paint-brush
Vous n'apprenez pas seul : un guide structuré pour les débutants en cybersécuritépar@davidecarmeci
13,652 lectures
13,652 lectures

Vous n'apprenez pas seul : un guide structuré pour les débutants en cybersécurité

par Davide Carmeci12m2023/11/11
Read on Terminal Reader

Trop long; Pour lire

Plongez dans un guide holistique de cybersécurité couvrant une formation pratique adaptée aux débutants, l'importance du mentorat et une liste d'outils gratuits. Que vous soyez nouveau ou en progression, ce guide garantit que vous êtes bien équipé pour faire face à l'évolution du paysage de la sécurité numérique.
featured image - Vous n'apprenez pas seul : un guide structuré pour les débutants en cybersécurité
Davide Carmeci HackerNoon profile picture
0-item



Rejoindre le domaine de la cybersécurité en tant qu'étranger sans formation technique a été pour moi un voyage transformateur. Ce qui m'a immédiatement captivé dans l'industrie, c'est son rythme incessant et le défi exaltant qu'elle présentait constamment. En interagissant avec des professionnels du domaine, j'ai été réconforté par leur soutien massif aux nouveaux arrivants qui faisaient preuve d'une véritable volonté d'apprendre. Cependant, j'ai rapidement découvert un sentiment dominant : on s'attend généralement à ce que les nouveaux arrivants soient des autodidactes indépendants. Cela pourrait être une attente intimidante, d’autant plus que de nombreux débutants potentiels en cybersécurité ne sont pas par nature autodidactes. Bien que la curiosité innée soit sans aucun doute un trait précieux, il est essentiel de reconnaître que de nombreuses personnes, même celles dotées d'un immense potentiel, ont besoin d'un cadre structuré pour faire leurs premiers pas dans ce vaste domaine.


Au cours des dernières années, des progrès significatifs ont été réalisés pour combler le manque de talents dans l’industrie. Cependant, en 2023, selon l' étude ISC2 Cybersecurity Workforce Study , 440 000 nouveaux emplois ont été créés dans le domaine de la cybersécurité à l'échelle mondiale (une augmentation de 8,7 % d'une année sur l'autre), mais 4 millions de postes restent vacants (une augmentation de 12,6 % d'une année sur l'autre). . Cet énorme écart résulte du décalage entre les besoins des employeurs en professionnels expérimentés et la pénurie réelle de cette expertise.


La solution à cette pénurie de talents consiste à se concentrer sur les premières étapes de carrière des professionnels potentiels de la cybersécurité, en particulier les jeunes étudiants. En tant que communauté, il est impératif que nous dotions les jeunes des outils dont ils ont besoin pour explorer la cybersécurité comme option de carrière viable. La clé est d’offrir des parcours d’apprentissage structurés, pratiques et accessibles. Vous trouverez ci-dessous quelques étapes et exemples de la façon de procéder.


Cadres d'étude comme NIST-NICE

Le cadre NIST-NICE classe le travail de cybersécurité en sept catégories de haut niveau : analyser, collecter et exploiter, enquêter, exploiter et entretenir, superviser et gouverner, protéger et défendre, et provisionner en toute sécurité. Chaque catégorie est divisée en domaines de spécialité et en rôles professionnels, fournissant une feuille de route complète pour la progression de carrière.

Tableau 1 : Catégories de rôles de travail du cadre NICE

Catégorie

Description

Nombre de rôles de travail

Provisionnement sécurisé (SP)

Conceptualise, conçoit, achète et/ou construit des systèmes informatiques sécurisés. Responsable des aspects du développement du système et/ou du réseau.

11

Exploiter et entretenir (OM)

Fournit le support, l’administration et la maintenance nécessaires pour garantir la performance et la sécurité efficaces et efficientes du système informatique.

7

Superviser et gouverner (OV)

Assure le leadership, la gestion, l’orientation, le développement et le plaidoyer afin que l’organisation puisse mener efficacement son travail de cybersécurité.

