La cybersécurité est-elle difficile ? Comment trouver votre chemin dans

C'est une question courante, et difficile de donner la bonne réponse. La réponse facile, ironiquement, est de simplement dire "oui" et d'en rester là. Pas tout à fait la bonne réponse cependant.

Cela ne veut pas dire que c'est facile, car ce n'est pas le cas, mais c'est simple. Le problème vient du fait qu'il est aussi rapide et grand.

J'ai vu beaucoup de gens dire que la cybersécurité est difficile en raison des connaissances techniques requises, tandis que d'autres vous diront que les compétences techniques ne sont pas nécessaires et que c'est donc facile. Beaucoup ont même du mal à séparer la cybersécurité de la sécurité de l'information de la sécurité dans son ensemble, ce qui brouille encore plus le tableau.

Dans cet article, nous parlerons de :

1. Trouver votre chemin
2. Cyber Security Easy Mode : le guide de triche
3. La partie la plus difficile de la cybersécurité : la définir
4. Plus de définitions : que signifie « dur » en cybersécurité ?

Je vais garder la douleur pour plus tard, alors nous allons commencer par des façons de commencer une carrière dans la cybersécurité.

Trouver votre chemin dans la cybersécurité

L'un des premiers défis à surmonter est de déterminer la voie que vous souhaitez emprunter - ou du moins viser. La cybersécurité n'est pas seulement un test d'intrusion (malgré ce que Hollywood voudrait faire croire). Diverses organisations présentent différents nombres de chemins, avec des nombres communs allant de moins d'une demi-douzaine à des dizaines d'options différentes.

Les plus connus sont les rôles d'équipe rouge et d'équipe bleue, les tests d'intrusion ou la surveillance du centre d'opérations de sécurité (SOC). Pour cette raison, ils ont tendance à être les plus compétitifs, avec des chemins définis et bien balisés, ce qui signifie que la plupart recherchent un rôle d'entrée de gamme dans cette direction.

Pour vous donner un avantage énorme, regardez en dehors de ces deux. Les rôles de gouvernance, de risque et de conformité (GRC) sont sous-fournis, ont moins de barrières techniques à l'entrée et ont franchement plus de perspectives. Il existe également des rôles de sécurité des applications pour ceux qui s'intéressent davantage au développement, aux rôles d'architecture, à la criminalistique, aux opérations, aux spécialités à gogo et - au moment où j'ai fini d'écrire ceci - probablement une vingtaine de personnes dont personne n'a entendu parler auparavant.

Vous entendrez beaucoup de gens vous dire de suivre votre passion. Je suis contre ce conseil - les passions peuvent être éphémères et dans un domaine où beaucoup sont déjà surchargés de travail et manquent de ressources, les poursuivre peut rapidement conduire à l'épuisement professionnel. Au lieu de cela, j'ai tendance à suggérer de se livrer à la curiosité.

Il n'y a pas de plus grand avantage en cybersécurité que d'être disposé et capable d'apprendre rapidement, et suivre les sujets qui vous intéressent est un excellent moyen de le faire. Vous êtes presque assuré de devoir pivoter plusieurs fois au cours d'une carrière de n'importe quelle longueur, et comme le dit le dicton "Nous planifions, Dieu rit". Ne vous engagez pas trop fortement dans les plans et apprenez à suivre le courant et à saisir les opportunités au fur et à mesure qu'elles se présentent.

Cyber Security Easy Mode : le guide de triche

L'un des plus grands obstacles est d'entrer dans un rôle en premier lieu. J'ai des témoignages de première main de personnes qui envoient des centaines de candidatures et n'aboutissent à rien.

Autant que je déteste le dire, il y a une raison à cela.

La plupart des rôles de cybersécurité ne sont pas annoncés.

Ceux qui le font ont souvent un nombre ridicule d'applications à traiter. Ainsi, même avec le meilleur CV, vous avez de mauvaises chances. Au lieu de cela, les plus grands succès que je vois des gens sont lorsqu'ils empruntent des voies différentes.

