Informatique

Pour m'initier dans mon projet de travailler dans la sécurité informatique, je me suis crée un petit programme que je ferais durant mes semaines ou je serais totalement libre..

1. Appronfondir mes connaissances sur les Reseaux (Port, tcp-udp etc..)

2.Appronfondir mes connaissances sur Linux

3.Base de Python

4.Armitage ou Metasploit

5. C (j’essaierai d’apprendre complètement ce langage)

6. Notion de l’ASM, algorithme..

Qu'en pensez-vous ? Sachant que je maîtrise déjà l'HTML/CSS

Ce n'est pas "ca" la sécurité enfaite, c'est pas contre toi mais vous avez tous une fausse idée, la sécurité c'est des process, des mesures mises en places, une politique, de la documentation, de l'information, de "l'administratif" c'est ça la sécurité ...

Le 16 mars 2018 à 16:28:09 bounss a écrit :
Ce n'est pas "ca" la sécurité enfaite, c'est pas contre toi mais vous avez tous une fausse idée, la sécurité c'est des process, des mesures mises en places, une politique, de la documentation, de l'information, de "l'administratif" c'est ça la sécurité ...

je comprend pas
Ta pas une vidéo plus clair?

Aucune vidéo ne pourra expliquer des 10zaines de bonnes pratiques

Ce n'est pas "ça" non plus la sécurité à vrai dire, c'est pas contre toi, mais tu tombes dans le même travers que tu perçois chez l'auteur, la sécurité ne se limite bien évidemment pas à la technique, ni à la gouvernance, mais englobe les deux, donc il n'y a rien d'incorrect dans son message initial

Sauf que non, la technique c'est pour les autres, la sécurisation réseau ?? l'équipe réseau, la sécurité sur le système d'exploiration ? l'équipe administrateur poste de travail, la sécurité des données ? les admins système ...,, chaque service s'occupe de son rôle, et des politiques de sécurité que l'équipe sécurité a fait dans un cahier des charges.

Quand tu recherches un poste en tant qu'expert sécurité, on te demande pas de programmer, de concevoir quelques choses mais d'améliorer, de créer quelques chose, de faire des analyses avec des choses "existantes".

Tu mets en place une amélioration en faisant de la cryptographie, en mettant en place des moyens d'authentification plus sur, mais ton rôle c'est de faire le cahier des charges, de dire ce qu'il faut faire, pas de le mettre en place ... tu supervises.

Ton rôle c'est la sécurité pas l'infra, et si l'auteur veut créer les technologies de demain il faudra qu'il soit scientifique

Déjà c'est un très mauvais exemple, expert sécurité c'est un terme fourre-tout qui peut vouloir dire absolument tout et n'importe quoi. Et il y a des "experts sécurité" comme tu dis qui passent leur temps à faire de la rétro-ingénierie derrière leur clavier par exemple. Donc, si.

Un mauvais exemple au même stade qu'ingénieur

Euh, là je suis pas, on demande pas de concevoir, mais on demande de créer ?

Ouais change créer par appliquer ça marchera mieux

1) Ben, le scientifique qui développe la nouvelle technologie il fait aussi de la sécu, donc ton exemple est incohérent, parce qu'à lui on lui demande bien de créer un truc nouveau, si je suis ton raisonnement.

Sauf que c'est pas le même domaine donc rien incohérent. Un informaticien c'est avant tout une personne qui applique des choses existante, tu programmes avec un langage qui existe, tu utilises des solutions logiciel et matériel qui existe ... tu les utilises en revanche pour créer des services.

2) la prémisse fausse montre que tu continues à amalgamer gouvernance et sécurité informatique

Ou je me met dans le contexte de l'auteur, mais il voulait surement toucher au kernel d'un firewall cisco en faisant du python et de l'html 5

Et pour en revenir au audit ... c'est avant tout de la paperasse les tests se font en interne. Sauf si tu parles d'une PME de 30 personnes qui font de la farine en bretagne ...

il y a aussi la gestion de projet en sécurité informatique ne pas l'oublier !

j'ai dit que je connaissais l'html/css juste pour dire mes compétence, j'ai envie de m'orienter vers d'autre trucs que le langages web

sinon merci des messages

Un informaticien c'est avant tout une personne qui applique des choses existante, tu programmes avec un langage qui existe, tu utilises des solutions logiciel et matériel qui existe ... tu les utilises en revanche pour créer des services.