14

Protéger et défendre (RP)

Identifie, analyse et atténue les menaces pesant sur les systèmes et/ou réseaux informatiques internes.

4

Enquêter (IN)

Enquête sur les événements de cybersécurité ou les crimes liés aux systèmes informatiques, aux réseaux et aux preuves numériques.

3

Analyser (AN)

Effectue un examen et une évaluation hautement spécialisés des informations entrantes sur la cybersécurité afin de déterminer leur utilité pour le renseignement.

7

Collecter et exploiter (CO)

Fournit des opérations spécialisées de déni et de tromperie et la collecte d’informations sur la cybersécurité qui peuvent être utilisées pour développer des renseignements.

6


Ce tableau présente le large éventail de rôles dans le paysage de la cybersécurité. En comprenant ces catégories, les débutants peuvent mieux se positionner pour une trajectoire de carrière plus adaptée et plus éclairée.

Pour une compréhension complète du cadre NIST-NICE et pour accéder à une myriade de ressources adaptées aux débutants, on peut visiter le Centre de ressources de démarrage de NICE .

L’objectif est d’explorer diverses facettes de la cybersécurité et de déterminer où la passion se croise avec la compétence. La cybersécurité étant un domaine dynamique, un individu a toujours la possibilité de pivoter, d'apprendre et d'évoluer.


Devenez amis avec de vrais hackers

La communauté de la cybersécurité soutient exceptionnellement les nouveaux arrivants. Même les professionnels chevronnés sont souvent ouverts au partage d’astuces et de conseils et sont incroyablement accessibles aux débutants. Le secret pour rencontrer ces personnes est d’assister à des événements en direct.


Les interactions en temps réel lors d'événements en personne offrent des questions spontanées, des discussions et la possibilité d'une compréhension plus approfondie. Il ne s’agit pas seulement de s’imprégner de connaissances ; c'est aussi une question de réseautage. Ces lieux constituent d’excellentes opportunités pour établir des liens significatifs, menant potentiellement à des mentorats, à des stages ou même à des projets de collaboration. En outre, bon nombre de ces rassemblements proposent des défis en direct ou des ateliers pratiques où les participants peuvent mettre la théorie en pratique, souvent sous la direction d'un expert.


Voici pourquoi assister à des événements en personne peut être si bénéfique pour un passionné de cybersécurité :


  • Démonstrations de compétences : participez directement à des défis ou à des ateliers et perfectionnez vos compétences en temps réel.
  • Rester à jour : la cybersécurité est en constante évolution. Participez à des discussions nouvelles et avant-gardistes qui n’ont peut-être pas encore atteint la communauté en ligne au sens large.
  • Soutien moral : partagez vos expériences et vos défis avec vos pairs. C'est réconfortant et motivant de savoir que d'autres sont confrontés à des défis similaires.


En matière de lieux, certaines plateformes et organisations se démarquent :


  • OWASP (Open Web Application Security Project) : réputé pour ses connaissances sur les vulnérabilités du Web, ses sections mondiales organisent régulièrement des réunions et des ateliers.
  • BSides : ces événements communautaires offrent un cadre plus confortable et plus intime pour les discussions et l'apprentissage.
  • DEF CON : L'une des conventions des hackers, c'est un excellent endroit pour quelqu'un désireux de se plonger en profondeur dans le hacking et la cybersécurité.

Si vous prévoyez d'y assister, voici quelques conseils :


  • Engagez-vous activement : ne soyez pas seulement un participant passif. Engagez-vous, demandez, discutez !
  • Préparez-vous : parcourez le calendrier de l'événement, notez les séances qui vous intéressent et recherchez les conférenciers.
  • Suivi : avez-vous contacté quelqu'un d'intéressant ? Envoyez-leur une note de remerciement ou un simple message après l'événement. Cela pourrait être le début d’une relation précieuse.

