Le portfolio de compétences permet de recenser et de valoriser les compétences, les connaissances et les savoir-faire obtenus au cours de stages, d’emplois ou toutes autres activités.

Cet outil peut être utile dans le cadre de recherche de stages ou d’emplois, car il présente une synthèse de notre profil. Il contient aussi une description de notre projet professionnel permettant de mieux cibler nos envies et nos attentes.

Ici j’aborderai 3 expériences qui expliquent ma volonté de travailler dans le domaine de la cybersécurité, comment j’ai pu valider l’acquisition de certaines compétences en les confrontant avec une expérience professionnelle concrète, ainsi que l’apport de mon parcours scolaire et personnel dans la mise en place de ce projet professionnel.

Les 3 expériences que je vais aborder ici sont:  
• Ma progression sur les sites de challenge en cybersécurité
• Le pentest de l'entreprise Social Dynamite
• L'organisation de l'edition 2018 du CTF de l'ESAIP

Je conclurais ce document par une définition de mes valeurs professionnelles et de la vision que j'ai de mon avenir professionel.


Ma progression sur les sites de challenges en cybersécurité

La cybersécurité : une passion

La cybersécurité est un domaine qui m’intéresse depuis plusieurs années. Bien avant que ma formation ne s’oriente vers la cybersécurité j’ai décidé de découvrir ce domaine par moi-même.
Après de nombreuses recherches, j’ai pris la décision de m’inscrire sur une plateforme de challenge en ligne.

Une plateforme de challenge c’est quoi ?

Prenons l’exemple de Root Me. Root Me est une plateforme d’apprentissage dédiée au Hacking et à la Sécurité de l’Information.
Cette plateforme propose plus de 300 challenges de sécurité, déclinés sous plusieurs difficultés (Très Facile – Facile – Moyen – Difficile – Très difficile).
Chaque challenge résolu rapporte un certain nombre de point en fonction sa difficulté.
Ce site est une référence dans son domaine, beaucoup de professionnels y sont inscrits et se servent de ce site pour situer le niveau d’un postulant lors des recherches d’embauche.
Bien sûr ce n’est pas la seule plateforme de ce genre, il en existe bien d’autres tels que Newbie Contest, Hack Me ou encore Hack This Site.

Influence sur ma poursuite d’étude

En explorant la plateforme Root Me ainsi que d’autre site dédié à la sécurité informatique, un constat c’est imposé à moi : c’est dans ce domaine que je veux travailler plus tard.
J’ai donc intégré un IUT informatique à la suite de mon bac, puis j’ai cherché une école qui m’apporterai encore plus de connaissances dans ce domaine, c’est pour cette raison que j’ai intégré l’ESAIP.
En intégrant l’ESAIP et plus spécifiquement la majeure « cybersécurité » ma progression sur les sites de challenges a été accélérée, en effet j’ai eu l’occasion d’apprendre de nouvelles techniques, de passer ma certification CEH (certification prouvant une certaine connaissance en cybersécurité et reconnu dans le monde professionnel) et de me consacrer plus encore à ma passion.


Pentest de l’entreprise Social Dynamite

Logo de Social Dynamite

La plateforme de Social Dynamite (http://www.social-dynamite.com), gère et planifie la mise en ligne de nouvelles publications sur les réseaux sociaux. Elle permet, avec l'autorisation des dirigeants, des commerciaux et de tout autre salarié qui souhaiterait devenir ambassadeur de son entreprise, d'accéder à leurs profils sur les réseaux sociaux (Facebook, Twitter, Linkedin, Google Plus), de publier les actualités de leurs sociétés, donc de démultiplier l'audience.

Ma mission a été d’étudier la surface d’attaque et l’exposition de cette plateforme aux possibles menaces extérieures.

Présentation Des Tâches

Il est difficile de résumer mes journées à une simple liste de tâche. Mon temps de travail a donc été découpé de la façon suivante :

Je n'ai pas le droit ici de dévoiler le résultats de mon test d'intrusion.


L’organisation du CTF de l’ESAIP

Logo du CTF 2018 de l'esaip 

Cet évènement a lieu le 16 mars 2019 à l’ESAIP.

CTF est l’abréviation du terme anglais « Capture The Flag ». C’est un style de jeu qui consiste à récupérer un objet (« un flag ») défini à l’avance. Dans le cadre de la cybersécurité il s’agit d’un concours utilisé pour enseigner des compétences en sécurité des systèmes d'information grâce à une expérience pratique. Il en existe deux types : les CTF « Jeopardy » et les « Attaque-Défense ».

