Bertrand Arquilliere : Systèmes, réseaux et sécurité - Humeur - Commentaires

Formation "Ethical Hacker" le bilan humain et technique - Bertrand

Bertrand — Wed, 30 Jul 2008 09:15:34 +0200

Bonjour Soulisson,

Je sais qu'il existe à Rennes un Master 2 en sécurité réseau.
A Lyon, il y a le master 2 OPSIE, mais pas spécialisé en pen tests.
Après tu as la batterie de formation type CEH ou pen tests dispensées par HSC.

Bonne continuation

Formation "Ethical Hacker" le bilan humain et technique - soulisson

soulisson — Wed, 30 Jul 2008 05:25:50 +0200

Bonjour,
Je vous prie dans un premier temps de m'excuser pour ce commentaire légèrement en décalage par rapport aux billets précédents.
Je suis en école d'ingénieur et je souhaiterai compléter ma formation initiale par une formation complémentaire dans le but de faire des pentests.
Je me demandais donc si les lecteurs de ce blog fabuleux connaîtraient des formations universitaires efficaces susceptibles de répondre à mon besoin.
Je suis également preneur de tout conseil susceptible de m'aider dans cette voie.
En vous remerciant d'avance.

Formation "Ethical Hacker" le bilan humain et technique - Bertrand

Bertrand — Tue, 29 Jul 2008 10:08:11 +0200

Bonjour Damiens,

Une formation est certifiante, l'autre pas. Je ne peux pas me prononcer pour vous aider à choisir car je n'ai suivi aucune de ces deux formations. J'ai par contre suivi une formation EC Council (CEH) et une formation HSC (Lead Auditor ISO 27001).
Sans vouloir ouvrir de polémique, si vous n'êtes pas intéressés par une certification, je pense que la formation HSC sera effectivement très pratique, peut être plus que celle de EC. Mais je parle sans savoir, en m'appuyant uniquement sur mon expérience EC Council et mon expérience avec HSC.

Si vraiment la certification n'est pas pour vous une finalité, je serai tenté de dire : HSC.

Par contre réfléchissez y bien, une certification sur un CV c'est toujours revalorisant

Formation "Ethical Hacker" le bilan humain et technique - Damiens

Damiens — Wed, 23 Jul 2008 11:51:42 +0200

Bonjour,

N’étant pas intéressé par une certification, mais surtout de ne pas gaspiller 5 jours de formation, que conseilleriez-vous à choisir entre les deux :
- EC Council Certified Security Analyst / LPT (http://www.sysdream.com/section_125...)
- Réalisation pratique des Tests d'Intrusion de HSC (http://www.hsc.fr/services/formatio...)
Merci d'avance de tout votre commentaire.

Un départ qui m'attriste - riri

riri — Fri, 11 Apr 2008 14:47:00 +0200

Bonjour

Oui c'est une marque de conscience professionnelle de rendre hommage à un responsable que l'on apprécie.