Ainsi, si vous souhaitez approfondir vos connaissances et votre réseau en matière de cybersécurité, assister à de tels événements pourrait être le tremplin vers votre prochaine grande opportunité.


Participez aux défis et hackathons de la FCDQ

Les défis Capture The Flag (CTF) sont des compétitions où les participants résolvent des énigmes de cybersécurité allant de la cryptographie aux vulnérabilités des applications Web. Ces défis offrent aux débutants une expérience pratique et pratique pour résoudre des problèmes de cybersécurité réels . Par exemple, l'événement DEF CON CTF attire chaque année un public mondial et propose des énigmes adaptées à tous les niveaux de compétence.

S'engager dans les défis du CTF est directement en corrélation avec plusieurs domaines décrits dans le cadre NIST-NICE :


  • Analyser (AN) : déchiffrer les énigmes cryptographiques dans les CTF affine les compétences pertinentes pour la catégorie Analyser, où l'on évalue les informations entrantes sur la cybersécurité.

  • Protéger et défendre (PR) : le traitement des vulnérabilités lors d'un CTF renforce les capacités d'un participant à identifier, analyser et atténuer les menaces pesant sur les systèmes informatiques, en s'alignant étroitement sur la catégorie Protéger et défendre.

  • Enquêter (IN) : certains CTF impliquent des défis médico-légaux, s'alignant sur la catégorie Enquêter, où l'on examine les événements de cybersécurité ou les crimes liés aux systèmes informatiques.

  • Securely Provision (SP) : relever les défis dans lesquels les participants doivent sécuriser ou renforcer les systèmes reflète la catégorie Securely Provision, en mettant l'accent sur la conception et la création de systèmes informatiques sécurisés.


En s'immergeant dans les CTF, les débutants acquièrent non seulement une expérience pratique précieuse, mais comprennent également mieux les différents rôles et domaines qui pourraient les intéresser selon le cadre NICE. Il offre un moyen concret et engageant d’explorer et d’approfondir des compétences spécifiques en matière de cybersécurité.


Rejoignez les campagnes Bug Bounty

Dans le cadre d'une campagne de bug bounty, les entreprises incitent les pirates informatiques éthiques à rechercher et signaler les vulnérabilités de leurs systèmes. Cette pratique est de plus en plus répandue parmi les grandes entreprises technologiques, prenant conscience de la valeur du pool mondial de chercheurs indépendants en sécurité. Par exemple, des géants de la technologie comme Google, Facebook, Apple, Microsoft et Twitter ont tous déployé leurs propres programmes de bug bounty, encourageant les pirates informatiques éthiques à identifier et à divulguer de manière responsable les failles de sécurité potentielles de leurs plateformes. En proposant ces campagnes, ces organisations améliorent non seulement la sécurité de leurs systèmes, mais favorisent également une relation symbiotique avec la communauté de la cybersécurité. Par exemple:


  • Le programme Vulnerability Reward (VRP) de Google récompense les chercheurs qui découvrent des failles de sécurité dans les produits et services de Google. Le montant de leurs récompenses peut varier de 100 $ à plus de 30 000 $, selon la gravité du défaut et le produit concerné. Dans certains cas exceptionnels, des récompenses encore plus élevées ont été accordées. Le VRP de Google a joué un rôle déterminant dans la garantie de la sécurité de produits tels que Google Chrome, Android et Google Cloud Platform.
  • Le programme Security Bounty d'Apple invite les chercheurs en sécurité à rechercher des vulnérabilités sur iOS, macOS et d'autres logiciels Apple. Les paiements peuvent être assez substantiels, les récompenses pour les problèmes les plus critiques pouvant atteindre jusqu'à 1 million de dollars. Cela reflète l'engagement d'Apple en faveur de la confidentialité et de la sécurité des utilisateurs.

