feuille de route compétences en cybersécurité

Quelles compétences faut-il maîtriser pour travailler dans la cybersécurité ? Faisons le point complet dans ce guide en fournissant des ressources pratiques et mobilisables pour vous lancer.

Au-delà du Mythe du « hacker génie », la Rigueur Technique

Dans l’imaginaire collectif, le hacking est souvent perçu comme de la magie noire, où des compétences mystérieuses permettent de franchir les barrières les plus sophistiquées. Certains jurent même qu’être hacker est un don et qu’il est perdu d’avance d’apprendre le domaine pour ceux qui n’auraient pas eu la « chance d’être choisis par le ciel« .

Mais la réalité professionnelle est tout autre. La cybersécurité est une discipline rigoureuse qui repose sur une base pyramidale : avant de pouvoir compromettre un système, il faut comprendre avec précision comment ce système a été conçu et comment il fonctionne. Ne nous pouvons travailler dans la cybersécurité qu’en maîtrisant profondément le sujet. Et fort heureusement cela est accessible à tout le monde avec du focus et du travail.

L’objectif de cet article est ainsi de dresser la cartographie la plus exhaustive possible des compétences indispensables à acquérir avant de travailler dans la cybersécurité. L’article se base sur des ressources anglophones populaires, comme le très bon roadmap.sh, qui fournit des feuilles de routes visuelles sur différents sujets IT.

Cliquez sur l’image pour afficher la feuille de route complète (en anglais)

1. Acquérir les compétences IT fondamentales

Peu importe le métier visé dans la cybersécurité, il y a des compétences techniques de base à acquérir. Voici une liste des compétences fondamentales en question :

  • Maîtriser les outils de traitement de texte comme la suite Office ou ses concurrents (Only Office, Libre Office, etc). Car écrire des rapports ou analyser des données nécessite de suivre les standards et de savoir utiliser les outils de base d’un système informatique. De nombreux tutoriels gratuits existent à ce sujet dans le cadre du C2i (Certificat Informatique et Internet), notamment dans l’enseignement supérieur.
  • Reconnaître les composants physiques d’un ordinateur, notamment le rôle de la mémoire RAM, du processeur et comment un programme (ou code) les mobilise. À ce sujet il est également intéressant de connaître le fonctionnement des composants réseaux comme les switchs, routeurs et autres hubs ou cartes réseau.
  • Comprendre les types de connecteurs et leur utilité : RJ45, Wi-Fi, Bluetooth, NFC, etc.

➡️ Des dizaines de cours libres de droits sur l’informatique (réseaux, Linux, systèmes, IA) sont téléchargeables à l’adresse suivante : Cours Informatique.

2. Maîtriser les Systèmes d’Exploitation (OS)

Un professionnel de la cybersécurité doit être capable de naviguer dans n’importe quel environnement sans interface graphique. Il doit aussi comprendre que maîtriser le domaine de la cybersécurité implique de connaître plusieurs systèmes d’exploitation.

Voir Linux comme le choix idéal

Linux est au cœur de la cybersécurité. Presque tous les serveurs web, les objets connectés et les outils de sécurité tournent sous Linux. L’un des meilleurs moyens d’apprendre ce système est de l’installer sous forme de machine virtuelle. Comme dans tous domaines techniques, la pratique est fondamentale pour pouvoir progresser. Il convient notamment de maîtriser les points suivants :

  • Le Terminal (CLI) : La maîtrise de Bash est non négociable. Vous devez savoir manipuler les fichiers, gérer les processus et configurer les services via la ligne de commande.
  • Gestion des Droits : Comprendre le système de permissions (Read, Write, Execute) et le mécanisme SUID/SGID pour l’élévation de privilèges.
  • Savoir installer des applications : gérer des paquets (installation, suppression, mise à jour)

Plusieurs tutoriels gratuits pour débuter avec Linux, dont celui que j’ai écrit. L’avantage de ce système est également de pouvoir créer votre propre « Lab de test » avec tous vos outils pour vous créer des environnement virtuels volontairement vulnérable.

Voici la vidéo de mise en place d’un tel lab de test :

➡️ Pour rappel : Le lien ci-dessus donne des cours d’informatique et comprend également des documents pour apprendre Linux.