La mise en réseau

Construire un réseau et se connecter avec les gens est extrêmement efficace. Ce n'est pas simplement un jeu de chiffres - avoir 50 000 connexions ne vous donnera pas beaucoup d'avantage sur le fait d'en avoir quelques-unes qui vous conviennent. Regardez les personnes dans les rôles que vous souhaitez occuper ou dans les postes à embaucher pour ces rôles, et demandez (sincèrement, c'est important) leur avis. Restez en contact et faites savoir aux gens ce que vous essayez de faire et que vous écoutez leurs conseils.

Suivre ce conseil vous donne accès à tout un réseau de personnes qui recherchent des opportunités pour vous, sachant que vous développez les bonnes compétences et que vous êtes capable de parler en votre nom lorsque les choses se présentent. N'oubliez pas que cela ne fonctionne que si les relations que vous construisez de cette façon sont authentiques - être sincère ou manipulateur ne fonctionnera pas longtemps en faveur de qui que ce soit, mais demander de l'aide ouvertement et respectueusement est la voie à suivre.

Contenu et présentation

Écrire des messages, des articles, des blogs ou toute autre chose sur votre parcours et ce que vous apprenez est une autre façon non seulement de construire votre réseau, mais aussi de mettre un cachet sur des domaines d'expertise. Encore mieux est de mettre sur pied une présentation, pour des points bonus lors d'une conférence de recrues ou sur une piste de recrues lors d'une conférence établie, comme BièreCon ou FAIRE CON , ou un local Côtés B un événement.

Donner une première conférence sur un sujet qui vous intéresse permet d'attirer des personnes intéressées à trouver des solutions, ce qui est exactement le type de personne que vous voulez que vous remarquiez. La plupart des gens ne donneront pas suite en parlant sur scène, même si les pistes de recrues fourniront un soutien et un mentorat tout au long du processus, et donc une simple présentation peut vraiment vous mettre en avant en tant qu'expert dans un domaine.

Beaucoup de ces événements sont à distance, mais lorsqu'ils sont en personne, vous avez également une autre occasion de développer votre réseau pour saisir de nouvelles opportunités.

Une fois que vous y êtes : l'opportunité se présente

Après avoir trouvé ce premier rôle, vous entendrez des gens dire que vous devriez passer x ou y années dans un rôle pour prouver que vous êtes stable et loyal. Mon prochain conseil n'est pas populaire (auprès des employeurs) et n'est pas pour tout le monde.

Gardez les yeux ouverts pour les opportunités. Bien qu'il y ait des arguments sur ce que l'on appelle le manque de compétences en cybersécurité, il y a certainement une demande pour ceux qui ont déjà réussi à s'introduire (le plus difficile est de commencer). Cela vaut la peine de garder les yeux et les oreilles ouverts et d'examiner les nouvelles opportunités au fur et à mesure qu'elles se présentent.

Vous entendrez des gens s'opposer par principe au changement d'emploi, accusant quiconque change de rôle aussi rarement que toutes les quelques années de manquer d'engagement. Ma propre expérience est anecdotique, mais pendant deux décennies de ma carrière avant de devenir indépendant, mon mandat moyen dans un rôle était de dix mois - et cela n'a jamais été un problème. Je ne dirais pas déménager simplement pour le plaisir de déménager, mais je suggérerais fortement que ne pas saisir de nouvelles opportunités par peur d'être qualifié de déloyal est une erreur.

La partie la plus difficile de la cybersécurité : la définir

Vous trouverez de nombreuses définitions. Certains sont utiles, la plupart ne le sont pas.

Par exemple, le NCSC donne une définition qui commence par "La cybersécurité est la façon dont les individus et les organisations réduisent le risque de cyberattaque". C'est une définition précise, il se trouve qu'elle est complètement inutile car elle n'explique pas cette pièce "cyber".

