise.
Dans un futur incertain, il pourrait envisager de changer d’activité pour se rapprocher d’Enora, d’Orso…
Maëlle DevOps
Maëlle est responsable de la mise en place d’outils pour les équipes de développement en vue de fiabiliser et d’optimiser les processus de production logicielle via l’automatisation et l’application de procédures opérationnelles.
Elle est responsable du cycle de développement/intégration/production et validation en continu: C’est sur elle que repose la qualité du service.
Gaëlle aime fournir un service impeccable aux équipes ou aux clients qu’elle supporte. Idéalement son action est transparente. Pourtant, si les outils dont elle est responsable n’étaient pas fonctionnels, rien ne serait possible, et personne ne pourrait travailler.
Elle est très fortement sensibilisé aux problèmes de qualité, de sécurité, aux contraintes opérationnelles, aux problématiques de maintenance des outils, des systèmes d’exploitation, d’exécution, de bande passante réseau, de droits d’accès aux ressources, d’architecture de systèmes d’outils…
La flexibilité des infrastructures cloud l’ont conduit à utiliser docker kubernetes, et les autre services virtualisés. La sécurité opérationnelle est une extension naturelle de son activité, et ses compétences actuelles sont certainement une grande force pour comprendre les enjeux, trouver des solutions.
Erwan Tester
Erwan est responsable des stratégies de validation, de leur définition, et de leur application, en vue de garantir la satisfaction client sur les bases des spécifications produits et des exigences générale du type de produit.
Il intervient tout au long du développement pour vérifier le fonctionnement du système dans sa globalité. Il utilise pour cela des outils de test automatique et développe des scenario, ce qui demande une bonne compréhension de toutes les façons d’utiliser le produits (les bonnes, et les erreurs) et des caractéristiques techniques générales du type de produit.
Erwan a un focus clair: Garantir le bon fonctionnement du produit et des services, comprendre le comportement d’un utilisateur naïf ou malintentionné. Il sait automatiser les outils pour garantir une couverture de test adaptée. Il aime imaginer et développer les outils nécessaires pour améliorer la productivité de l’équipe lorsque la complexité du produit augmente.
Le test de la sécurité d’un système semble être une extension naturelle de son activité actuelle, avec de nombreux challenges supplémentaires et une plus grande complexité des attaques possibles. Sa façon de penser est déjà proche de l’optique « cybersécurité », il espère s’y épanouir.
Rozenn Archi
Architecte reconnue, Rozenn sait analyser les logiciels complets, et répartir les activités en différents modules cohérents, et surtout les intégrer ensemble pour obtenir le produit désiré.
Elle contribue à la définition des besoins technique internes (roadmap), elle est à l’écoute des besoins du client et développe une vision système. Elle propose les solutions technique les plus adaptées, et explique comment arriver aux résultats.
Rozenn préfère rester dans le vaste domaine technique où elle excelle, sans supporter les contraintes du management ou du business. Elle aime bien aller voir le client pour lui expliquer nos/les solutions. Elle adore les nouveaux challenges et étudier systèmes complexes, elle détesterait ne pas atteindre l’objectif, mais ça n’est jamais arrivé.
Son intérêt pour la cybersécurité: Appréhender un nouveau domaine d’activité où une vision globale du système est impérative, de nouvelles façon d’analyser un problème complexe. Elle espère apporter son expérience, et la transformer dans un nouveau moule.
Quelques compétences
On essaie de regrouper les compétences des personnes sur 5 axes. (ça vaut ce que ça vaut), notée aussi de 1 à 5.
Expertise: A développé une compétence technique très poussée dans son domaine d’activité. 1=Dispose de notions de bases qui permettent de suivre une discussion 5=Expert référent sur un sujet très pointu: (dans la profondeur du sujet: il l’a creusé complètement)
Équipe: Animateur, responsable et gestionnaire d’une équipe technique dans un domaine d’activité et des ressources associées (par opposition à gestion de projet), 1=Comprend la gestion d’équipe et aide à en tenir les objectifs 5=Manager confirmé d’une équipe composée de sous équipes, en totale autonomie. Embauche, gère les crises…
Projet: Responsable d’un projet, de ses livraisons, sa qualité, son coût, son délai vis-à-vis d’un client et du management. Doit, bien sûr, comprendre ce qui y est réalisé. 1=Comprend les objectifs de son projet et contribue à les réaliser. 5=Manager confirmé d’un projet ou d’un groupe de projet, en assume la responsabilité totale.
