Bertrand Arquilliere : Systèmes, réseaux et sécurité

Commentaires

1. Le lundi 9 juillet 2007, 10:45 par Georges

Bonjour (merci pour les commentaires sur mon blog).

En lisant ton billet je me dis que cette formation (comme beaucoup d'autres) a pour seul but de vendre une pseudo-certification qui fera bien sur un CV.... et fera éventuellement plaisir à un DSI ... ou pire : servira à une SSII à vendre une prestation bidonnée à une entreprise qui se croira en sécurité alors qu'un gamin fera mieux que le "consultant" de la SSII !

Heureusement pour toi tu semble en savoir assez sur la sécurité pour être vraiment sérieux, mais combien de ceux qui ont suivi cette formation sont dans le même cas ?

PS: Pour répondre à la question que tu as posée sur mon blog, oui je suis freelance.

2. Le mardi 10 juillet 2007, 11:02 par Boris

Bonjour,

Effectivement, je rejoins Georges sur ce qu'il dit. On va finir par avoir encore d'autres certifications qui n'ont pour but que de faire s'émerveiller les recruteurs n'ayant jamais vu à quoi elles ressemblaient réellement.

Mais comme le dit si bien Georges, combien de personnes affichant ces certificats ont de réelles compétences. Personnellement, je préfère toujours remettre en cause ces certifications pour tout un tas de raisons (passé il y a trop longtemps, basé sur de l'apprentissage "par coeur", ne reflètent pas une réelle expérience, etc) et tenter de voir si une personne sait de quoi elle parle.

Je vais pas revenir sur la discussion "diplôme VS compétences et expérience", ça me semble tellement proche...

3. Le mardi 10 juillet 2007, 13:32 par arquilliere

Je me dis que cette certification est en fait là pour rassurer les recruteurs et nos entreprises, plus que là pour certifier vraiment des compétences. Elles servent donc au "certifié" a poser son CV au regard des entreprises et pas à mettre en avant de réelles compétences (en tout cas pour CEH je ne puex pas juger d'autres certifs n'en ayant pas suivi les formations)

4. Le jeudi 12 juillet 2007, 15:04 par ADI

Effectivement les commentaires postés sur cette certification sont justes...

l'article suivant vous confortera dans l'idée......

PS : Mais comme vous le savez, la France est un pays encore trop cartésien!!!

Des bénéfices mutuels

La valeur première d'une certification pour un salarié repose sur la reconnaissance de son expérience professionnelle et le développement de ses compétences. Des atouts qui lui seront précieux pour la valorisation de son parcours et son évolution de carrière. L'impact de la certification sur la rémunération apparait en revanche plus difficilement mesurable, du moins directement.

"La certification va permettre à son titulaire d'accéder plus facilement aux missions qu'il souhaite. Dans notre secteur de la finance par exemple, vous avez naturellement des missions plus intéressantes que d'autres. Avoir une certification offrira ainsi plus de chances de les décrocher. De la même façon, la certification est un accélérateur de carrière. En remplissant des missions plus valorisantes obtenues grâce à une certification, vous donnez plus de valeur à votre CV", estime le PD-G de Cadextan.

En outre, si le salarié s'engage dans cette démarche, il peut espérer une prise en charge totale des frais de certification, à condition toutefois qu'elle reste en adéquation avec la mission réalisée pour le compte de l'entreprise : coût du cursus, frais d'inscription, annales, ouvrages, licences logicielles, mise à disposition d'un ordinateur, etc.

"Ce qui fera la différence, ce sera l'implication d'un salarié, quitte pour lui à y consacrer du temps personnel, voire du DIF. L'employabilité est une notion qui permet de prendre conscience que se former est certes important pour l'entreprise, mais également pour le collaborateur afin notamment d'éviter de s'engager sur un parcours professionnel trop fragile", déclare Ludovic Catérina.