Ça c'est la vision pisseur de code de SSII juste bon à prendre le framework X, le framework Y puis d'assembler le tout pour pondre une appli, le plus souvent avec du code dégueulasse vu que la plupart des bons ne veulent pas rester en SSII, qui ne sont finalement que des boîtes "d’intérim de luxe" sous un nom différent.

Il existe encore des vraies informaticiens qui font autre chose que du bête assemblage de framework pour des applis de gestion sans jamais innover ni piger comment ça fonctionne en dessous. C'est de plus en plus rare mais ça existe.

2) la prémisse fausse montre que tu continues à amalgamer gouvernance et sécurité informatique

Non mais tu parles à bounss là, c'est le type qui te dis qu'un ingé/bac+5 en info ça se résume à chef/manager, d'où l'amalgame que tu pointes.

Il le fais très bien ici :

Tu mets en place une amélioration en faisant de la cryptographie, en mettant en place des moyens d'authentification plus sur, mais ton rôle c'est de faire le cahier des charges, de dire ce qu'il faut faire, pas de le mettre en place ... tu supervises.

C'est cohérent avec une autre connerie qu'il m'a sortie sur un autre topic :

Au niveau +3-+5 tu fais plus du social que de la technique, donc effectivement on peut dire que tu branle rien dans le milieux visé

l'informatique c'est énormément de blabla, n’espère pas une seul minute faire plus de technique que de social en master ou alors ta rien compris aux études supérieur.

Je ne comprends pas pourquoi il veut à chaque fois absolument limiter l'informatique "en vrai" par chef de projet/manager/faire de la paperasse/mettre en place des process/pilotage/faire gratte-papier au détriment de tout ce qui est technique, r&d, développement de solution.

Je sais bien qu'en France nos décideurs incompétents et dépassés (pour la plupart) ont tendance à voire l'informatique que comme un centre de coût, méprisent la partie technique et s'imaginant faussement que toute la partie technique/dev peut être donné à des indiens ou des stagiaires à pas cher (ce qui est faux, c.f voir la définition de dette technique).

Mais c'est pas une raison pour en faire autant, c'est dommage que tu tombes la dedans si tu pratique l'info.

La classe le partage en couille de ce topic

La classe le partage en couille de ce topic

Mais il n'y a pas de partage en couille.
Si tu as des arguments nous sommes tout ouïe.

ça je soupçonne que ce soit parce que c'est ce qu'il fait que c'est la seule facette qu'il connait

Sûrement, d'ailleurs il m'a déjà sortie que le boulot en info en dehors des SSII ça n'existe pas en France.
Il a dû être contaminé par la vision des décideurs qui s'imaginent que la toute la technique peut-être déléguée à des techniciens, des prestas démotivés, des stagiaires ou bien délocalisée en Inde.

Et qui viennent ensuite s'étonner que les softs qui en résultent soit buggés et bourrés de failles de sécurité jusqu'au trognon.

Pour l'auteur :

j'ai dit que je connaissais l'html/css juste pour dire mes compétence, j'ai envie de m'orienter vers d'autre trucs que le langages web.

Avant de vouloir faire de la sécu il va surtout falloir apprendre l'informatique de base : algo, réseau, architecture des machines, des bases en maths (surtout algèbre/graphs et automates).
Le python est un bon choix parce que le dev d'exploit et de poc se font souvent là dessus et que beaucoup d'outils forensic/secu/réseau sont écrit sur ce langage comme scapy.

Mais pour un apprentissage le langage ce n'est pas important en fait, c'est surtout les concepts que tu dois apprendre pas un langage en particulier. Mieux vaut commencer par un langage à typage fort et pas trop permissif (option -Wall du compilo si tu fais tu C). Évites de débuter tout de suite par de l'interprété trop permissif comme python/js/php ça risque de te donner de mauvaises habitudes.

Maintenant je ne veux pas te faire peur mais finir d'apprendre toutes les bases en autodidacte avant même de commencer tes études supérieurs relève de l'utopie. Beaucoup qui veulent commencer comme ça finissent surtout par faire n'importe quoi, ne connaissent pas les fondamentaux, manque de recul et ont pleins de mauvaises habitudes dont ils n'arrivent pas à ce débarrasser, merci les cochonneries comme le SDZ.