Architecture: Compréhension globale d’un sujet vaste (un domaine, un projet), capacité à l’analyser, le découper en sous-parties, définir une solution technique évolutive et maintenable. 1=Sait situer son travail dans le schéma global 5=Référent sur un vaste domaine dont il comprend toutes les différentes facettes, et sait proposer une solution globale.
Clients: L’activité est tournée vers la satisfaction du client, en commençant par la prise de contact, l’analyse des besoins, la recherche des solutions, pour finir par la vente. 1=Comprend que le client ramène un budget et paie donc indirectement son salaire, mais a peu de contacts avec lui 5=Commercial capable de décrocher des nouveaux clients avec des nouveaux projets.
Voilà un des premiers choix structurants pour un senior qui bascule vers la cybersécurité: Faut-il viser une reconversion, ou une adaptation?
Ce choix va impacter d’abord le type de formation à réaliser, leur durée mais aussi le type de postes possible, donc de carrière, le type d’entreprise susceptible de recruter…
Reconversion vs adaptation
Posons le problème de façon caricaturale en présentant les deux extrêmes. La réalité est bien entendu plus complexe, avec une variation continue entre les bornes.
Étudions Briac, 48 ans, ingénieur avec une forte appétence technique, développeur logiciel confirmé dans le monde vidéo temps-réel. Curieux, il comprend les bases de la compression vidéo, a des notions de cryptographie, de boot sécurisé. Bref, il est adaptable. (Voir Les personas initiaux pour une description plus complète Briac)
La reconversion:
Briac veut devenir RSSI. Il effectue une formation longue, par exemple le mastère de Centrale-Supelec ou celui de l’UTT, de façon à changer radicalement de domaine d’activité et être performant immédiatement.
Son nouveau job a très peu de relation avec son ancien rôle: Il ne développera plus, pourra même oublier Java et C++. Son nouveau centre d’intérêt est la cybersécurité.
L’adaptation
Briac est un bon développeur, c’est sa force et sa valeur sur le marché. Son expérience lui permet de comprendre des nouveaux domaines d’application. Il effectue une formation courte en cybersécurité, car il veut trouver un emploi dans ce domaine d’activité, par exemple chez un éditeur de solutions, et être compétent dans son nouveau domaine, comprendre les enjeux, les technologies sous-jacentes.
Dans un premier temps, il va continuer à développer de façon efficace, peut-être un firewall, un outil de détection d’intrusion. Cette activité lui permettra de comprendre en profondeur l’activité de son nouvel employeur, et sans doute de se spécialiser encore plus, par exemple en devenant pentesteur ou reverseengineer.
Son centre de compétence reste le développement logiciel: Il est simplement appliqué à un nouvel univers, qui a ses propres règles et logiques.
La sensibilisation
Briac veut continuer à développer, et n’envisage pas nécessairement de travailler dans le domaine de la cybersécurité, mais il sait qu’une compétence cyber lui permettra de développer le logiciel de façon plus sûre, rigoureuse, et de mettre au point des outils/sites web/services… qui seront plus stables et résistants aux attaques.
Donc Briac veut comprendre les risques, les enjeux, les principales attaques, il se formera aux techniques de développement sécurisé, creusera peut-être la cryptographie pour saisir en profondeur les algos d’encryption et de hashage.
L’aptitude au développement logiciel
C’est un des points clef de la prise de décision. Bien entendu, comme toute activité, la cybersécurité ne se réduit pas au développement logiciel. Mais le développement est très connexe à la cybersécurité: Une grande partie des attaques, et des réponses possibles sont basées sur des outils informatiques.
De nombreuses formations ont donc un pré-requis: la capacité à développer de cours programmes, par exemple en python. Une réticence rédhibitoire au développement va donc fermer un certain nombre d’opportunités.
La matrice
Une première intuition, à confirmer, des rôles les plus classiques et des types de formation dans les différents cas.
Les certifications professionnelles sont particulièrement importantes en cybersécurité, de nombreux postes, en pratique, sont réservés aux personnes certifiées. Mais les certifications peuvent, souvent, être passées au sein même de l’entreprise.
Ces certifications sont importantes pour qui veut se reconvertir complètement en cybersécurité.
PASSI – Prestataire d’Audit de Sécurité des Systèmes d’Information
CISSP: Certificat de Professionnel en Sécurité des Systèmes d’Information
Une certification très reconnue, mais pour des professionnels chevronnés, donc bien après leur reconversion en cybersécurité.