Ne pas oublier l’écosystème Windows et Microsoft

En cybersécurité on se concentre souvent sur Linux, mais en environnement professionnel Windows est souvent présent. Voici deux outils à ne pas négliger :

  • PowerShell : C’est l’outil de prédilection des attaquants modernes pour la post-exploitation sous Windows. Voici le tutoriel officiel par Microsoft en français.
  • Active Directory (AD) : C’est le cœur des réseaux d’entreprise. Il est crucial de comprendre ce qu’est un contrôleur de domaine, les protocoles Kerberos, NTLM, et comment fonctionne LDAP.
  • De manière générale l’excellente suite d’utilitaires Sysinternals ainsi que les outils Nirsoft qui contiennent tous les deux divers outils d’investigation et de gestion très poussés pour Windows. Je vous conseille vivement d’en utiliser quelqu’un pour en apprendre plus sur le fonctionnement de Windows et les différents liens possibles avec la cybersécurité. Notamment les outils LastActivityView de Nirsoft et Process Explorer + TCPView de Sysinternals.

Apprendre la programmation (notamment avec Python, le Couteau Suisse)

Savoir coder peut être vu comme une option à ignorer si vous envisagez d’exercer dans un domaine de la cybersécurité qui est peu technique.

Cela dit, sans programmation, vous serez limité par les outils créés par d’autres. Python est le langage standard en cybersécurité pour sa rapidité d’écriture. Il permet d’automatiser des tâches répétitives, de créer des exploits personnalisés ou de lire des volumes massifs de données.

Je vous propose à la fois le cours Python pour apprendre ce langage tout en créant des outils utiles en cybersécurité. Ainsi qu’une formation Python complète avec certification à la clé.

Apprendre les langages Web (par exemple PHP, JavaScript et SQL)

Tout comme la programmation Python et système, la programmation web n’est pas absolument obligatoire si vous ne souhaitez pas viser le web dans votre futur métier. Cela dit il est vivement conseillé d’avoir des bases sur le sujet :

Pour comprendre les vulnérabilités du Top 10 de l’OWASP (comme la faille XSS ou l’Injection SQL), vous devez lire et écrire des langages web comme PHP et Javascript. Savoir comment une base de données relationnelle répond à une requête est aussi essentiel pour pouvoir l’exploiter et la sécuriser.

Plusieurs technologies modernes existent pour développer pour le web : React, Node JS ou encore Flask. Selon le métier et les tâches visées, il peut être nécessaire de spécialiser vos compétences vers l’une ou l’autre de ces technologies. Cela selon vos buts et préférences.

Apprendre les langages de Bas Niveau (C/C++)

Bien que plus complexes, ils sont nécessaires pour comprendre la gestion de la mémoire, les « Buffer Overflows » et le fonctionnement des malwares au niveau proche du processeur. Même remarque que précédemment, il n’y a pas d’impératif à les apprendre avant de continuer votre apprentissage. Ils sont plutôt ciblés sur des métiers précis, notamment autour de la cryptographie ou des systèmes d’exploitation.

3. L’Architecture des Réseaux : La Colonne Vertébrale

On ne peut pas attaquer ce que l’on ne peut pas voir. Et comprendre les réseaux est une première brique fondamentale sur laquelle reposent bien des outils. Voici quelques points à comprendre au sujet des réseaux :

Comprendre les Modèles OSI et TCP/IP

Il est très utile de comprendre le modèle OSI (Open Systems Interconnection) et ses 7 couches. Elle régissent le fonctionnement général et théorique des réseaux. Maîtriser les liens entre les couches et les différents protocoles qui la composent et également pertinent pour pouvoir ensuite y appliquer des concepts de sécurité.

Comprendre les protocoles fondamentaux

Les protocoles TCP et UDP sont parmi les plus populaires. Il convient de comprendre la poignée de main en trois temps (SYN, SYN-ACK, ACK) et les mécanismes permettant à TCP d’assurer la bonne réception des données entre deux points du réseau.

Comprendre l’adressage et le routage

IPv4, IPv6, les masques de sous-réseau (CIDR), les passerelles et le fonctionnement des routeurs.

Comprendre les Services d’Infrastructure

Le hacking moderne exploite souvent les faiblesses des services de base :

  • DNS (Domain Name System) : Comment les noms de domaine sont résolus. Les attaques de type DNS Tunneling ou Empoisonnement de cache ne peuvent être comprises sans cela.
  • DHCP : Le processus d’attribution d’IP et les risques de « DHCP Starvation ».
  • HTTP/HTTPS : La compréhension des codes d’état (200, 404, 500), des en-têtes (Headers) et des cookies est la base du hacking web.

