• Monish Adithya

Mon parcours dans la cybersécurité : cours, certifications et examens



Parcours d'évangéliste produit à consultant en cybersécurité stagiaire


J'ai terminé ma licence d'application informatique en juin 2018. J'ai dû faire un stage pour obtenir mon diplôme, et pendant ce stage j'ai acquis une certaine expérience avec les applications web et les réseaux. Après le stage, j'ai créé ma propre entreprise qui concevait et développait des applications web. Puis après quelques mois, nous avons commencé à collaborer avec une entreprise basée sur un produit (outil de collaboration client) et la plupart des clients étaient des banques. Chaque fois que nous avions une réunion avec un client, la question suivante revenait : " Quelle est la sécurité de votre plateforme ? ". J'entendais mon partenaire expliquer les meilleures pratiques de sécurité. C'est là qu'est née ma curiosité d'en savoir plus sur la cybersécurité.


Après 4 mois, j'ai cherché une opportunité de poursuivre un master en cybersécurité à l'étranger et j'ai choisi une université en France. Lorsque j'ai commencé mes cours, je pensais que la cybersécurité se résumait au piratage et aux attaques.


Septembre 2019 : début de l'université


J'ai commencé mon parcours de cybersécurité en apprenant :

  • Quelques réseaux qui m'ont aidé à comprendre des concepts tels que les protocoles TCP/IP, le modèle OSI, la configuration des routeurs CCNA, les commutateurs et leurs rôles dans une infrastructure.

  • Quelques langages de programmation qui m'ont aidé à comprendre les concepts de fonctionnement d'une application, comment automatiser quelques tâches et la révision du code.

  • L'administration système qui m'a aidé à comprendre les différents systèmes d'exploitation (Windows, Linux) et leurs différentes configurations, ainsi que certaines technologies comme la configuration d'Active Directory, DNS, DHCP, les systèmes d'exploitation de pentesting les plus courants comme Kali et Parrot et les outils qu'ils contiennent.

  • La gestion de projet qui a permis de comprendre comment travailler au sein d'une équipe, gérer les délais, la communication avec les membres de l'équipe.



Certification CEH


Après 6 mois de mon master, j'ai découvert un certificat connu et exigeant pour tout nouveau venu : CEH Certified Ethical Hacker de EC-Council. Ce certificat a un bon contenu et beaucoup d'informations pour un débutant qui aide à comprendre les concepts et les bases de la cybersécurité. Le livre se compose de 20 chapitres couvrant l'introduction au piratage éthique, l'empreinte et la reconnaissance, l'analyse des réseaux, l'analyse des vulnérabilités, le piratage des systèmes, les menaces des logiciels malveillants, le reniflage, l'ingénierie sociale, le piratage des applications Web, l'injection SQL, la cryptographie, etc.


Des plateformes pour mettre en pratique vos compétences en matière de piratage


Après avoir pris connaissance des attaques et des outils, j'avais envie d'effectuer des attaques mais je n'avais pas de plateforme. J'ai lu un article qui mentionnait toutes les machines virtuelles vulnérables disponibles gratuitement (par exemple Owasp Juice Shop, DVWA, Bwapp, Metasploitable 2, WebGoat) et les plateformes (par exemple TryHackMe, RootMe.org, HackTheBox). Il a même présenté des plateformes où je pouvais avoir accès à des exploits publics et à des outils OSINT.



La première chose que j'ai faite a été d'installer VMWare et Kali OS. Vous pouvez les télécharger et les installer à l'aide des liens fournis. J'ai jeté un coup d'oeil à tous les outils intégrés fournis dans Kali et j'ai essayé de me familiariser avec eux.


Comment j'ai commencé


En regardant toutes les machines et plateformes vulnérables, j'étais à la fois excité et confus quant à l'endroit où commencer. À mon avis, c'est une situation que tous les nouveaux venus connaissent. J'ai choisi TryHackMe parce qu'il avait tous les types de salles, du débutant à l'expert dans un sujet particulier du pentesting. Il fournit également des conseils et des exemples pour mieux comprendre si vous n'êtes pas sûr de la façon d'effectuer une tâche particulière. J'avais décidé de compléter au moins une salle par jour, ce qui a été possible les premiers jours. Mais c'est devenu de plus en plus difficile au fur et à mesure que j'avançais. J'ai travaillé constamment dessus pendant 200 jours, au moins 20 minutes par jour après mes heures de cours. Cela m'a beaucoup aidé à acquérir des connaissances supplémentaires sur les attaques.


Comment les médias sociaux aident à apprendre


La cybersécurité dispose d'une énorme communauté, qui est toujours prête à aider les personnes dans le besoin. Certaines personnes sont des experts et le plus intéressant est qu'elles aiment partager leurs connaissances avec les personnes intéressées. Vous pouvez les trouver sur LinkedIn, Twitter, Youtube, les canaux Discord, les articles de blog, etc.


Voici certains des créateurs que je suis :


LiverOverflow, Farah Hawa, The XSS Rat, STOK, TomNomNom, Hakluke, Cyber Mentor, John Adams, John Hammond, Loi Liang Yang, Edureka, InsiderPhd, freecodecamp.org, etc.


Préparation à l'examen CEH


J'étais inquiet de savoir comment garder tout en tête, car il est si facile d'oublier des choses pendant les examens. Pour cela, je vous suggère de passer quelques examens pratiques avant de vous présenter à l'examen CEH. Il y a beaucoup de matériel disponible sur Google pour s'entraîner (certains sont payants et d'autres gratuits). La meilleure chose à faire est de rejoindre des forums et de demander du matériel à des personnes qui ont déjà passé l'examen.


Examen CEH


Après tout, j'ai passé mon examen CEH en mars 2021 et j'ai été certifié dès ma première tentative. L'examen n'était pas aussi facile que je le pensais. L'examen consiste en 125 questions basées sur des scénarios et vous avez 4 heures pour le compléter. Vous devez obtenir un minimum de 85%, soit 100 réponses correctes sur 125, pour réussir l'examen. Le site web du CEH indique que vous devez avoir au moins 70% (88 sur 125) mais j'ai vu quelques cas qui n'ont pas pu être certifiés avec 74%. Le temps joue un rôle important pendant cet examen. Ma stratégie consistait à répondre aux questions dont j'étais sûr et à revenir ensuite à celles qui étaient difficiles. Cela m'a vraiment aidé à gérer mon temps pendant l'examen.

En conclusion


La plupart des personnes travaillant dans ce domaine ont une opinion différente sur les certifications et le coût de la certification. Selon moi, une certification vous aide à démarrer et à apprendre de manière structurée. Le fait d'être certifié CEH m'a donné une longueur d'avance sur les autres candidats qui ont postulé pendant la recherche d'emploi et les entretiens. J'ai remarqué que tous les emplois de premier échelon exigent des certifications et que la certification CEH figure dans toutes les offres d'emploi comme une exigence obligatoire. Je veux poursuivre mon parcours de certifications. Je travaille actuellement sur l'ECSA (EC-Council Certified Security Analyst). Cette certification est la prochaine après le CEH.


J'espère obtenir la certification ECSA d'ici février 2022.



Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !


Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !



22 vues