Peu de temps libre pour écrire quelques billets - BERT73

BERT73 — Mon, 31 Mar 2008 10:03:35 +0200

Un Bertrand à un autre Bertrand,

Bonjour,
Ce qui me fait plaisir et m'amuse c'est la ressemblance du parcours attaché au prénom. Je viens de finir ma mission qualité et technique dans une entreprise en Suisse et je commence un cursus universitaire cette année. La seule différence à priori, est que j'ai suivi ma femme qui a pris de nouvelles fonctions sur Chambéry. Je me retrouve donc sans emploi et j'en profite pour valider mes acquis durant cette période.
En ce qui concerne la Suisse, il faut savoir que la réglementation peut changer d'un canton à l'autre. Personnellement, j'ai travaillé dans le canton du Valais et je ne peux que vous indiquer mon expérience uniquement pour ce canton. Mon frère ayant travaillé dans le canton de Genève, des différences existent notamment au niveau imposition.
Le travail en Suisse ne vaut la peine que si l'on travail en Suisse et que l'on habite sur France. Les salaires sont supérieurs d'environ 30% par rapport à la France pour le même emplois.Il faut aussi prendre en considération les taux de change qui sont tout le temps favorable aux banques et rarement aux clients même avec une couverture de change ou un cours négocié. Il faut savoir que depuis les bilatérales les institutions cantonales, normalement, vérifient que les salaires sont les mêmes pour les frontaliers et les travailleurs "indigènes"( c'est le terme employé par les Suisses!). Et ce n'est pas souvent le cas dans les petites PME qui profite un peu de la situation pour avoir des travailleurs moins cher. Le salaire moyen dans une fonction technique est de 6000CHF/mois brut et le smic est à environ 4000CHF/mois brut. Même si on ne le montre pas au premier abord, il n'en pèche que la préférence est nationale, c'est valable pour une majorité de chose et pas seulement pour l'emplois. Vous êtes un étranger et vous resterez un étranger même avec 10 ans d'ancieneté téritoriale. J'en veux pour preuve que lorsque l'on fait le tour des collègues 80% sont des permis C. Si votre emploi consiste à résider en Suisse c'est autre chose. Il vous faudra donc ce fameux permis C, mais je ne suis pas sûr que le jeu en vaut la chandelle à moins d'avoir une super rémunération, ce que je vous souhaite. La vie est plus chère d'environ 30% (normal puisque les salaires sont plus élevés) et une consultation chez le dentiste coût par exemple 200CHF. Toutes les personnes que je connais, ont une assurance qui paye une fortune et ils viennent ce faire soigner sur France où la consultation n'est que de 22€. En ce qui concerne la retraite, il n'y en a pour ainsi dire aucune. On cotise à la LPP qui est le pilier de base et obligatoire (environ 5% du brut). L'entreprise peut cotiser pour le deuxième pilier et l'employer pour le troisième, les entreprises suisses appel cela des conditions sociales avantageuses. Les piliers sont une sorte de fond de pension cotisée auprès d'assurance comme Zurich ou Winterthur. Il est vrai qu'avant 2006 on pouvait récupérer les piliers cotisés mais depuis cette date il n'est plus possible de récupérer l'intégralité des cotisations. Le gouvernement suisse à limiter cette fuite de capitaux parce que les travailleurs étrangers partaient avec leur pécule dans leur pays d'origine et l'argent ainsi récolté n'était pas réinvesti en Suisse. Donc aujourd'hui seul la moitié est récupérable. Pour ma part il me semble que j'ai récupéré environ 2600 CHF sur 8200 cotisés en 7 ans à mi-temps. Pas de quoi racheter de nombreux trimestres.
Pour l'imposition, si vous êtes marié et que vous êtes frontalier il vous faudra faire deux déclarations sauf si vous êtes dans un canton qui prélève à la source.
En cas de rapatriement sur France, l'Assedic minorera votre salaire perçu d'environ 1/3 et là je ne sais toujours pas pourquoi puisque les accords bilatéraux 2 doivent ouvrir les mêmes droits que lorsqu'on travail dans un pays de l'UE.
Voilà un petit résumé de mon expérience suisse que je ne regrette surtout pas. Le mélange de culture est super intéressant et je me suis éclaté. Les francophones sont super accueillants, gentils, avenants et polis. Ils rendent volontiers service et les expressions n'ont rien à envier au Québécois. J'en garde un excellent souvenir de cette aventure et j'y retournerais volontiers en négociant mes rémunérations différemment.

Si vous avez des questions, c'est bien volontiers que j'essaierais d'y répondre.

Tout d'bon et à tout soudain.

Bertrand.

Formation "Ethical Hacker" le bilan humain et technique - Christophe Pékar [AKAOMA Consulting & e-Intelligency]

Christophe Pékar [AKAOMA Consulting & e-Intelligency] — Tue, 18 Mar 2008 10:38:05 +0100

Pour Jonas: je peux te communiquer le study guide CEH v5. Mail: cpekar at akaoma dot com

Formation "Ethical Hacker" le bilan humain et technique - Jonas MBONGUI

Jonas MBONGUI — Thu, 13 Mar 2008 09:42:05 +0100

Bonjour à tous,

Pour ceux qui veulent passer le CISSP, je possède des CDs(11 au total) d'autoformation (Elearning) en anglais qui permettent une vision globale sur les 10 domaines concernés par cette certif.

Je suis à la recherche d'un study guide de CEH v5. Actuellement j'ai la version 3.

J. MBONGUI
RSSI

Formation "Ethical Hacker" le bilan humain et technique - Christophe Pékar

Christophe Pékar — Fri, 07 Mar 2008 05:24:13 +0100

Bertrand,
Si toutefois je peux te formuler un conseil (n'y voit aucune condescendance de ma part!), passe vraiment au plus vite ta certif! (mars/avril au plus tard). Car actuellement la CEH est en v5, et dès le mois de mai elle entre en phase v6 (donc le contenu de ta formation ne sera plus à 100% en phase avec l'exam). Si tu veux je suis en contact avec ECCOUNCIL je pourrai obtenir sinon le contenu v6 à l'occasion.

Christophe Pékar.
Consultant Indépendant - IT
... le savoir ne vaut que s'il est partagé par tous!...

