- Juillet 2022 -
Il faut que je vous parle d’un truc. Fin 2019, trois mois avant le confinement, il m’est arrivé quelque chose. La crise des 40 ans 4 ans plus tard, peut être… Si vous avez un peu suivi mes précédentes aventures, vous savez qu’à cette période, j’avais décidé de passer mon « vrai » diplôme d’ingénieur, CTI. Vous savez aussi que j’ai pas mal œuvré dans l’écriture de bouquins, et même que l’un deux est une référence dans le domaine… Enfin, il s’est bien vendu, quoi. L'autre, le dernier sur la Haute Dispo, K8S et compagnie, beaucoup moins, mais bon, c’est le jeu. Il parait même que j’aurais aussi écrit un vrai Pacman en Python juste pour savoir si je pouvais le faire, ou que je m’amuse à bidouiller des scripts pour accéder au système de fichiers du GPS embarqué de mon Kangoo… Ce qu’on sait moins, c’est que j’ai été le « tech lead » des Ops d’une très belle plateforme « Digital » pendant plus de 6 ans. Oui, une jolie infra exposée sur Internet avec plus de cent-cinquante sites internet et backends d’applications mobiles dessus. Un bijou, des joies, des peines, de l’exaltation et presque un burn out. Et la raison pour laquelle j’ai longtemps disparu de LinuxFR… On a tout migré sur OpenShift, et on a fermé le truc. Fin du jeu. Et paf, crise des 40+4 ans : j’ai voulu faire autre chose.
Comme ma boite est un super employeur, j’ai demandé si on pouvait avoir besoin de moi ailleurs, et j’ai eu l’embarras du choix, voire l'inverse. Pile au moment de choisir, voilà que le grand boss de la cybersécurité, qui avait été auparavant mon grand boss tout court, a eu vent de mes velléités de changement, et m’a demandé de venir bosser pour lui… Et pan, je suis tombé dedans, et je suis devenu, moi, grand fou-furieux de Linux, de haute disponibilité, d’architectures redondantes, d’orchestration, d’automation, de containers, etc., « responsable de la sécurité opérationnelle du Cloud Privé », rien que ça. Je n’ai pas senti le piège, j’aurais dû, quand j’ai demandé combien de temps il me laissait pour décider et qu’il m’a répondu « 5 minutes », quand j’ai dit « mais je ne suis pas un expert de la sécurité », et qu’on m’a répondu « T’inquiète, c’est facile, tu apprendras… ». La nasse s’est refermée. J’étais piégé. Je vous passe les détails des deux dernières années, et en effet, j’ai appris un nouveau métier, j'ai pu résoudre tout plein de problèmes pour lesquels on m’avait recruté. C'est cool un super titre bien pompeux, mais ça cache mal la masse de travail associée.
Le piège, je vous dis : être un très bon ingénieur, un expert technique, même en sécurité, ça a ses limites. La sécu, ce n’est pas que configurer de l'encodage end-to-end, gérer des règles firewalls, mettre des anti-malwares, des IPS et des EDR, des SIEM, demander (et résoudre) des pentests de temps en temps. Le piège, c’est la partie « management » de la Sécurité : le conseil aux managers, l’évaluation des risques, des vulnérabilités, les analyses quantitatives et qualitatives, les BCP, les BIA, les … Je sens que je vous ai perdus… Et bien moi aussi, j’ai commencé à me perdre. On m’aurait menti ? Oui, on m’a menti. Ce n’est pas facile. Le piège. Et donc, acculé : dans mes objectifs annuels de 2022, mon gentil manager (bonjour chef, je t’aime beaucoup, même après ça), m’a demandé un truc: devenir un vrai professionnel de la sécu. Toute la sécu. Pas que dans l’informatique, pas que dans l'expertise technique. Bref, il m’a demandé de me former au truc le plus compliqué qui existe: le CISSP, « Certified Information Systems Security Professional ». J’ai dit oui. Je n’avais pas vraiment le choix. Quelle idée…