Sans même entrer dans la partie sécu, apprendre toutes les bases élémentaires ça prend au moins 2/3 ans d'études, la durée d'un DUT ou d'une licence. La sécu vraiment sérieuse ça ne commence pas avant bac+4.

Après si il y a un truc que je peux te conseiller c'est les bouquins de Tanenbaum (Go google) surtout ceux sur les OS et les réseaux. Ils sont beaucoup moins compliqués qu'ils en ont l’air.

L'avantage de ces bouquins c'est qu'ils sont assez intemporels dans le temps et peuvent t'accompagner jusqu’à la fin de tes études et même après.
Donc même si tu ne piges pas la moitié du bouquin pour l'instant c'est pas de l'argent perdu, même dans 10 ans ils ne seront pas obsolètes.

C'est toujours le domaine de la sécurité informatique, donc si.

La sécurité va de la gestion des niveaux des niveaux d'alerte, les mesures prisent, la formation des utilisateurs, les solutions logiciel et matériel, la recherche et j'en passe ... donc non, c'est tellement énorme comme domaine que ça en devient un domaine "général".

Non mais tu parles à bounss là, c'est le type qui te dis qu'un ingé/bac+5 en info ça se résume à chef/manager, d'où l'amalgame que tu pointes.

A parce que tu comptes faire de l'admin sys avec un bac +5 ? fini tes études tu comprendras qu'on en a pas besoins, après si tu craches sur plusieurs milliers d'euro par an c'est toi que ca regarde, mais perso j'ai pas fait des études pour finir technicien.
En revanche je n'ai toujours pas vu ou j'avais dit que ça se résumait a cela tu chercheras a ma place.

Je ne comprends pas pourquoi il veut à chaque fois absolument limiter l'informatique "en vrai" par chef de projet/manager/faire de la paperasse/mettre en place des process/pilotage/faire gratte-papier au détriment de tout ce qui est technique, r&d, développement de solution

Surement parce que c'est comme ca que fonctionne la société d'aujourd'hui ? surement parce que c'est des usines a prestataire, mais d'ailleurs ca me fait rire quand tu tapes sur les SSII alors que c'est la population la plus présente avec les boites d’intérim ...

Parce que dev de solution tu peuxp as etre chef de projet ou manager dessus ? idem pour la R&D qui d'ailleurs s'adresse plus a un profil de chercheur ...
Mais bon ravis de savoir qu'un chef de projet, qu'un product manager ou autre ne faisait pas de technique, pourtant c'est d'ailleurs la monter de compétence que peut bénéficier un ingénieur logiciel

Je sais bien qu'en France nos décideurs incompétents et dépassés (pour la plupart) ont tendance à voire l'informatique que comme un centre de coût, méprisent la partie technique et s'imaginant faussement que toute la partie technique/dev peut être donné à des indiens ou des stagiaires à pas cher (ce qui est faux, c.f voir la définition de dette technique).

Mais c'est pas une raison pour en faire autant, c'est dommage que tu tombes la dedans si tu pratique l'info.

Monte ta boite et devient PDG et pourquoi pas ... on pourrait refaire le monde, ne plus avoir d'actionnaire, avoir des utilisateurs et des clients qui ont du bon sens, avoir des prestataires qui font correctement leurs travail et dans les temps, des solutions stable et innovante, a belle utopie n’empêche ca fait rêver.

Sûrement, d'ailleurs il m'a déjà sortie que le boulot en info en dehors des SSII ça n'existe pas en France.

Il a dû être contaminé par la vision des décideurs qui s'imaginent que la toute la technique peut-être déléguée à des techniciens, des prestas démotivés, des stagiaires ou bien délocalisée en Inde.
Et qui viennent ensuite s'étonner que les softs qui en résultent soit buggés et bourrés de failles de sécurité jusqu'au trognon

Nan pour plusieurs raisons qui a mon sens son logique,, mais pas quand ta seul fonction c'est de pisser du code:
Mais après si tu es pret a embaucher des personnes pour un service qui n'est absolument pas le domaine de compétence de ton entreprise, que tu n'as aucune garantie de fonctionnement et des risques derriere, que tu es prêt a former tes salarié et donc de perdre du temps, que tu n'es pas assuré contre les risques, que tu ne pourras pas les faires monter en compétence .... alors n'hésite pas a le proposer dans ta boite embaucher des internes ! et perd ton argent après tout ton PDG ne gèle pas le budget de ton service info

Pour les entreprise au fond de la Creuse .... désolé je connais pas les petites entreprise de farine familial.
Mais une simple personne même sans niveau d'étude, avec l'envie et de la détermination, pourra te faire fonctionner des choses basique.

