Comment êtes-vous arrivé au domaine de la cybersécurité? Qu’est-ce qui vous a donné envie de travailler dans ce domaine?
C’est plutôt un hasard. J’ai suivi une licence en informatique à Marseille, et de la licence, j’ai poursuivi sur un master en fiabilité et sécurité informatique. C’est un domaine qui m’intéressait et auquel j’avais pu toucher seul, je m’amusais à sauter les protections de logiciel en désarmant le programme.
C’est pendant mon stage de fin d’étude que je suis véritablement rentré dans la sécurité du côté professionnel.
On entend beaucoup que la cybersécurité est un domaine d’avenir, qu’en est-il réellement selon vous?
Clairement oui, sans aucun doute. Empiriquement, ce qui a de la valeur est convoité. Par exemple, l’argent a de la valeur, il y a des attaquants et des contre mesures ont été mises en place comme des coffres fort contre les cambrioleurs et braqueurs.
Depuis une quinzaine d’années, une transition dans le numérique s’effectue. Désormais, tout ce qui a de la valeur tend à être une information numérique. Une carte bleue par exemple contient une référence permettant d’utiliser des informations qui sont stockées autre part. Nous sommes constamment en train d’utiliser des actifs numériques. Le bitcoin en est un bon exemple.
Ce qui ici a de la valeur, c’est des informations et ces dernières sont convoitées. Nous devons protéger ces actifs.
En cybersécurité, il existe un paradigme particulier, celui du fruit qui pend en bas de l’arbre (low hanging fruit). En fonction de leur sensibilité, les entreprises doivent se situer à un niveau plus ou moins haut pour ne pas être le fruit qui se fait cueillir. Or il y a de moins en moins de fruits en bas de l’arbre, le niveau de sécurité remonte donc progressivement et plus ceux du bas remontent, plus les autres aussi pour se maintenir au milieu de l’arbre. Il y a donc un besoin constant. Le secteur de la cybersécurité est auto-fertile.
Que faisiez-vous avant d’être formateur cybersécurité à la Wild Code School et quels sont les différents postes que vous avez occupé?
Etudiant, en Licence et en année de Master 1, j’étais ingénieur d’étude et de conception pour le CNRS: je faisais du développement web.
Après mon master, j’ai travaillé pendant quatre ans en tant que consultant sécurité à Lexsi. Mon travail consistait à être une espèce de couteau suisse en sécurité durant lequel je faisais beaucoup d’audit de codes et de tests d’intrusion applicatifs.
J’ai également été enseignant à la faculté des sciences de Luminy en M2 sécurité.
Enfin, depuis, je suis à mon compte. Je fais de l’audit et de la formation cybersécurité. Je reste multi casquette.
Être formateur est quelque chose qui vous a toujours plu? Qu’est-ce qui vous a convaincu de devenir formateur à la Wild Code School ?
Au début, je faisais des formation car j’étais timide et n’arrivais pas à parler devant plusieurs personnes. Chez Lexsi, des formations cybersécurité étaient proposées dans l’open space, sur la base du volontariat. A un moment, la volonté de pouvoir parler en public prit le pas et je me suis senti pousser des ailes : je me suis porté volontaire. Par la suite, au fur et à mesure, j’ai fini par apprécier de plus en plus pouvoir discuter et échanger avec les participants à la formation. On apprend énormément des personnes que l’on forme, c’est un échange réciproque.
A la Wild Code School, ce qui était nouveau pour moi était de faire trois mois de formation. Avant cela, la plus longue formation que j’avais faite durait cinq jours. A la faculté, je donnais des cours de manière éclatée, par deux créneaux de 4 heures par semaine.
C’était donc un petit défi que je me lançais à moi-même de suivre les mêmes personnes pendant trois mois.
Comment décririez vous le rôle de formateur? Qu’est-ce qui vous différencie d’un professeur ?
Le rôle d’un formateur est de partager la connaissance de la façon la plus vivante possible. Il faut éviter de créer cette ambiance où chacun regarde sa montre attendant que les minutes passent. Le but est de partager une passion, un savoir de la manière la plus efficace possible.
La principale différence entre un formateur et un professeur réside dans la pédagogie. La pédagogie est dépendante de l’organisme de formation. A la Wild Code School, nous sommes très orientés pratique à la différence des cours magistraux de la faculté. On cherche réellement à placer les élèves en autonomie et à favoriser un apprentissage par la pratique.
Si vous aviez des conseils à donner à quelqu’un qui s’intéresse à ce domaine et souhaiterait se former ?
J’aurais différents conseils à donner. Le premier type de conseil est humain: il faut être curieux. On m’a un jour dit que la curiosité c’est la base de l’intelligence : je pense que c’est particulièrement vrai en sécurité informatique. Une personne va s’informer, se cultiver et sera alors en mesure de réaliser sa veille technologique. La curiosité est une réelle bénédiction pour ce domaine. Il faut également être joueur. Pendant les tests d’intrusion, on se met dans la tête de l’attaquant et il faut voir cela comme un jeu.
Mon deuxième conseil est d’ordre technique. Être autodidacte et savoir s’auto-former sur des sujets en partant de rien est nécessaire dans le travail de consultant. À défaut d’un diplôme dans ce domaine, attester d’une forme de motivation (ou de compétence) est crucial pour rentrer dans le milieu. On ne peut pas tout savoir mais lorsqu’un client expose son problème, on dispose généralement d’une vingtaine de minutes pour devenir “expert” dans le sujet.
Enfin, mon dernier conseil serait de pratiquer. Pratiquer du développement web, de l’administration système, des Bug bounties ou Capture the flag (CTF). Voici des liens qui pourraient vous être utile: https://www.hackerone.com/fr ; https://www.yeswehack.com/fr/ ; https://www.root-me.org; https://www.hackthebox.eu.