Peut être délivré par (ISC)², sans doute d’autres organismes aussi (à creuser pour ceux que ça intéresse) Les candidats doivent posséder un minimum de cinq ans d’expérience professionnelle rémunérée dans au moins deux des huit domaines du tronc commun de connaissances (CBOK) du CISSP, réussir l’examen rigoureux de six heures comportant 250 questions (699 $) et soumettre les attestations requises.
Et les « concentrations » du certificat (en clair, des spécialisations):
Professionnel de l’Architecture de Sécurité des Systèmes d’Information (CISSP-ISSAP)
Ingénieur en Sécurité des Systèmes d’Information (CISSP-ISSEP)
Professionnel de la Gestion de la Sécurité des Systèmes d’Information (CISSP-ISSMP)
ESSI: Titre « expert en sécurité des systèmes d’information »
Une certification de niveau I (bac +5) enregistrée au répertoire national des certifications professionnelles (RNCP). Il correspond à un référentiel métier.
Les formations sont bien sur payantes (cher), et la certification l’est aussi. Le stagiaire n’est, bien sûr, pas certain d’obtenir la certification à l’issue de l’examen.
Catalogue Deloitte de formations en Cyber-Sécurité
Deloitte est un des leaders en formation cybersécurité
Mon conseil: télécharger le catalogue de Deloitte disponible sur leur page et le lire attentivement.
Catalogue IB-formation
[a compléter]
Les organismes de certification
ISACA
Certificat d’Auditeur des Systèmes d’Information (CISA) Certificat de Directeur de la Sécurité de l’Information (CISM) Certificat de Contrôleur de Risques et des Systèmes d’Information (CRISC).
A compléter. Le catalogues de Deloitte donne une première liste de certifications
Les formations initiales, donc plus longues, labellisées SecNumEdu.
Contient des formation de type variés:
Les formations universitaires délivrant un grade de Licence ou Master.
Les formations d’ingénieur dont le diplôme est reconnu par la Commission des Titres d’Ingénieurs (CTI).
Les Mastères spécialisés reconnus par la Conférence des Grandes Écoles (CGE).
Les certifications de niveau I et II inscrites au Répertoire national des certifications professionnelles (RNCP)
comme tout mastère, 6 mois de cours + 6 mois de stage
Avis personnel:
Une formation très reconnue, qui forme des généralistes autonomes, aptes à comprendre la plupart des domaines techniques de la cybersécurité et à devenir des experts.
Fourni une crédibilité certaine pour qui veut se reconvertirpour devenir un professionnel de la cybersécurité et pas seulement en développement logiciel
Comme tout Mastère, cette formation permet d’atteindre le niveau « ingénieur » (qui plus est, de CentraleSupelec! ) pour ceux qui n’auraient pas ce titre. Pour ceux qui sont ingénieurs depuis longtemps, certains modules peuvent être redondant avec l’expérience acquise, mais remettre à plat ses connaissances est toujours positif, ceci ne doit pas être un frein.
C’est une formation très complète, que j’ai envisagé longtemps avant de passer sur le CES de l’IMT. Un de ses immenses avantages est la possibilité de la suivre à distance (avec une bonne connectivité IP et un PC costaud) et à son rythme. En particulier, lorsque l’on envisage une activité en free-lance, il est utile de mener de front la formation et la mise en place de l’activité.
Les CES
Un CES (Certificat d’Études Spécialisées) est un diplôme (formation certifiante), reconnu par l’État (inscrit au RNCP), en général de niveau 7 (Bac+5), plus court qu’un Mastère, sans dote moins renommé, mais avec une reconnaissance certaine par l’industrie.
Prix 2021: 11 100€ – 28 jours de cours, sur 6 mois.
28 jours de cours intensif, plus travail perso, plus « TPs/Projets » individuels ou en groupe, (qui peuvent être éventuellement réalisés à distance en cas de COVID), pour obtenir 6 mois de formation.
Le projet individuel d’application se concrétise par la rédaction d’un mémoire professionnel et une soutenance devant un jury.
Cours dispensé à Paris dans les locaux de Telecom Paris, mais le Rennais motivé se déplacera!
C’est la formation que j’ai choisi de suivre, pour son axe « Architecture » qui me convient tout particulièrement, la grande efficacité de son organisation: Elle va à l’essentiel, je n’ai pas besoin d’une formation d’ingénieur généraliste que j’ai déjà. Pour l’excellence de l’IMT, de l’enseignement et des enseignants! Je pourrais bientôt vous en dire plus.