Des plateformes comme Bugcrowd, Hackerone et Intigrity ont également rationalisé le processus, agissant comme intermédiaires reliant les pirates informatiques éthiques aux organisations, y compris celles qui ne disposent pas de programmes indépendants comme Google ou Apple. Une fois qu'une vulnérabilité est identifiée et signalée via ces plateformes ou directement aux entreprises disposant de programmes établis, elle est soumise à un processus de vérification. S'il est validé, le chercheur pourrait recevoir une récompense financière, une reconnaissance, ou les deux.


Focus sur la formation pratique

Pour les débutants, il existe des laboratoires basés sur un navigateur Web. Ces laboratoires permettent aux utilisateurs de s'entraîner dans un environnement contrôlé directement dans leur navigateur. Bien que pratiques et faciles d’accès, ces plates-formes pourraient ne pas reproduire entièrement les complexités et les subtilités des systèmes du monde réel. Ce sont de bons outils d’introduction, mais à mesure que les utilisateurs progressent dans leur parcours de cybersécurité, ils pourraient les trouver moins difficiles.


D'un autre côté, il existe des environnements virtualisés qui nécessitent un accès VPN. Ces plateformes offrent des environnements quasiment identiques aux infrastructures actuelles des entreprises. Les scénarios virtualisés sont méticuleusement conçus pour imiter les réseaux, serveurs et postes de travail du monde réel. Lorsque les utilisateurs se connectent via VPN, ils ont l’impression d’être véritablement à l’intérieur d’un réseau opérationnel, offrant un niveau d’authenticité qui pourrait manquer aux laboratoires basés sur un navigateur Web. Ce type d'environnement permet une exploration plus approfondie des outils, des tactiques et des procédures, formant efficacement le participant à faire face aux véritables menaces de cybersécurité. La formation rigoureuse dans ces environnements garantit que les participants sont prêts à l'emploi et pleinement préparés à relever les défis multiformes auxquels ils pourraient être confrontés dans leur carrière en cybersécurité.


En suivant les deux types de formation, les candidats peuvent apprécier le gradient de complexité des défis de cybersécurité et mieux perfectionner leurs compétences pour devenir des professionnels efficaces.

Voici une liste de ressources de formation pratiques gratuites ou abordables en cybersécurité pour les débutants :


  • Sur le fil : Propose une série de jeux de guerre conçus pour enseigner les principes de sécurité, des bases aux concepts avancés. C'est un excellent point de départ pour les débutants souhaitant apprendre les commandes Linux et les techniques simples de tests d'intrusion.


  • Racine-moi : Cette plateforme propose plus de 300 défis dans différents domaines pour aider les utilisateurs à améliorer leurs compétences en piratage. Il fournit une approche pratique pour en savoir plus sur la sécurité des réseaux, la sécurité des applications Web, etc.


  • Académie PortSwigger : Développée par les créateurs de Burp Suite, cette académie propose une formation pratique gratuite sur la sécurité Web. Il couvre un large éventail de sujets allant des vulnérabilités Web de base aux avancées.


  • PWNX.io : Propose des cours adaptés aux débutants, associés à une expérience de formation réelle basée sur VPN, imitant de véritables scénarios de cybersécurité.


  • PWN.collège : Une plateforme conçue principalement pour que les étudiants s'initient à la cybersécurité. Il propose des modules pédagogiques adaptés à différents niveaux de compétence.


  • EssayezHackMe : Une plateforme en ligne qui facilite l'apprentissage de la cybersécurité grâce à des laboratoires virtuels pratiques. Ses défis gamifiés vont des plus basiques aux plus avancés, s'adressant aux utilisateurs de tous niveaux.


  • Piratez la boîte : Une plateforme qui propose divers laboratoires et défis de cybersécurité. Bien qu'il s'adresse aux utilisateurs de tous niveaux, certains défis peuvent être très avancés, ce qui le rend idéal pour ceux qui cherchent à progresser au-delà des bases.


