Projet Professionnel : RSSI ?

[levur]

Bonjour,

Je sais que tous ne se sentirons pas forcement concerné mais j'en pense qu'il y a quelque actif sur ce forum ou tout du moins des bonne idées.

Je m’explique :
Je suie en école d'ingé et je veux devenir inge réseaux spécialisé dans la sécurité des SI ( audit / conseil / pré-prod / ...) et j'ai encore du chemin a faire niveau compétence mais je me demandais quel sont justement les métiers qui permettent d'en arriver là ?
et quel compétence doive être mis en avant pendant ma formation en école genre le ASM, C, les diff protocoles, ... What else ?

[gruik]

une fois n'est pas coutume je me fends d'un post à rallonge,

alors bon, je ne travaille pas dans la sécurité mais de ce que j'ai pu constater et y compris des nombreux retours d'expérience de gars qui en ont fait leur métier t'as on va dire grosso-modo 3 grandes catégories de "monsieur sécu"

- l'auditeur sécu/le "pentester", des attaques il en fait régulièrement, toujours dans un cadre très délimité surtout au niveau timing, le propos n'est pas d'être exhaustif mais de montrer au client qu'il a bien fait de faire appel aux services de ta boite, ses principales compétences... les injections SQL et le social engineering sur la secrétaire ? son temps il le dispatch a peu près à part égale entre l'intrusion et le rapport à fournir au client, souvent ça va être couplé avec donner des formations "hacking" ou de la R&D mais rien de réellement transcendant à ce niveau j'ai l'impression.
techniquement pas besoin d'être un cador, juste besoin de savoir faire des intrusions en mode vitevite, ça recrute à brain -2 dans certaines boites honnêtement, évidement il y a toujours des exceptions...

- le chercheur en sécurité, lui à priori fait des trucs bien plus intéressants à peu près tout le temps, techniquement c'est une brutasse, en termes de diplômes souvent aussi, c'est à mon avis le seul boulot où l'ASM peut encore être réellement utile, ce sont les gars qui trouvent les vulnérabilités, les exploitent, donnent des conférences etc. mais pas seulement les {Free,SFR,Orange,etc.}box sont souvent design par ces gars là également, tout comme certains outils utilisés en interne par l'entreprise
c'est un boulot à mon avis super intéressant, et très prenant, la plupart de ceux que je connais sont célib et sont des connards invétérés ont un égo à la hauteur de leurs compétences...

- l'"ingénieur sécurité", ou les métiers de la "gouvernance des SI", c'est celui qui oblige les admins à bosser sur du windows, les développeurs à utiliser des outils qu'ils n'ont pas codé eux-même comme putty, qui sont responsables en cas d'incident, disent à tout le monde comment faire et mettent au final assez rarement les doigts dans la technique, globalement ils font chier tout le SI et sont souvent perçus comme les empêcheurs de rooter en rond, pour en avoir côtoyé de près et de part leur position centrale dans le SI, leur situation dans l'entreprise est souvent assez complexe, leur meilleur ami étant les normes ISO 2700x
niveau diplômes j'y ai vu aussi bien du docteur en sécurité (RSSI ou futur RSSI) que de l'ingénieur ancien réseaux ou système ou autre

dans tous les cas je pense que la voie royale c'est au minimum le diplôme d'ingénieur, spécialisé sécu c'est encore mieux (alors je dis ça mais avec un master sécu ça le fait surement tout autant hein..), un doctorat c'est le top
reste que tout n'est pas tracé non plus et heureusement, la très large majorité des opportunités dans ta carrière viendra potentiellement d'offres internes à l'entreprise, c'est à dire d'évolution ou de migration de poste, tout est affaire de savoir mettre en avant ses compétences, lesquelles au delà des considérations purement "hackzor-iennes" doivent surtout être pertinentes, efficaces, et dans cette optique on privilégiera les techniques pour défendre un système plutôt que pour l'attaquer, cqfd

[levur]

Merci gruik pour ce " post à rallonge" a te lire on dirais que c'est un peu tous des c** ^^
mais je vois ce que tu veux dire.

Tu parle de master, c'est lequel (je connais que celui de Bordeaux qui est assez calé dans le domaine je crois) ?