Formation "Ethical Hacker" le bilan humain et technique - Bertrand

Bertrand — Wed, 05 Mar 2008 07:19:28 +0100

Je suis ravi de voir que ce billet est devenu un lieu d'échange d'avis et d'impressions sur les différentes certifs.
En ce qui me concerne, je ne me suis toujours pas inscrits pour passer la certif CEH (j'ai jusqu'en juillet 2008), et au final je ne suis pas certain de vouloir poursuivre vers ECSA/LPT, puisque je passe en avril la certif "Lead Auditor ISO 27001" et j'enchainerai ensuite vers la fin de l'année avec la CISSP.
Concernant le master en security sciences ... et bien je passe ma soutenance pour un master 2 "Organisation et protection des S.I en entreprise" en juillet 2008.

Encore merci pour vos différentes interventions, c'est très instructif.

Formation "Ethical Hacker" le bilan humain et technique - Christophe Pékar [AKAOMA Consulting & E-Intelligency]

Christophe Pékar [AKAOMA Consulting & E-Intelligency] — Tue, 04 Mar 2008 13:44:20 +0100

Pour réponse à Michel: je possède d'autres certifications orientées sécurité informatique, et j'en passe d'autres (en l'occurence CISM en juin puis qq certifications forensiques US ensuite). Donc je dispose d'un bon 'background' technique (!), mais concernant le CEH et autres certifs d'EC COUNCIL (je possède toutes leurs certifications, je les connais donc bien!) l'approche est complètement différente avec le CISSP qui se veut + large (10 domaines du Common Body Knowledege) mais bcp + superficiel (pas besoin d'être hypra pointu techniquement). Cette certif CISSP s'adresse d'ailleurs plus aux (futurs) managers intervenants sur la partie informatique.

En toute honnêteté, les 2 orientations sont complètement différentes, tout dépend de ton profil et surtout ce que tu souhaites faire à l'avenir. Il y a complémentarité des 2 certifs. Mais l'ECSA n'est absolument pas une fin en soi, d'autres certifications se veulent + techniques encore (ex: offensive security), selon ce que tu souhaites faire.

En ma qualité de consultant indépendant, je vais sous peu proposer des certifications sécurité (sessions de training, bootcamp,etc..) dès lors que j'obtiendrai les accréditations nécessaires (en cours avec plusieurs structures leader en la matière). Désolé SYSDREAM, vous ne serez plus seuls sur le sol Français!

J'en profite pour faire de la pub (comme Charles Alexandre DIDIER ci-dessus), j'interviens en tant qu'Expert Sécurité IT au niveau national & international pour toutes missions liées à la sécurité: audits, pen testing, analyses forensiques, etc... Possibilité de former vos équipes (à tous niveaux). Contactez moi!

PS: C.A. DIDIER de SYSDREAM, pouvez-vous SVP nous communiquer un lien indiquant la répartition des certifiés EC COUNCIL en France et dans le monde? Haja, directeur technique d'EC COUNCIL, n'arrive pas à me transmettre cette réponse... étrange?!!?

Salutations.
C.PEKAR

Certifications Sécurité informatique: Comptia Security+, Microsoft MCSE:Security System Engineer, MCITP, Ec-Council C|EH & C|HFI & E|CSA & L|PT, (ISC2) CISSP, CWNA & CWSP Certified Wireless Security Professional

Autre certifications: IBM DOMINO PCLP r4 à r8, ITIL Foundation IT Service Management

Peu de temps libre pour écrire quelques billets - Bertrand

Bertrand — Sat, 01 Mar 2008 14:25:05 +0100

On est tout à fait d'accord, les cours ne sont pas si dur, quoique certaines matières sont quand même pas franchement facile.
Par contre la cadence est plutôt soutenue le soir en sortant du boulot, combiné à 1H de route pour rentrer à la maison, je suis bien content quand le week end arrive

Humeur maussade : Les RSSI en PME/PMI - Bertrand

Bertrand — Sat, 01 Mar 2008 14:21:26 +0100

Cf le dernier paragraphe de mon article :

"Bien sûr la majorité des CVs de RSSI sont bien meilleurs au mien, ormis le fait d'un meilleur diplôme, ils ont plus d'expériences, maitrisent plus d'outils et de techniques. "

Je ne prends pas mal votre remarque, d'où mon inscription fin 2007 en Master 2 afin d'obtenir de l'organisation et des principes de management. De même je passe ma certification Lead Auditor ISO 27001 en avril pour acquérir encore plus de méthode.

Ne soyez pas désolé, je préfère la franchise à la langue de bois.