La certification devrait monter en puissance dans les entreprises : dans le conseil en raison de la sensibilité de la clientèle, mais aussi dans certaines autres secteurs, principalement des acteurs américains, du fait de l'importance de la mise en conformité et de la réglementation. SAP va ainsi dès cette année revoir son programme de certification, notamment en la décomposant en trois niveaux (Associé, Professionnel, Master), contre un seul précédemment.

"Nous allons diffuser la liste de l'ensemble des certifiés et les recenser chez nos partenaires. Cela apportera non seulement plus de visibilité, mais incitera également à développer la certification. Toutes ces données devraient être publiées à partir de juillet. Ce système catégorisera les profils et combiné à la visibilité des certifiés, il permettra aux clients de chercher et d'accéder aux compétences répondant à leurs besoins", estime Thibault Lebouc.

Du côté des entreprises, les bénéfices sont bien évidemment de pouvoir répondre aux préoccupations de leurs clients. "Même si nous sommes actuellement sur un marché porteur, les clients ont toujours le choix et n'ont pas forcément le temps de tester des consultants. Et donc lorsqu'on propose des consultants certifiés, cela contribue à les rassurer et accroit les chances de notre entreprise d'être retenue. Nous avons également choisi d'avoir une image haut de gamme sur le marché. Et le fait de disposer de gens certifiés y contribue nettement", confirme Didier Neyrat.

5. Le jeudi 12 juillet 2007, 15:23 par Bertrand

Merci ADI pour ce complément d'informations sur les certifications, en l'occurrence je ne dénonce pas le principe des certifications qui permettent à des gens peu diplômés (comme moi) de revaloriser leur CV.
Je dénonce par contre le contenu de cette certification en particulier, qui n'est pas à jour.
Je me vois mal prétendre à un poste d'auditeur technique si je ne sais faire que des null session ou du directory traversal et en plus, pour citer le formateur que nous avons eu à cette formation "L'idée c'est de connaitre un maximum d'outils d'exploit pour les lancer les uns à la suite des autres jusqu'à ce qu'il y en ai un qui passe". Il faut avouer que ça ne fait pas sérieux.
Alors effectivement je prends cette certification pour ce qu'elle est : une revalorisation de mon CV aux yeux des recruteurs

Concernant l'article que vous citez, heureusement que les entreprises se basent sur une certification et ne testent pas leur consultants, parceque dans le cas du CEH, il y aurait des surprises.

Mais comme dit (ou pas) dans mon billet initial je ne vais pas m'arrêter là, j'ai bien l'intention d'aller jusqu'à la certification ECSA/LPT voir même enchaîner sur le MSS (Master in Security Sciences).
Vous risquez de me revoir dans vos locaux à Paris avec ma bonne humeur et ... mon franc parler

6. Le vendredi 20 juillet 2007, 10:06 par Claire Kemp

J'apprécie votre franc-parler... même si j'aurais aimé qu'il s'applique d'abord sur la fiche d'évaluation sur le cours CEH, qui vous a été remise en fin de session. J'ai votre fiche sous les yeux, elle est quasiment vide! Représentante en France pour EC-Council, j'aimerais utiliser vos commentaires de manière constructive. Et aider à balayer certains malentendus. Et aussi vous rassurer sur le contenu de la certification! Etes-vous disponible pour en discuter?

7. Le vendredi 20 juillet 2007, 10:13 par Bertrand

Claire, oui je suis disponible pour en parler avec vous. Mon numéro de tél se trouve sur la fiche, ou bien sur mon CV sur ce blog.
Si ma fiche est vide c'est pour la simple est bonne raison que je ne voulais pas être cassant pour le formateur vis à vis de son entreprise, ensuite, si personnellement je n'ai presque rien appris lors de cette formation, ce n'est peut être pas les cas de ceux qui étaient eux aussi présent.
Enfin, OK pour en discuter par email ou tél, de façon constructive ... l'homme de la pampa est parfois rude mais reste toujours courtois

8. Le vendredi 20 juillet 2007, 11:17 par bertrand

Je me permets de m'auto-répondre suite à notre conversation téléphonique.
Quand je dis dans mon commentaire précédent que "Si ma fiche est vide c'est pour la simple est bonne raison que je ne voulais pas être cassant pour le formateur vis à vis de son entreprise", il s'agit de ne pas mettre dans le même "panier" le formateur et le programme d'une formation. Notre formateur reste pour moi crédible, dans la mesure où il pratique le difficile exercice de la sécurité tous les jours.