Les écoles d’ingénieur hors Rennes
ENSABS
Ecole de formation au numérique, mais aussi Business School (ENSABS)
L’EGE est parfois considérée comme une émanation de l’armée Française, voir à ce sujet https://fr.wikipedia.org/wiki/%C3%89cole_de_guerre_%C3%A9conomique, ce qui, dans un contexte de cybersécurité, est plutôt un avantage. Sa notoriété est certaine, auprès d’acteurs influents du monde cybersécurité.
Le cursus est très orienté normes et lois (RGPD, ISO27k), gouvernance, gestion de crise, SoC, Plan de Reprise d’Activité, évaluation des risques, sureté des entreprises et des collaborateurs, y compris à l’international… Donc, au total, sur les aspects organisationnels et managériaux, visiblement destinés aux manager des grandes entreprises pour qui la cybersécurité est cruciale. Ou DGA-MI etc. A contrario, il est moins technique que les formations issues d’écoles d’ingénieur. Un collègue va participer à la prochaine session, nous vous tiendrons au courant!
Il est préférable d’être formé par un organisme approuvé, qui délivre un « badge », une certification, un diplôme. Mais le temps, le financement, la sélection à l’entrée peuvent être des obstacles.
Il est aussi très motivant de s’auto-former, en totale autonomie! Et certains Mooc délivrent des attestations, voire des diplômes reconnus par l’ANSSI.
EBIOS Risk manager. La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. Elle mériterait un article à part entière. Le site de référence de l’ANSSI https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/ contient de nombreuses ressources qui permettent de s’autoformer, mes une formation certifiante est préférable.
Les règles de développement « sécurisé » en langage C de l’ANSSI. La page de référence contient aussi de nombreuses références qui permettent un bon niveau d’autoformation, théorique hélas: rien ne vaut un bon TP. https://www.ssi.gouv.fr/guide/regles-de-programmation-pour-le-developpement-securise-de-logiciels-en-langage-c/ Considérons que « C » est fondamentalement un assembleur « abstrait » qui masque les principales caractéristiques du processeur sous-jacent, mais guère plus. « C » est efficace et génère un code optimal, compact, mais en laissant le poids de la programmation… au programmeur. Une approche plus sécurisante serait de définir un outil qui permet de programmer dans un langage le plus proche possible de « C », avec le même niveau d’abstraction, qui automatise au maximum les tâches fastidieuses, mais génère du « C » lisible, et bien sûr GDB doit fonctionner dans les 2 modes. J’ai dans le passé utilisé cette méthode avec succès pour des architectures parallèles, serait-ce possible en code sécurisé?
La bible de la crypto par {Boneh, Shoup} @ Standford.edu. http://toc.cryptobook.us/ C’est ardu, vous êtes prévenus. Plus que vous ne le croyez. Mais vous n’êtes pas obligés d’aller au bout. En lire (et comprendre) la moitié est déjà pas mal.
Une tentative de parcours formation, tout en Mooc
Pour OpenClassRooms, la plupart des Moocs sont repris dans le cursus Mastere RSSI, voir les-formations-lourdes
L’objectif de ce cours est de comprendre les enjeux de sécurité dans les réseaux informatiques, et plus précisément d’avoir une bonne connaissance des menaces et des mécanismes de protection, de comprendre comment ces mécanismes s’inscrivent dans une architecture de réseaux et d’acquérir un savoir faire quant à l’utilisation des outils usuels de filtrage et VPN sous Linux.
L’originalité de ce MOOC tient dans le champ thématique restreint à la sécurité des réseaux, un niveau d’expertise élevé pour un apprentissage à distance, et l’offre conséquente de TPs proposés (environnement Docker sous GNU/Linux au sein d’une machine virtuelle).
La 1ère session du MOOC est terminée, on ne peut plus y accéder en ligne.
Sekoia est, depuis 2008, un centre de formation dédié à la cyber, avec aussi, et c’est fort utile, des formations connexes par exemple en blockChain et en I.A. Déjà (à mi mars 2021) 1520 personnes formées en cyber, en intra et inter entreprise! Voir leur catalogue, très complet, sur https://formation.sekoia.fr/
Les Mooc de LinkedIN
Globalement un niveau beaucoup plus faible que OpenClassRooms, avec des durées bien plus courtes (heures vs jours), il s’agit plutôt d’introductions rapides sur le sujet.
Le cours « Les fondements de la sécurité informatique et de la cybersécurité »