  • Sécurité MTC : TCM Security propose des cours de cybersécurité à votre rythme qui couvrent des sujets tels que les tests d'intrusion, la formation à la sécurité et la conformité. De plus, ils fournissent des certifications qui gagnent de plus en plus en réputation dans l’industrie.


Les ressources mentionnées ci-dessus ne représentent qu’un aperçu des nombreux outils et plateformes qui ont retenu l’attention et l’appréciation au sein de la communauté de la cybersécurité. Le domaine de la formation en cybersécurité est vaste et la liste des ressources précieuses s'étend bien au-delà de ce qui est proposé ici. De plus, il existe de nombreux projets open source et autres contenus disponibles en ligne qui peuvent contribuer à améliorer le parcours d'apprentissage.


Les forums et sites Web spécialisés, que je détaillerai dans le paragraphe suivant, peuvent être inestimables pour découvrir les avis ou les commentaires des autres membres de la communauté. Ces commentaires donnent un aperçu de la qualité des nouvelles ressources constamment publiées.


Tirez parti des médias sociaux et des forums pour trouver un mentor

Dans le vaste domaine de la cybersécurité, les conseils d’une personne expérimentée peuvent faire toute la différence. Les plateformes comme LinkedIn peuvent être particulièrement utiles, non seulement pour le réseautage, mais aussi pour identifier des mentors potentiels. En examinant attentivement les profils, en rejoignant des groupes pertinents et en participant activement aux discussions, vous pouvez montrer votre enthousiasme et attirer l'attention de professionnels expérimentés prêts à guider les nouveaux arrivants.


Discord, plateforme initialement créée pour les joueurs, est devenue une plateforme pour diverses communautés professionnelles.


Les forums et sites Web spécialisés amplifient encore cette opportunité :


  • Communautés de cybersécurité de Reddit : des plateformes comme La cybersécurité de Reddit et Netsec les subreddits regorgent de professionnels et de passionnés discutant des dernières tendances, défis et solutions en matière de sécurité. Le Étudiants Netsec subreddit est particulièrement conçu pour les étudiants et les débutants, favorisant un espace propice aux requêtes et aux conseils.

  • Forums de sécurité Wilders : plongez en profondeur dans les discussions sur la confidentialité, la sécurité et la protection des données en ligne sur Forums de sécurité Wilders . La vaste gamme de fils de discussion et de publications constitue une communauté dédiée, ce qui en fait une ressource inestimable pour tous les sujets liés à la cybersécurité.

  • MalwareTips et forums Antionline : sites Web comme Conseils sur les logiciels malveillants et Antiligne sont des communautés dynamiques où l'on peut engager des discussions approfondies sur diverses facettes de la sécurité, des menaces de logiciels malveillants à la sécurité des réseaux.

  • Communauté Bleeping Computer et Spiceworks : forums tels que Ordinateur qui bipe et le Forum de sécurité Spiceworks sont consacrés à des discussions approfondies sur la sécurité, des pare-feu et VPN aux gestionnaires de mots de passe et aux attaques de logiciels malveillants.

  • Hacklido : Une plateforme unique, Hacklido C'est là que les hackers les plus brillants se réunissent pour partager leurs connaissances, leurs expériences et leurs conseils. C'est une riche source d'informations pratiques et d'exemples concrets.


En s'engageant activement dans ces forums et communautés, on peut non seulement élargir ses connaissances, mais également établir des liens significatifs. À mesure que vous participez et contribuez, les chances de rencontrer des mentors potentiels qui reconnaissent votre passion et votre dévouement augmentent considérablement. N’oubliez pas que le mentorat en cybersécurité ne consiste pas seulement à apprendre les ficelles du métier ; il s'agit de conseils, de commentaires et de compréhension des nuances du monde en évolution rapide de la protection numérique.