J’aurais dû me renseigner avant. J’ai commencé à douter lorsque mes collègues ont commencé à me regarder bizarrement, certains avec admiration, me disant « t’es courageux », d’autres avec pitié, me disant « mon pauvre », d'autres me disant « t’as prévu d’avoir une vie l'année prochaine ? », et les plus cinglés, ceux version nerd qui transpirent la sécurité (informatique) « ça va en trois semaines c’est torché ». J’ai acheté le bouquin officiel, et j’ai compris. Un pavé, version parpaing (même poids, même consistance), de 1300 pages. En anglais. Ah oui, parce que tout est en anglais. Alors, on va revenir sur ce qu’est le CISSP. C’est une certification professionnelle internationale et indépendante en sécurité des systèmes d’information, gérée par l’ISC². C’est l’une des premières qui a existé, tout simplement parce qu'avant, il n'y en avait pas en cybersécurité. C’est, semble-t-il, la plus difficile à obtenir, elle est classée comme la meilleure au monde dans son domaine, elle couvre l’ensemble des domaines de la sécurité informatique (mais pas que). Elle demande une expérience initiale de 5 ans dans au moins deux des huit domaines couverts, et est valide 3 ans, renouvelables. Il faut aussi être parrainé par un autre CISSP. Fait intéressant, c’est la seule certification qui a été reconnue, chez nos amis anglais en premier, comme étant de niveau équivalent à un Master en Cybersécurité, niveau 7. Pas en France, enfin pas encore, on a toujours 10 ans de retard par rapport à nos amis. La certification couvre huit domaines :
- Gestion des risques et de la sécurité
- Protection des actifs
- Ingénierie de la sécurité
- Sécurité des télécommunications et des réseaux
- Contrôle d’accès et gestion des identités
- Évaluation de la sécurité
- Sécurité des opérations
- Sécurité des développements
C’est gros, c’est long, c’est large (on parle du contenu de la formation, hein). Et ça ne parle pas que d’informatique. Il y a par exemple toute la sécurité physique (bâtiments, surveillance, éclairage, incendie), ce qui fait que la formation parle aussi bien des ciphers avec vecteurs d’initialisation que du type d’extincteur à utiliser pour éteindre un feu de cuisine. C’est la force de cette certification : elle a pour objectif de couvrir l’intégralité des domaines de la sécurité, aussi bien techniques que fonctionnels et organisationnels, dans le but soit de devenir responsable de la sécurité, soit de pouvoir conseiller ceux-ci. Et donc, il faut parfois entrer dans certains détails (la partie mathématique sur Diffie-Hellman est croustillante). Mais heureusement, on s’arrête à mi-profondeur, Si Kerberos est expliqué de manière détaillée, on ne passe pas à son implémentation. Autre chose, importante, l’éthique est placée au-dessus de tout. Certes, c’est très américain, la sécurité supporte le business, mais tout s’efface devant l’éthique, et la protection de la vie, physique, privée (pour mentale, il faudra repasser). Et ça, ça m’a beaucoup marqué tout au long de ma formation.
Le deal, avec mon service Formation , était simple : ils me paient l’examen et les supports, et je me débrouille ensuite tout seul pour m’organiser. Mon objectif: fin juin, histoire de pouvoir ensuite prendre beaucoup de repos. Je le dis tout de suite, j’en ai eu pour 1000 euros (remboursés), entre les supports de cours, l’inscription sur des sites d'entrainement, et l’examen. J’ai commencé le 2 janvier en lisant un premier livre en français (merci Zakaria Hadj) pour bien m’immerger dans le truc, avec 110 pages de notes manuscrites, car je retiens mieux en écrivant. Je suis ensuite passé au livre de cours officiel, le pavé. La vache, c’est monstrueux, c’est écrit en tout petit, la moindre ligne est importante. J’ai ensuite commencé l’entrainement, composé de près de 2400 questions officielles, sur le site en ligne. Les auteurs du support officiel disent que si on a 90% de bonnes réponses, on est bon pour l’examen. La blague… C’est faux. Là, on était début avril. Pendant un mois j’ai déroulé toutes les questions, dans tous les sens, avec des simulations d’examens, jusqu’à faire plus de 90%. Mais il y a un biais : on finit par les retenir, et donc on n’analyse plus, on répond avant même de lire… On m’avait parlé de questions très difficiles, sur un site géré par un formateur, appelé Luke Ahmed. Je me suis inscrit.