9. Le vendredi 20 juillet 2007, 11:52 par Claire Kemp

Merci de votre temps! Et de votre désir manisfeste d'être constructif.
Au plaisir de lire vos commentaires détaillés!

10. Le mardi 16 octobre 2007, 15:55 par Julien

J'ai passe l'examen CEH apres avoit suivi la formation a Amsterdam.
Le formateur etait vraiment tres pro et tres competent. Meme si je n'ai pas vraiment appris de choses, je trouve que cette formation s'adresse plus a un public "non connaisseur" du penetration testing.

11. Le mercredi 17 octobre 2007, 06:35 par Bertrand

Exact Julien, la formation s'adresse, je pense, à un public qui n'a jamais pratiqué le pen-test.
Tu as eu la certif ?

12. Le vendredi 8 février 2008, 16:46 par Christophe Pekar

Voici un lien intéressant concernant EC-COUNCIL, qui est intitulé "Run Away From The CEH Certification" :

http://blogs.ittoolbox.com/security...

A titre d'info, je suis d'ores & déjà certifié CEH, CHFI & CISSP, donc je ne rejette pas personnellement ce genre d'accréditation vis-à-vis d'EC-COUNCIL.

Christophe Pékar.
{ Certifié CEH, CHFI, CISSP }

13. Le jeudi 21 février 2008, 11:11 par Charles-Alexandre DIDIER

Content de constater que le CEH suscite autant de débat, cela prouve bien que le sujet n’est pas dénué d’intérêt.

Malgré quelques remarques légitimes au niveau de la pédagogie de la formation, il me parait important de souligner que les demandes de certifications EC-COUNCIL vont crescendo auprès des grandes entreprises et des ministères, car c’est la seule Certification au monde permettant de valider vos acquis, et donc de « légitimiser » votre statut de « Pen Tester » Professionnel auprès de vos clients et employeurs.

En effet, nos projections pour 2008 sont plus que positives, puisque le gouvernement a fait appel à nous pour dispenser les cours EC-Council à une grande partie des fonctionnaires de deux Ministères très concernés par la sécurité des SI. Je vous laisse deviner de quels ministères il s’agit, la devinette est plutôt simple…….. De plus, notre planning d’inscription est quasiment bouclé pour l’année 2008, puisque nous pouvons déjà annoncer qu’environ 12 sessions sont programmées rien que pour cette année.

Quoi qu’il en soit, les Certifications Ec-Council n’ont pas finit de faire parler d’elles car elles seront évidement amenées à évoluer et progresser au fil du temps.

Pour finir, nous avons le plaisir de vous informer que nos consultants ont passé avec brios les examens formateurs CEH / ECSA LPT / CHFI, ce qui permet dores et déjà de dispenser ces cours avec une pédagogie propre à notre savoir faire.

Charles Alexandre DIDIER Responsable Commercial SYSDREAM

14. Le jeudi 21 février 2008, 15:04 par Michel

A Christophe Pekar, est-ce que les certifications EC Council t'ont apportées qq chose popur la certification CISSP. En fait, j'hésite à passer la CISSP directement et envisage la certification ECSA d'EC Council.
Qu'en penses-tu?

