evant les annonces de recrutement lancées à l'occasion du dernier SSTIC et les offres qui y circulaient à peine plus discrètement, Mat en venait à se demander si une pénurie de main d'œuvre n'était pas en train de gagner le petit monde du test d'intrusion. J'aurais tendance à penser que le problème n'est pas tant dans la disponibilité de candidats potentiels que dans le type de profils recherchés. Comme le souligne Mat, le monde du pentest est petit. Mais encore faut-il s'entendre sur ce qu'on entend par pentest...
Car il ne faut se cacher que le terme "penetration testing" est depuis longtemps un buzzword. La portée est certes moindre qu'un bon vieux "cyber-whatever" des familles, mais le fait est : le pentest peut, selon les cas, englober une très large palette d'activités qui n'ont en commun que le fait d'essayer d'évaluer la sécurité d'un système de l'extérieur.
Ainsi, l'export en PDF du rapport d'un scan Nessus sera allègrement qualifié de pentest par certains, là où d'autres réserveront ce terme à une activité humaine nécessitant du temps, des compétences et de l'expérience. On sent bien qu'entre les deux, un monde existe, et qu'il est peuplé de profils forts différents aux aspirations très variées. De fait, il me semble difficile de parler de pénurie si on n'arrive pas à identifier exactement ce qui est recherché. En outre, l'apparition d'une demande soudaine pour une activité particulière, que j'aurais plus tendance à appeler génériquement "évaluation de sécurité", n'implique pas forcément qu'elle ne puisse pas être satisfaite. Ce qu'on a vu au SSTIC, ce sont des des gens qui recrutent. Maintenant, est-ce qu'ils auront vraiment du mal à staffer à hauteur de leurs objectifs ? C'est une autre question dont la réponse sera légèrement moins évidente à identifier à l'échelle du marché.
Ceci dit, dans l'hypothèse où on s'accorderait à penser que les profils recherchés nécessitent un bagage de compétences initiales en évaluation offensive, on pourrait effectivement faire face à un problème. À savoir l'absence non pas de gens motivés pour faire du pentest, mais de gens suffisamment formés pour en faire efficacement, en particulier chez les jeunes. On pourrait invoquer une armée d'explications, aussi je ne ferai qu'une constatation qui vaut ce qu'elle vaut, à savoir qu'il n'existe pas, en France et à ma connaissance, de cursus scolaire qui forme à ce genre de pratiques en école ou université. Ou du moins pas officiellement. Ce qui réduit un peu la population disponible aux gens intrinsèquement câblés à ces fins, qui s'avèrent souvent être ceux dont on déplore également la délocalisation[1]. Loin de moi l'idée de dire que personne n'aborde cet aspect de la sécurité[2] au sein de formations spécialisées ou non, seulement de constater que ça n'apparaît pas assez dans les programmes. Et que c'est fort dommage !
Il ne s'agit évidemment pas de créer ce que d'aucuns aiment à qualifier d'écoles de pirates, mais tout simplement d'aborder une activité qui fait partie depuis très longtemps des prestations de sécurité informatique. Cependant, cela pourrait ne pas être aussi simple qu'il y paraît au premier abord. D'abord parce que les prestations à caractère offensif ont du mal à être comprises pour ce qu'elles sont par le public profane. J'en veux pour preuve ce récent article du journal espagnol Público intitulé "La ciberguerra pasa al ataque" qui traite du développement des capacités offensives de la France. Si cette prose mérite un billet à elle seule, on notera néanmoins le passage qui explique[3] que les CESTI développent et utilisent des armes numériques parce qu'ils ont reçu l'autorisation du SGDSN[4] de faire... des tests d'intrusion...
Ensuite, et c'est en partie lié au point précédent, parce qu'il faut bien avouer que le test d'intrusion a un peu du mal à trouver sa véritable place dans le grand ordre des choses. Par là, j'entends qu'ils ne sont pas légions ceux qui parviennent à l'intégrer positivement dans un process d'évaluation de la sécurité. Je vois déjà les sourcils se froncer, voire se lever d'étonnement, mais globalement, le pentest tel qu'il est aujourd'hui demandé par le marché aujourd'hui, c'est un peu l'audit du pauvre : un truc court, pas cher, dont les effets se corrigent facilement par des mesures de surface et dont les conclusions désagréables ne sont de toute manière "pas pertinentes au regard des impératifs métier"[5]. Mais certainement pas quelque chose qui soit envisager comme pouvant participer significativement à l'amélioration de leur sécurité.
D'aucuns appelleront ça l'échec du pentest... Toujours est-il qu'il reste une bonne nouvelle pour une partie de ceux qui staffent. À savoir que pour répondre à ce genre de demande, la main d'œuvre se trouve assez facilement...
Notes
[1] La valorisation passe par une reconnaissance qui peut prendre la forme d'une existence scolaire.
[2] D'autant que je sais que certains le font !
[3] Modulo l'exactitude de la traduction qui m'en a été faite.
[4] <joke>Le SGDN fait de la "sécurité" maintenant</joke> ;)
[5] À se demander pourquoi ces gens demandent des pentests...