Après tu parle surtout de SI ou de SSII mais je vise plutôt des boite comme Thalès ou EADS avec comme genre de tache la mise en place d'un outil constituant une surcouche de sécurité au SI du client pas de régie ou de prestataire.

Actuellement je cherche un boite pour faire mon cursus d'ingé en alternance et la loi m'interdit de faire de la régie ou d'être prestataire.

[gruik]

a te lire on dirais que c'est un peu tous des c** ^^

c'est tout à fait ça disons qu'au delà de la blague les gars qui font de la sécurité se prennent en général tous pour des hackers et sont pas forcément si compétents que ça, pire, il y a cette idée que si on sait faire de la sécu, on doit bien savoir faire de l'admin système ou du dev également, y'a évidement rien de plus faux et présomptueux, mais c'est très courrant

Tu parle de master, c'est lequel (je connais que celui de Bordeaux qui est assez calé dans le domaine je crois) ?

aucune idée ça fait presque 15 ans que j'ai quitté les études et elles n'étaient pas très longues

Après tu parle surtout de SI ou de SSII mais je vise plutôt des boite comme Thalès ou EADS avec comme genre de tache la mise en place d'un outil constituant une surcouche de sécurité au SI du client pas de régie ou de prestataire.

Actuellement je cherche un boite pour faire mon cursus d'ingé en alternance et la loi m'interdit de faire de la régie ou d'être prestataire.

oui... j'ai pas parlé de SSII, uniquement de SI (Système d'Information)
pour ce qui est d'intégrer Thalès ou EADS c'est simple : faut être parmis les meilleurs, et avoir des contacts "dans le milieu" est évidement un plus

[Jek0]

Ola,

Pour parler de mon expérience perso, y'a aussi un délire d'analyste sécu, ça se rapproche de l'ingé sécu vu que lui aussi fait chier tout le monde.
Ce que j'entends par analyste sécu, c'est le mec qu'est en charge de faire des analyse de risques en suivant une méthode Ebios (ou similaire) pour les nouveau projet d'une boite, grosso modo c'est une évaluation des risques (gravité/cout/temps...etc...), ça se passe bien sur sur de l'avant projet, et pour le peu que j'en ai fait c'est assez intéressant, surtout parceque chaque proj' est différent et que du coup la réflexion est assez variée suivant les proj'.
Après comme j'disais ça fait chier les gens parceque généralement, les techniciens savent pas ce que c'est que la méthode Ebios, ont la flemme de faire des analyses de risques sur le projet, ou carrément osef de la sécu c'est pour les kéké/ça coute trop d'argent.

Anyway, j'rajouterais que pour être RSSI faut que tu soit techniquement bon, mais aussi humainement optimisé, parceque la sécu dans les entreprise c'est pas toujours ça et du coup faut pas se laisser marcher sur les pieds, mais pas non plus crier au loup tout le temps

[JL_N_]

Je me permets d'intervenir rapidement sur le sujet.

Tout d'abord, pas besoin d'être dans les meilleurs pour intégrer THALES ou EADS.

D'autre part, il y d'autres boites niveau sécurité des SI qui sont toutes aussi bien. Par exemple l'ANSSI, mindef ( il recrute aux dernières nouvelles). Dans le privé ya QUARKSLAB,HSC,LEXSI,XMCO et pi les SSII comme SOGETI,STERIA...

En ce qui concerne la formation, j'ai entendu beaucoup de bien des gars qui sortaient de l'EPITA (notamment si tu es dans le LSE). Mais tout autre école d'ingénieur peut faire l'affaire à partir du moment ou tu as des projet perso compatible. Le tout est de sortir en france avec un bac +5 (pour passer le stade RH lorsque tu enverras ton CV et pour les sous)?

Sinon il y a les Mastères spécialisé ou BADGE proposé par certaines écoles.

Quel que soit ton choix, il faut s'en donner les moyens et avoir la motivation. Techniquement parlant, fait des challenges. Fait de la veille en vuln. Regarde les exploits sur les vuln public et comprend comment sa marche.

[levur]

Ok merci tout le monde.