15. Le mardi 4 mars 2008, 13:44 par Christophe Pékar [AKAOMA Consulting & E-Intelligency]

Pour réponse à Michel: je possède d'autres certifications orientées sécurité informatique, et j'en passe d'autres (en l'occurence CISM en juin puis qq certifications forensiques US ensuite). Donc je dispose d'un bon 'background' technique (!), mais concernant le CEH et autres certifs d'EC COUNCIL (je possède toutes leurs certifications, je les connais donc bien!) l'approche est complètement différente avec le CISSP qui se veut + large (10 domaines du Common Body Knowledege) mais bcp + superficiel (pas besoin d'être hypra pointu techniquement). Cette certif CISSP s'adresse d'ailleurs plus aux (futurs) managers intervenants sur la partie informatique.

En toute honnêteté, les 2 orientations sont complètement différentes, tout dépend de ton profil et surtout ce que tu souhaites faire à l'avenir. Il y a complémentarité des 2 certifs. Mais l'ECSA n'est absolument pas une fin en soi, d'autres certifications se veulent + techniques encore (ex: offensive security), selon ce que tu souhaites faire.

En ma qualité de consultant indépendant, je vais sous peu proposer des certifications sécurité (sessions de training, bootcamp,etc..) dès lors que j'obtiendrai les accréditations nécessaires (en cours avec plusieurs structures leader en la matière). Désolé SYSDREAM, vous ne serez plus seuls sur le sol Français!

J'en profite pour faire de la pub (comme Charles Alexandre DIDIER ci-dessus), j'interviens en tant qu'Expert Sécurité IT au niveau national & international pour toutes missions liées à la sécurité: audits, pen testing, analyses forensiques, etc... Possibilité de former vos équipes (à tous niveaux). Contactez moi!

PS: C.A. DIDIER de SYSDREAM, pouvez-vous SVP nous communiquer un lien indiquant la répartition des certifiés EC COUNCIL en France et dans le monde? Haja, directeur technique d'EC COUNCIL, n'arrive pas à me transmettre cette réponse... étrange?!!?

Salutations.
C.PEKAR

Certifications Sécurité informatique: Comptia Security+, Microsoft MCSE:Security System Engineer, MCITP, Ec-Council C|EH & C|HFI & E|CSA & L|PT, (ISC2) CISSP, CWNA & CWSP Certified Wireless Security Professional

Autre certifications: IBM DOMINO PCLP r4 à r8, ITIL Foundation IT Service Management

16. Le mercredi 5 mars 2008, 07:19 par Bertrand

Je suis ravi de voir que ce billet est devenu un lieu d'échange d'avis et d'impressions sur les différentes certifs.
En ce qui me concerne, je ne me suis toujours pas inscrits pour passer la certif CEH (j'ai jusqu'en juillet 2008), et au final je ne suis pas certain de vouloir poursuivre vers ECSA/LPT, puisque je passe en avril la certif "Lead Auditor ISO 27001" et j'enchainerai ensuite vers la fin de l'année avec la CISSP.
Concernant le master en security sciences ... et bien je passe ma soutenance pour un master 2 "Organisation et protection des S.I en entreprise" en juillet 2008.

Encore merci pour vos différentes interventions, c'est très instructif.

17. Le vendredi 7 mars 2008, 05:24 par Christophe Pékar

Bertrand,
Si toutefois je peux te formuler un conseil (n'y voit aucune condescendance de ma part!), passe vraiment au plus vite ta certif! (mars/avril au plus tard). Car actuellement la CEH est en v5, et dès le mois de mai elle entre en phase v6 (donc le contenu de ta formation ne sera plus à 100% en phase avec l'exam). Si tu veux je suis en contact avec ECCOUNCIL je pourrai obtenir sinon le contenu v6 à l'occasion.

Christophe Pékar.
Consultant Indépendant - IT
... le savoir ne vaut que s'il est partagé par tous!...

18. Le jeudi 13 mars 2008, 09:42 par Jonas MBONGUI

Bonjour à tous,

Pour ceux qui veulent passer le CISSP, je possède des CDs(11 au total) d'autoformation (Elearning) en anglais qui permettent une vision globale sur les 10 domaines concernés par cette certif.

Je suis à la recherche d'un study guide de CEH v5. Actuellement j'ai la version 3.