Alors commençons par le décomposer. Si vous êtes aux États-Unis, vous voyez probablement la cybersécurité plus que la cybersécurité, qui n'est qu'une variation régionale. Qu'est-ce que la sécurité ? La définition la meilleure et la plus simple que j'ai rencontrée et qui nous est utile est qu'il s'agit de la protection des actifs contre les menaces (en réalité, les actifs et les menaces sont en fin de compte des personnes - même dans le cyber - et parfois ce sont les mêmes personnes). Super, nous sommes à mi-chemin, nous avons défini la discipline avec laquelle nous travaillons.

Qu'est-ce que le cyber ? Eh bien, il existe encore de nombreuses définitions, mais la plupart d'entre elles se résument à un domaine composé de réseaux interdépendants, d'infrastructures technologiques et des données qui y vivent. Encore mieux, nous avons maintenant le domaine avec lequel nous travaillons.

Cela signifie que la cybersécurité applique la discipline de sécurité dans le cyberdomaine.

C'est pourquoi les gens sont si confus quant à ce qu'est la cybersécurité et qu'elle est confondue avec la sécurité de l'information et d'autres formes de sécurité. Ils appliquent tous les mêmes principes fondamentaux de sécurité, la même discipline, mais dans des domaines différents.

Il existe de nombreux autres domaines de sécurité - nous pouvons parler de sécurité alimentaire, bio, financière, économique et bien d'autres, mais nous allons nous concentrer pour l'instant. Le diagramme montre la physique, l'information, la cybersécurité et leur relation les unes avec les autres. Vous comprendrez rapidement pourquoi…

…les frontières et les définitions s'estompent très facilement.

J'aurais inclus la technologie de l'information à ce sujet, mais cela nécessite des dimensions supplémentaires que je ne peux pas représenter dans un format 2D. L'informatique, l'informatique, la technologie ou tout autre terme que nous voulons utiliser contient la cybersécurité de la même manière que l'information, tandis que la sécurité de l'information se chevauche mais ne la contient pas.

Plus de définitions : que signifie « dur » en cybersécurité ?

Il y a un problème lorsque nous commençons à lancer le mot dur, cela revient à nouveau aux définitions (désolé, je sais que cela se transforme en dictionnaire, mais ce truc est important pour donner un sens à la question). Quand nous disons que quelque chose est difficile, nous voulons souvent dire que c'est frustrant. Bien que la cybersécurité puisse être (souvent) frustrante à percer, c'est différent du fait qu'elle est elle-même difficile.

Une meilleure description est que la cybersécurité est un défi. Cela peut être appris, vous pouvez vous améliorer, cela nécessite certaines façons de penser, des capacités à rechercher et à apprendre rapidement, et un certain nombre d'autres compétences selon le domaine que vous étudiez. Il peut y avoir des domaines dans lesquels vous excellez, il peut y en avoir dans lesquels vous avez du mal, et les trouver façonnera le reste de votre carrière.

Une meilleure façon de le dire est que la réalisation d'un état sécurisé est complexe. Il y a beaucoup de pièces mobiles impliquées, et plus l'organisation ou l'environnement est grand, plus il devient complexe. Les principes appliqués sont simples, mais ils doivent être appliqués à fond partout, sans rien manquer, à une gamme extrêmement diversifiée de technologies et de systèmes qui sont tous des cibles mouvantes.

En plus de cela, vous disposerez de ressources limitées et devrez constamment effectuer des traductions entre les différents secteurs de l'entreprise afin qu'ils comprennent non seulement leur besoin de sécurité, mais aussi ce que cela signifie.

Cela peut donner l'impression que je vous mets en garde contre une carrière dans la cybersécurité, ou dans la sécurité plus généralement. Je ne le suis absolument pas - il y a peu de domaines où vous pouvez avoir un impact positif (ou négatif) aussi massif, même s'il peut être invisible. Cela peut être frustrant et épuisant; cela peut aussi être incroyablement épanouissant.

Si vous êtes à la recherche d'une carrière dans la sécurité, je suis toujours heureux d'essayer de vous aider. Connectez-vous et dites bonjour Twitter ou LinkedIn .