Tiens ça me fait penser, a l'époque j'avais fait un stage dans une entreprise, les mecs étaient 2, la depuis 20 ans, n'avaient pas fait d'étude d'informatique de leurs vie, juste ils savaient se débrouiller, et géraient l'informatique d'une boite de 500 personnes mondialement connu, j'ai trouvé ça ... marrant

Surement parce que c'est comme ca que fonctionne la société d'aujourd'hui ? surement parce que c'est des usines a prestataire, mais d'ailleurs ca me fait rire quand tu tapes sur les SSII alors que c'est la population la plus présente avec les boites d’intérim ...

Je sais bien que la large majorité du boulot en informatique c'est en SSII, ce que je te dis c'est que c'est quand même largement possible de les éviter quand on s'en donne vraiment les moyens.

On est bien d'accord que le dev lambda qui ne sait faire que du Java ou du web n'ira probablement pas ailleurs qu'en SSII. Mais en étant très bon, ou avec un bon profil sur certains domaines elles sont tous à fait évitables. Des gens qui ne sont jamais allés en SSII j'en ai vu pleins.

Mais il faut bien se renseigner pour savoir comment les éviter, beaucoup trop commencent à vraiment se renseigner qu'après avoir finit leurs études, là c'est trop tard, eux c'est sûr qu'il ne risque pas d'aller ailleurs qu'en SSII.

En revanche je n'ai toujours pas vu ou j'avais dit que ça se résumait a cela tu chercheras a ma place.

Ce n'est pas toi qui m'a dis plus d'une fois "On ne fait pas BAC+5 pour devenir dev/faire de la technique" ?

A parce que tu comptes faire de l'admin sys avec un bac +5 ?

Non je n'ai pas parlé d'admin sys en particulier. Perso je compte faire aussi de la sécurité plus tard (en M1 sécu pour l'instant).

Mais bon ravis de savoir qu'un chef de projet, qu'un product manager ou autre ne faisait pas de technique, pourtant c'est d'ailleurs la monter de compétence que peut bénéficier un ingénieur logiciel

Oui il existe encore des bons chefs/managers qui ont fait des années de technique avant mais il y a aussi beaucoup de glands, à cause de cette manie de vouloir faire chef à la sortie de l'école ou au bout de seulement 2 ans d'xp.
Parce que quand tu vois le niveau de certains chef/manager en SSII, tu te demandes si ils ont vraiment fais de la technique avant.

Il y en a qui sont quand même capables de te sortir des énormités comme "On ne fais pas des tests unitaires ça coûte trop cher et ça ne sert pas à grand chose car c'est pas une feature." et qui viennes s'étonner quand il y a des régressions ensuite. Je doute que ceux là aient fait beaucoup de technique.

la R&D qui d'ailleurs s'adresse plus a un profil de chercheur ...

Un chercheur fait plus de la recherche fondamentale. Pour de la r&d appliquée, pas la peine de sortir d'un doctorat, il y a beaucoup de bac+5 (enfin pas les nuls avec un titre RNCP pour eux c'est inaccessible ).

embaucher des internes ! et perd ton argent

Voilà là tu raisonnes à court-terme comme certains décideurs.
Sur le court-terme, oui on est bien d'accord que les SSII c'est super et ça semble coûter pas cher.

Sur le long terme ça à des effets catastrophiques. Dettes techniques énormes, plus aucunes compétences en interne, perte de maîtrise, code de mauvaise qualité à la force de vouloir de la viande pas cher, coût de maintenances énormes, turn-over énorme des ssii qui créer aussi son lot de problèmes...

C'est comme quand tu fais l'erreur sur un autre topic de me sortir qu'une armée de stagiaire coûte soit disant moins cher que de bons devs expérimentés : c'est tout à fait vrai... sur le court-terme.
Sur le long terme ça coûte plus cher, notamment en dette technique et de sécurité.

Une partie du problème est expliqué ici :http://lolcx.blogspot.fr/2014/02/from-blog.html
J'avais lu il y a quelque temps un article qui expliquait de manière beaucoup plus complète les problèmes que posent l’externalisation à outrance mais pas moyen de le retrouver. Si je le retrouve je peux toujours te l'envoyer.