J. MBONGUI
RSSI

19. Le mardi 18 mars 2008, 10:38 par Christophe Pékar [AKAOMA Consulting & e-Intelligency]

Pour Jonas: je peux te communiquer le study guide CEH v5. Mail: cpekar at akaoma dot com

20. Le mercredi 23 juillet 2008, 11:51 par Damiens

Bonjour,

N’étant pas intéressé par une certification, mais surtout de ne pas gaspiller 5 jours de formation, que conseilleriez-vous à choisir entre les deux :
- EC Council Certified Security Analyst / LPT (http://www.sysdream.com/section_125...)
- Réalisation pratique des Tests d'Intrusion de HSC (http://www.hsc.fr/services/formatio...)
Merci d'avance de tout votre commentaire.

21. Le mardi 29 juillet 2008, 10:08 par Bertrand

Bonjour Damiens,

Une formation est certifiante, l'autre pas. Je ne peux pas me prononcer pour vous aider à choisir car je n'ai suivi aucune de ces deux formations. J'ai par contre suivi une formation EC Council (CEH) et une formation HSC (Lead Auditor ISO 27001).
Sans vouloir ouvrir de polémique, si vous n'êtes pas intéressés par une certification, je pense que la formation HSC sera effectivement très pratique, peut être plus que celle de EC. Mais je parle sans savoir, en m'appuyant uniquement sur mon expérience EC Council et mon expérience avec HSC.

Si vraiment la certification n'est pas pour vous une finalité, je serai tenté de dire : HSC.

Par contre réfléchissez y bien, une certification sur un CV c'est toujours revalorisant

22. Le mercredi 30 juillet 2008, 05:25 par soulisson

Bonjour,
Je vous prie dans un premier temps de m'excuser pour ce commentaire légèrement en décalage par rapport aux billets précédents.
Je suis en école d'ingénieur et je souhaiterai compléter ma formation initiale par une formation complémentaire dans le but de faire des pentests.
Je me demandais donc si les lecteurs de ce blog fabuleux connaîtraient des formations universitaires efficaces susceptibles de répondre à mon besoin.
Je suis également preneur de tout conseil susceptible de m'aider dans cette voie.
En vous remerciant d'avance.

23. Le mercredi 30 juillet 2008, 09:15 par Bertrand

Bonjour Soulisson,

Je sais qu'il existe à Rennes un Master 2 en sécurité réseau.
A Lyon, il y a le master 2 OPSIE, mais pas spécialisé en pen tests.
Après tu as la batterie de formation type CEH ou pen tests dispensées par HSC.

Bonne continuation

24. Le dimanche 24 août 2008, 08:38 par Sam

Bonjour tous le monde.

Désolé également de dériver le sujet, j'ai lu tous vos commentaires interressants.

Ma question se rapproche de celle posé juste avant..
J'ai arrêté mes études en informatique(bac+1). Je développe en C/Python, et comprends l'ASM.
J'ai de bonne connaissance sur les protocoles TCP/IP, et sur les méthodes de pentest en général(vulnérabilité applicative & web).
J'ai également une bonne connaissance des systèmes UNIX.

J'ai donc une énorme envie de poursuivre cette passion, mais ce n'est pas aussi facile sans un background et des dîplomes de Bac+3/+5...
J'ai 21 ans, et les formations en informatique des écoles publics ne vâlent pas grand chose(dut info...) dans le domaine du pentest. Concernant le privé, une école se démarque(epitech) mais le prix est inabordable...

Comme on le soulignait au dessus, en France, on préfére valoriser les dîplomes que la motivation et l'expérience.

J'en reviens à vous demander conseil.

1) Aurait-il en France des sociétés de pentest seraient suceptible de me prendre?
Un stage serait même interressant si les domaines cités sont abordés.

2) Si oui, pouvez-vous en citer ?

3) Si vous cherchez quelqu'un à former ou tester vos formations, je suis là :))

Merci beaucoup pour vos futures réponses!
Sam.