Je suis tombé de haut. Luke Ahmed, tu es formidable. Tu m’as ouvert les yeux, sûr de moi que j’étais, avec tes questions horribles. J’en aurais pleuré, devant la difficulté. J'ai pesté derrière mon écran, la boule au ventre. Moi, je croyais que les QCM c’était bidon, que c’était du par cœur. Mon œil. Un QCM bien foutu peut être plus dur qu’un vrai sujet. Luke a réussi à pondre 800 questions d’une difficulté inégalée. 40% de bonnes réponses, crise de nerfs, je suis en PLS. Une seule source pour étudier, ce n’est pas suffisant. Luke, avec qui on peut discuter sur Telegram, conseille un livre, le All-in-One de Shon Harris (paix à son âme). On est début mai, mon examen est dans deux mois. Je me lance dans la lecture effrénée des 1300 pages de ce nouveau pavé. Shon Harris, tu es géniale. J'aurais aimé te connaitre. Sache, de là-haut, que ton œuvre est un bijou. Les concepts clairement expliqués à l’aide d’exemples concrets, m’ont sauvé. Tes milliers de questions, difficiles, dans l’esprit de l’examen, m’ont fait sortir de l’abîme. Et Luke, ton site, avec tes vidéos claires sur le Risk Management Framework, le BIA, SAML, Kerberos, et ainsi de suite, un bijou. Bon, il est moche, mais on s'en fout. Ton livre « How to think like a manager » pareil ! Parce que oui, quand dans une question il y a des réponses techniques, même valables, ce ne sont pas forcément les bonnes. Un contrôle ne rajoute aucune sécurité tant qu’il n’a pas été évalué, tant du côté sécurité que de la valeur des actifs qu’il est sensé protéger. Et il faut y penser quand on répond.
C’est la fin mai. Mon employeur nous permet d’accéder aux plateformes de formation Linkedin et Percipio. Je m’inscris à un boot camp de 20 heures avec un super texan fan de musique Rock, Michael J Shannon. 4 heures par jour, plusieurs centaines de diapositives. Disons que je suis OK sur environ 80% du contenu, mais l’assistance est fébrile, voire perturbée, c’est trop gros. Je ne lâche pas. Je passe à la vitesse supérieure, je réorganise mon temps de travail, je repousse certains sujets à plus tard, la préparation à l’examen devient ma priorité. Je vis, je respire, je transpire CISSP. C’est une drogue. D’autres questions, des fiches, je replonge dans le bouquins, dans des vidéos, tant chez Luke que sur Youtube, Wikipedia (surtout en anglais) est une mine. Les normes ISO, les documents du NIST, le système légal américain, le GDPR, le WPA3, Orthogonal Frequency Division Multiplex, tout y passe. C’est mon obsession. Je dors mal, je rêve de Common Criteria, de SDLC, des synthetic transactions, de Mobile Device Management, d’Incident Response Plan, de Hot sites. Je passe aux questions de Shon Harris, celles du livre additionnel, je suis à 75% au premier essai. Pas assez. Mi-juin : je finis d’apprendre par cœur les différentes séquences, et surtout leur contexte. Je refais toutes les questions, en rajoutant celles du site Examtopics. Je suis à 90%, sauf celles de Luke, entre 70% et 82%. Je ne dépasserai pas ce score. Luke, elles sont chouettes tes questions. Mais elles sont dures. Tu parles, si j’avais su…
Et voilà le 28 juin. Jour de l’examen. Parlons de ça. Pour réussir, il faut au minimum 70% de bonnes réponses, en tout, et par domaine. Il y a au minimum 125 questions, jusqu’à 175, et jusqu’à 4 heures. Certaines questions sont blanches : elles ne sont pas notées, elles sont là dans le but de préparer les futures questions des futurs examens, et de valider les réponses. Mais on ne sait pas lesquelles. C’est un examen de type CAT « Computerized Adaptative Testing ». L’examen s’adapte aux réponses données, pouvant proposer une question plus simple, mais moins bien notée, si on a mal répondu, ou au contraire une question plus compliquée si on répond bien, mais qui rapporte plus de points. Au bout de 125 questions, si on à 95% de chances de réussir, on passe. Si on a 95% de chances de rater, on perd. Sinon, le système rajoute une question, et recalcule les probabilités à chaque réponse, jusqu’à 175 maximum. Debout 5h30. Arrivée au centre d’examen à 7h20. Les conditions sont drastiques : les poches sont vidées, les objets enfermés, les lunettes vérifiées, les jambes palpées, la salle filmée, les écrans et le comportement des candidats scrutés. 125 à 175 questions, ça peut paraitre léger pour certains. Mais quand elles peuvent être sur n’importe quel sujet des 3000 pages lues, on est obligé de tout apprendre, il n’y a pas de chance à ce niveau.