L’organisation d’un CTF est un évènement qui ne se fait pas seul. Notre équippe était composée de 7 personnes:
• AGS (moi même)
• Caelin
• Emo
• Nazzbig
• Azphereax
• Delduwaht
• JM

Le CTF que nous avons organisé est de type « Jeopardy ». Il s’agit d’une compétition en équipe composée de plusieurs tâches (challenges) réparties en différentes catégories. Chaque challenge remporté par une équipe rapporte des points, ces points peuvent être attribués aux équipes sur la base de la vitesse et de la précision. À la fin du temps alloué, l'équipe avec le plus de points est déclarée gagnante.

En règle générale on retrouve les catégories suivantes :
• Web
• Forensic / recherche de preuves numériques
• Cryptographie
• Stéganographie
• Réseau
• Application système
• Rétro-ingénierie

Le site officiel du CTF est disponible içi http://ctf.esaip.org/

Pour les gagnants plusieurs prix différents sont prévus comme par exemple :
• Des places pour la prochaine édition du « Hack » (évènement important de la communauté cyber française)
• Des licences EC-Council (Organisme de certification)
• Des offres OVH
• Etc

L'organisation de ce CTF est un évènement formateur qui m'a permis d’améliorer mes compétences en gestion de projet, de communication mais aussi mes compétences techniques via la création de challenges et la mise en place d’une infrastructure pour supporter l’hébergement des challenges.

Nous avons dû gérer des contraintes quant au fait que nous n’avions pas tous les mêmes horaires. Nous avons donc travaillé dans un mode d’équipe distribué mais nous avons toujours organisé les réunions avec le service communication ou le service informatique afin d’être tous présent.

Une partie de l'équipe de conception du CTF

Mes valeurs

J’ai l’intime conviction que dans mon avenir professionnel certains points seront indispensables pour mon épanouissement personnel.

Je ne travaillerai pas à Paris :

C’est une chose que je ne négocierai pas lors de mes futurs entretiens d’embauche. Paris est une ville beaucoup trop stressante et dense pour moi.

J’aurai un travail en lien avec la technique :

Les postes de managers et de gestion ne m’intéressent pas, je veux pouvoir être en charge de taches techniques régulièrement.

Mon travail ne prendra jamais le pas sur ma vie privée :

Ma personnalité m’impose d’avoir diverses activités pour m’épanouir, il est inenvisageable de sacrifier mon temps libre au travail. Je veux avoir le temps de réaliser mes projets personnels.


Pour demain

Mes objectifs professionnels sont d’occuper, dans un premier temps, un poste de pentester, c’est-à-dire d’être en charge de l’analyse de la sécurité informatique pour diverses entreprises.
Puis après avoir une certaine expérience et une certaine confiance dans ce domaine j’orienterai ma carrière pour me lancer dans une carrière de « bug bounty hunter » en freelance.

Le bug bounty hunter, qui se traduit littéralement par «chasseur de prime de bug» est une personne qui cherche des vulnérabilités sur les systèmes publiques d’entreprise, tels que Facebook ou Google,  si il découvre une vulnérabilité, il le rapporte à l’entreprise concernée et est récompensé par une prime.

Ce système est ouvert à quiconque, permet d’avoir une meilleure couverture quand on point de faiblesse de l’application et coute en générale moins qu’un audit classique, c’est pourquoi de plus en plus d’entreprise envisage cette solution. Des plateformes tels que HackerOne ou encore FireBounty offre aux entreprises la mise en place de ce genre d’audit et mettent en avant ces programmes dans les communautés de bug bounty hunter.

Aujourd'hui je pense que mon parcours scolaire me permettra d’atteindre mes objectifs professionnels. Quoi qu’il en soit, les expériences dont je vous ai fait par plus haut et mes recherches quant au possible débouchés dans le monde de la cybersécurité me conforte dans ce choix de carrière et me rassure quant au fait que je mettrai tout en œuvre pour atteindre cet objectif. Je continuerai à participer à des challenges en ligne, à des CTFs, à des concours de cybersécurité, à me documenter par moi-même que ce soit à travers les ressources en ligne ou les livres afin d’en apprendre toujours plus dans ce domaine qui me fascine.