Enfin, je maintiens que j'ai dés à présent les compétences pour être RSSI en PME/PMI ! Je n'ai jamais eu la prétention de vouloir être RSSI dés à présent dans un grosse structure.

Pas d'adresse email dans votre commentaire, c'est dommage, je vous aurai bien contacté pour en discuter avec vous.

Humeur maussade : Les RSSI en PME/PMI - HT

HT — Sat, 01 Mar 2008 08:55:51 +0100

Ne le prenez pas mal mais vous n'avez pas le profil d'un RSSI mais celui d'un excellent "technicien" de la sécurité (le mot technicien n'étant pas une insulte ;-))).

Regardez de près le profil d'un RSSI - pas des CVs qui sont souvent "menteurs" - et vous constaterez que un RSSI peut être un homme de la technique mais c'est surtout un organisateur, un animateur du travail des autres.....

Que les Directions, les DRH et les recruteurs ne comprennent rien à la sécurité est par contre absolument assuré...

Désolé....

Peu de temps libre pour écrire quelques billets - Neric

Neric — Sat, 01 Mar 2008 08:48:22 +0100

Ohh .. C'est pas si dur que ca ... arretes de te plaindre un peu.
Non plus sérieusement, les cours ne sont pas spécialement difficile, mais c'est plutot la cadence qui est difficile avec le rythme du taff en plus.

Bon courage bertrand encore quelques mois, on tien le bon bout ^^

Neric, futur M2 egalement. Biz

Formation "Ethical Hacker" le bilan humain et technique - Michel

Michel — Thu, 21 Feb 2008 15:04:11 +0100

A Christophe Pekar, est-ce que les certifications EC Council t'ont apportées qq chose popur la certification CISSP. En fait, j'hésite à passer la CISSP directement et envisage la certification ECSA d'EC Council.
Qu'en penses-tu?

Formation "Ethical Hacker" le bilan humain et technique - Charles-Alexandre DIDIER

Charles-Alexandre DIDIER — Thu, 21 Feb 2008 11:11:55 +0100

Content de constater que le CEH suscite autant de débat, cela prouve bien que le sujet n’est pas dénué d’intérêt.

Malgré quelques remarques légitimes au niveau de la pédagogie de la formation, il me parait important de souligner que les demandes de certifications EC-COUNCIL vont crescendo auprès des grandes entreprises et des ministères, car c’est la seule Certification au monde permettant de valider vos acquis, et donc de « légitimiser » votre statut de « Pen Tester » Professionnel auprès de vos clients et employeurs.

En effet, nos projections pour 2008 sont plus que positives, puisque le gouvernement a fait appel à nous pour dispenser les cours EC-Council à une grande partie des fonctionnaires de deux Ministères très concernés par la sécurité des SI. Je vous laisse deviner de quels ministères il s’agit, la devinette est plutôt simple…….. De plus, notre planning d’inscription est quasiment bouclé pour l’année 2008, puisque nous pouvons déjà annoncer qu’environ 12 sessions sont programmées rien que pour cette année.

Quoi qu’il en soit, les Certifications Ec-Council n’ont pas finit de faire parler d’elles car elles seront évidement amenées à évoluer et progresser au fil du temps.

Pour finir, nous avons le plaisir de vous informer que nos consultants ont passé avec brios les examens formateurs CEH / ECSA LPT / CHFI, ce qui permet dores et déjà de dispenser ces cours avec une pédagogie propre à notre savoir faire.

Charles Alexandre DIDIER Responsable Commercial SYSDREAM

Mode d'emploi du service informatique de l'entreprise - Bertrand

Bertrand — Sat, 09 Feb 2008 07:08:30 +0100

Lire un texte au premier degré, le prendre pour soit et annoncer des choses fausses, où est l'erreur ?

Mode d'emploi du service informatique de l'entreprise - TMSI

TMSI — Sat, 09 Feb 2008 03:00:27 +0100

voir tous les utilisateurs professionnels si nuls, être un pro de l'informatique et être au chômage, où est l'erreur ?

Formation "Ethical Hacker" le bilan humain et technique - Christophe Pekar

Christophe Pekar — Fri, 08 Feb 2008 16:46:04 +0100

Voici un lien intéressant concernant EC-COUNCIL, qui est intitulé "Run Away From The CEH Certification" :

http://blogs.ittoolbox.com/security...

A titre d'info, je suis d'ores & déjà certifié CEH, CHFI & CISSP, donc je ne rejette pas personnellement ce genre d'accréditation vis-à-vis d'EC-COUNCIL.

Christophe Pékar.
{ Certifié CEH, CHFI, CISSP }