Je rajoute juste que pour Thales, EADS Anssi et Co il m'ont envoyer chier pour mon alternance ( trop long - trop coûteux). Je me tourne plus vers les banque maintenant
Ensuite comme le dit JL_N_, quelque soit l’école c'est l’expérience pro et la motivation qui joue au finale (je ne parle pas de 1er emploi).
Pour ce qui est de la veille info, c'est pas toujours évident de te faire une liste de source d'info quand tu ne connais pas trop les sources fiables et compétente, même si j'en connais quelque unes ( dont un certain forum ^^)
Enfin, merci d'avoir partager vos expériences.

[Belut]

Salut,

Attention je vais raconter ma vie.

Le RSSI est pour moi la finalite de mon parcours professionnel, le poste utlime que je vise. Je parle du RSSI d'une grande boite.

J'ai deja fait un an d'assistant RSSI en banque en apprentissage et voila ce que je peux en dire: La technique est importante car il faut pouvoir comprendre son fonctionnement et identifier rapidement ses faiblesses. Par contre en tant que RSSI tu ne feras pas de configuration seveur etc... La majorite du temps tu ponds des politiques de securite qui il est vrai emmerdent tout le monde. J'ai par exemple bloque Facebook et gmail pour des raisons de fuites d'information. De quoi te faire des amis!
Il est vrai que ISO 270xx sont les amis du RSSI ainsi que COBIT.
Il y a aussi une grosse partie legale dans le tas. En banque par exemple il y a des obligations a respecter, en matiere de continuite d'activite d'archive des operations sur 6 ans et du coup des lois a connaitre.
La gestion projet est souvent la faiblesse des RSSI "techniques".

Apres cela depend de l'entreprise, parfois le RSSI est au sein de la direction informatique mais le RSSI tend a se retrouver au service conformite.

Il est difficile de devenir RSSI quand on est jeune diplome parce que ce metier demande de bien conaitre le fonctionnement de l'entreprise (metier et SI). Mais etant donne que ca reste un metier assez recent il n'y a pas de formation optimale. La motiviation et la reconnaissance au sein de l'entreprise sont les meilleurs moyen je pense.

Ah oui la partie relationnelle est TRES importante puisqu'il faut faire des actions impopulaires et faire beaucoup de sensibilisation pour expliquer l'objectif des actions. Il faut se faire respecter par le metier et les IT.
Je peux aussi ajouter qu'il n'y a pas qu'un seul RSSI dans les entreprises, les plus grandes boites en ont plusieurs qui gerent les activites de l'entreprises et rapportent a un RSSI global qui est responsable legale de tout ca.

Pour ma pars je ne suis pas hyper technique, je ne suis pas ingenieur.
Enfin je dirais que les certifications peuvent t'aider a montrer tes competences:
CISSP: si tu n'es pas technique a la base comme moi c'est un bon point.
ISO 27001 lead auditor: classique, un peu chiant mais reconnu.
CISM/CISA: moins technique que le CISSP mais tout aussi reconnu pour la partie gestion de projet et gouvernance.

J'espere avoir pu t'aider.

[e2del]

Bonjour,

Je sais que tous ne se sentirons pas forcement concerné mais j'en pense qu'il y a quelque actif sur ce forum ou tout du moins des bonne idées.

Je m’explique :
Je suie en école d'ingé et je veux devenir inge réseaux spécialisé dans la sécurité des SI ( audit / conseil / pré-prod / ...) et j'ai encore du chemin a faire niveau compétence mais je me demandais quel sont justement les métiers qui permettent d'en arriver là ?
et quel compétence doive être mis en avant pendant ma formation en école genre le ASM, C, les diff protocoles, ... What else ?

Avoir une bonne culture ssi avec des bonnes bases en réseau (vu que tu t'orientes vers du réseau).
Ensuite ça va se jouer sur ton parcourt professionnel. Commence avec un stage intéressant dans une boite qui peut potentiellement t'embaucher par la suite (cdd ou cdi). Ça te fais une première expérience.
Si tu es mobile dans toute la France tu trouveras ton bonheur.
Donc avoir de bonnes relations (amis, anciens élèves, anciens collègues etc) c'est ce qui permettra t'atteindre ton but.

Le RSSI c'est un poste de responsable donc si tu veux l'être dans une grosse boite faut au moins 10 ans d'xp. Et c'est un poste de management.