Métier Cyber : le Pentester

Pendant ce mois de la Cybersécurité, Africa CyberSecurity Mag vous propose de visiter dans une rubrique "Métiers Cyber" les métiers dans la Cybersécurité  qui présentera tous les deux jours un métier clé de l'univers de la cybersécurité.

MÉTIER DU JOUR : Pentester

Le Pentester est un consultant sécurité technique qui identifie les failles de sécurité au sein d'un réseau ou d'un système. Il s'agit souvent de consultants externes, autorisés par une entreprise à réaliser des audits de sécurité sur leur écosystème informatique, et à identifier les risques potentiels de cybersécurité. Normalement, un pentester commence par effectuer une reconnaissance sur les systèmes de son client, à la recherche d'éventuelles vulnérabilités. Ensuite, ils essaient d'infiltrer les systèmes en exploitant ces vulnérabilités, et ont finalement accès aux données critiques.

Le pentester fait partie de la famille “Conseil, Audit, Expertise (CAE)”. C’est un métier totalement dédié sécurité


I. APPELLATIONS D'EMPLOIS LES PLUS COURANTES

  • Consultant sécurité
  • Consultant gouvernance, risques et conformité
  • Consultant avant-vente
  • Auditeur technique sécurité et test d'intrusion
  • Pentester
  • Information security auditor
  • Expert audit sécurité et intrusion
  • Spécialiste cybersécurité
  • Security Control Assessor
  • Ethical Hacker

II. MISSION GLOBALE

Le pentester est généralement chargé d’identifier les failles de sécurité au sein du réseau ou du système d’une entreprise sous autorisation de celle-ci et de soumettre ensuite un rapport.

III. ACTIVITÉS PRINCIPALES

Selon son domaine d’expertise, le consultant technique effectuera des prestations dans les domaines suivants :

  • les travaux en lien avec les applications et les services sécurisés (mise en œuvre et configuration, analyse de la sécurité...)
  • les travaux en lien avec les systèmes d’exploitation (mise en œuvre et configuration, audit de configuration, test de pénétration...)
  • les travaux en lien avec les réseaux (mise en œuvre et configurations d’équipements sécurité, test de pénétration...)
  • les travaux en liens avec du matériel (mesures de signaux compromettants, analyse logique, conception de produits matériels sécurisés...)
  • la rétro ingénierie (logicielle ou matérielle)
  • la cryptographie 
  • l’analyse post-mortem (investigation numérique, forensique)
  • Génération de rapports
  • Création de recommandations de remédiation


IV. POSITION EN ENTREPRISE

Le Pentester est plus souvent un consultant externe à l’entreprise. Toutefois, certaines entreprises peuvent disposer au sein de leur équipe informatique d’un pentester. Cela ne doit pas empêcher l’appel à un consultant pour évaluer la sécurité avec un regard externe.

V. COMPÉTENCES CLÉS

1. Compétences coeur de métier

  • Réseaux informatiques
  • Composantes réseau
  • Réseaux sans fil
  • Matériel de salle des serveurs
  • Logiciels et services
  • Administration  système
  • Services réseau
  • Active Directory
  • Outils de ligne de commande
  • Scripting Shell
  • Langage de programmation
  • Capacité à trouver des PoC et des exploits
  • Bases de données
  • Technologies Web
  • Technologies mobiles
  • Cryptographie
  • Cracking de mot de passe et de hachage
  • Sécurité physique
  • Audit et conformité

2. Compétences transverses

  • Créativité et adaptabilité
  • Réévaluation
  • Rigueur et Organisation
  • Sens Relationnel


VI. CERTIFICATIONS

La liste des certifications citées ici est non exhaustive.

  • EC-Council Certified Ethical Hacker (CEH)
  • EC-Council Licensed Penetration Tester (LPT) Master
  • IACRB Certified Penetration Tester (CPT)
  • Certified Expert Penetration Tester (CEPT)
  • CompTIA PenTest+
  • Global Information Assurance Certification (GIAC) Penetration Tester (GPEN)
  • GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
  • Offensive Security Certified Professional (OSCP)


VII. ACCÈS MÉTIER

  • BAC+4/5
  • Expérience et formation continue en sécurité


La Rédaction d’Africa CyberSecurity Mag