8 heures, la boule au ventre (ah oui, je suis d’un naturel très stressé), ça démarre. Luke, en fait, tes questions, elle sont si faciles… Mon Dieu, qui a inventé de telles questions ? Elles ne ressemblent pas vraiment à l’entrainement. Peut-être que c’est comme aller au feu la première fois, on a beau être formé, le baptême est violent. Le CISSP est sélectif, je l’ai entrevu durant ma préparation, je le comprends pleinement durant l’examen. C’est dur. Les questions sont fourbes: Best, most, first, less, double négation, réponses toutes valides mais quelle est la meilleure ? Question 40, je me dis que c’est mort. Question 66, le stress m’oblige à faire un break, pause. Mais que se passe-t-il ? Elles semblent un peu plus simples maintenant, est-ce parce que j’ai été si mauvais que ça, l’algorithme a pitié ? Question 110, le stress se rappelle à moi. Je lutte. Allons jusqu’à 125, ont sera fixé. Soit je sors et c’est réglé, soit on continue et je refais une pause… Question 125, je clique sur Next. Blanc : l’écran me dit que c’est terminé. Je clique sur End exam, je sors. Je suis un zombie, je suis pale, je suis lessivé. On me tend la feuille, à l’envers. Je ne sais plus quoi faire. Je demande combien de temps j’ai passé: deux heures. Je retourne un peu la feuille. Je lis le premier mot : « Congratulations ». Moment de flottement. Je dis « je n’ai jamais fait un truc aussi dur », on me répond « pourtant, vous êtes allé super vite ». Je réalise. J’exulte !
Six mois, entre deux et huit heures par jour, tous les jours, même en vacances, partout, chez moi, dans le train, à l’hôtel, au bureau, dans les salles d’attente. Environ 900 heures de travail. 3000 pages lues, 150 pages et fiches manuscrites, plus de 5000 questions d’entrainement, plein de vidéos. Voila, examen réussi. Et maintenant ? Maintenant il reste une étape, l’endossement. Je dois justifier de mes années dans la sécurité. Mon employeur est là, mon chef est lui-même CISSP, ça va aider. Côté travail, cette étape de ma vie m’a énormément aidé à concevoir la sécurité dans sa globalité. Les gens de la sécurité sont vus comme des empêcheurs de tourner en rond. Maintenant, par mon expérience et par ce long voyage vers la certification, je sais que c’est faux. Quand on a les données, les vies, de de millions de personnes en sa possession, il n’y a pas de demi-mesure possible. La sécurité doit s’intégrer dans tout, partout, et dès l’initiation du moindre projet. Elle n’est pas que technique, elle est aussi organisationnelle, managériale. Elle est chère, elle ralentit les projets, mais elle est vitale. Je suis maintenant meilleur dans mon métier. J’ai réussi, chef. Je suis vanné, il faut aller se reposer, maintenant. Chef, je te l’ai dit, ne me redemande plus jamais de faire un truc comme ça, je suis sérieux.
Et après ? Durant cette étape de ma vie, j’ai abordé deux trois trucs dans mon apprentissage : les forensics et les red teams. J’aimerais bien creuser tout ça, il semble y avoir des formations sympas. Mais d’abord, quelques projets personnels. Ça à l’air bien, jouer de la guitare. On va essayer ça. Ça existe, les certifications en guitare ?
CISSP, ISC²
Le CISSP démystifié
Guide officiel du CISSP, Sybex, Mike Chapple
Questions d’entrainement officielles, Sybex
All-In-One CISSP Exam guide, de Shon Harris, McGraw-Hill
CISSP Practice exams, do Shon Harris et Jonathan Ham
How to think like a manager, Luke Ahmed
Study Notes and Theory, Luke Ahmed, A CISSP study guide
Examtopics, CISSP
Diapositives du CISSP Boot camp, Michael J Shannon
PS: Une dernière chose. Merci LinuxFR, et mes camarade de la Tribune. C'est tout bête, mais les petites conversations sympas, tout comme les grands débats qui y ont lieu, m'ont détendu. Merci à toutes et tous. J'avais promis un retour d'expérience, c'est fait.
Commentaires :
voir le flux Atom
ouvrir dans le navigateur