Utilisez des outils gratuits

Lorsque vous vous lancez dans votre parcours de cybersécurité, il est essentiel de vous familiariser avec la multitude d'outils gratuits disponibles. Ces outils, largement reconnus et utilisés par les professionnels du domaine, peuvent augmenter considérablement votre expérience d'apprentissage :


  • Requin filaire :

    • Description : Analyseur de paquets open source, Wireshark permet aux utilisateurs de voir ce qui se passe sur leur réseau à un niveau microscopique. Il est largement utilisé pour le dépannage réseau, l'analyse, le développement de logiciels et de protocoles de communication, ainsi que pour l'éducation.
    • Ressource : L'outil est livré avec une gamme de documentation et guides officiels pour aider les nouveaux arrivants à appréhender ses fonctionnalités.
  • OWASP ZAP (proxy d'attaque Zed) :

    • Description : Développé par OWASP (Open Web Application Security Project), ZAP est un scanner de sécurité d'applications Web gratuit et open source. Il permet de détecter les vulnérabilités de sécurité dans les applications Web pendant que vous les développez et les testez.
    • Ressource : Les nouveaux utilisateurs peuvent bénéficier des fonctionnalités de l'outil documentation officielle et divers guides fournis par la communauté.
  • Édition communautaire Metasploit :

    • Description : Faisant partie du projet Metasploit, cette édition est un outil de test d'intrusion gratuit qui permet de vérifier les vulnérabilités et de gérer les évaluations de sécurité. Il aide à la découverte, à l’analyse et à l’exploitation des vulnérabilités.
    • Ressource : Metasploit fournit une multitude de tutoriels et guides d'utilisation pour diverses fonctionnalités.
  • Renifler:

    • Description : En tant que système de prévention des intrusions réseau (NIPS) et système de détection d'intrusion (IDS) open source, Snort est apte à effectuer une analyse du trafic en temps réel et une journalisation des paquets.
    • Ressource : les débutants peuvent trouver une documentation complète et une communauté d'utilisateurs sur le Site officiel de Snort .
  • OpenVAS (Système ouvert d'évaluation des vulnérabilités) :

    • Description : OpenVAS est un scanner de vulnérabilités complet qui comprend de nombreux tests et propose des mises à jour pour les dernières vulnérabilités. Il aide à identifier les problèmes dans les systèmes et les applications.
    • Ressource : La communauté OpenVAS fournit un ensemble complet de documentation pour aider les nouveaux utilisateurs à comprendre et à maximiser les capacités de l'outil.
  • KaliLinux :

    • Description : Kali Linux est une distribution Linux basée sur Debian orientée vers les tests d'intrusion avancés et l'audit de sécurité. Il est livré préinstallé avec des centaines d'outils de sécurité intégrés, ce qui en fait un incontournable dans la communauté de la cybersécurité.
    • Ressource : Pour ceux qui découvrent Kali, le documentation officielle offre des conseils complets, allant de l'installation à l'utilisation de sa vaste gamme d'outils.


L’exploitation des capacités de ces outils donne non seulement aux débutants une compréhension pratique des différents domaines de la cybersécurité, mais fournit également une approche pratique pour lutter contre les menaces potentielles. N'oubliez pas d'explorer la documentation et les didacticiels associés à chaque outil, car ils contiennent souvent une richesse de connaissances et de bonnes pratiques.


Potentiel inexploité et besoin d’orientation

S'il existe des autodidactes qui parviennent à relier les points par eux-mêmes, un grand nombre de talents émergents ne font pas encore partie de l' écosystème de la cybersécurité , principalement parce qu'ils manquent de conseils de base. En fournissant des conseils ciblés et pratiques, nous pouvons contribuer à ouvrir la voie à une nouvelle génération de professionnels de la cybersécurité prêts à relever les défis et les opportunités que ce domaine en évolution rapide a à offrir.


Un apprentissage structuré peut être réalisé de différentes manières, et ce guide vise à offrir une perspective alternative, venant d'un professionnel non traditionnel de la cybersécurité qui a eu l'opportunité unique d'apprendre auprès de véritables pirates informatiques.