➡️ Rappel : vous pouvez télécharger des cours de réseaux informatiques gratuits et libre de droits à l’adresse suivante : https://cyberini.com/Cours_informatique.zip

4. Maîtriser les Technologies modernes (Cloud, IA, ….)

Le paysage technologique mute régulièrement. Les nouvelles technologies sont très prisées dans le monde professionnel.

Architecture Micro-services et Conteneurs

Comprendre Docker et Kubernetes est devenu indispensable. De nombreuses failles proviennent de conteneurs mal isolés ou d’APIs mal protégées. Connaître le fonctionnement des machines virtuelles est un grand avantage en cybersécurité. Je vous réfère à la vidéo précédente pour en savoir plus sur la création d’un lab de test.

Le Cloud (AWS, Azure, GCP)

La majorité des entreprises migrent leurs données vers le Cloud. Un hacker moderne doit connaître les concepts de compartimentage (S3 buckets), de gestion des identités (IAM) et les mauvaises configurations courantes qui mènent à des fuites de données massives.

L’intelligence Artificielle

Elle fait évidemment partie des technologies qui vont se développer, et qui touchent déjà le domaine de la cybersécurité. L’IA dans le cadre de la cybersécurité repose notamment sur l’analyse à grande échelles de données (menaces, IoC).

L’IA permet également d’automatiser certaines tâches pour trouver des vulnérabilités dans le cadre de tests d’intrusion.

5. La Sécurité de l’Information : Cryptographie et Triade CIA

Le hacking consiste souvent à contourner des mécanismes de défense. Il faut donc comprendre ces mécanismes.

  • La Triade CIA : Confidentialité (une donnée est-elle bien accessible qu’aux entités ayant le droit ?), Intégrité (la donnée est-elle bien celle qui a été envoyée initialement, sans altération ?), Availability ou Disponibilité en français (la donnée peut elle être réceptionnée sans encombres ?).
  • Cryptographie : Il s’agit notamment d’avoir des compétences sur divers sujets comme la différence entre le chiffrement symétrique (AES), asymétrique (RSA), et le hachage (SHA-256). Il faut comprendre pourquoi on ne « décrypte » pas un mot de passe haché, mais qu’on tente de trouver la même empreinte à partir de données sources.

6. L’Art de la Reconnaissance : OSINT et Social Engineering

La partie technique de la cybersécurité ne représente souvent que 50% du travail lorsqu’il s’agit de s’introduire dans des systèmes informatiques. Très souvent, l’être humain constitue la pièce fragile, et c’est donc lui qui est visé.

OSINT (Open Source Intelligence)

Avant toute attaque, il y a la collecte d’informations. Apprendre à utiliser Google Dorks, Shodan, faire des requêtes envers les registres WHOIS et les réseaux sociaux pour dresser un portrait de la cible. C’est une phase de renseignement cruciale.

De façon plus large, la Cyber Kill Chain doit être connue et maîtrisée pour tous les métiers de la Red Team.

L’Ingénierie Sociale (Le Hacking Humain)

La faille, on le répète, est souvent entre la chaise et le clavier. Comprendre les principes de psychologie sociale (autorité, urgence, rareté) permet de mener des campagnes de phishing efficaces pour jauger du niveau de maturité des formations internes et des compétences des collaborateurs pour éviter les risques.

7. Méthodologie, Éthique et Cadre Légal

C’est ici que l’on sépare le professionnel du cybercriminel.

Le Cadre Légal (France et International)

En France, la loi Godfrain sanctionne l’accès ou le maintien frauduleux dans un système de traitement automatisé de données. Un professionnel doit connaître le périmètre et les limites de son contrat de pentest.

La Rédaction de Rapports

Un pentester est payé pour son rapport et les solutions qu’il donne. Savoir expliquer une vulnérabilité complexe à un décideur non technique (impact métier) tout en fournissant des détails techniques aux administrateurs est une compétence très valorisée sur le marché.

8. L’Environnement de Travail : Virtualisation et Lab

Ne pratiquez jamais sur des systèmes qui ne vous appartiennent pas sans autorisation explicite.

  • Virtualisation : Apprenez à utiliser VMware ou VirtualBox (ou docker) pour créer des réseaux isolés.
  • Plateformes d’Entraînement : Utilisez des ressources comme TryHackMe ou HackTheBox pour pratiquer légalement. Nous disposons également des CTF sur Cyberini pour débuter et vous familiariser avec différentes catégories tout en gagnant des points et badges.

9. Les « Soft Skills » : Curiosité et Persévérance avant tout

La cybersécurité est un domaine où l’on apprend à vie. Et dont le chemin est plein de rebondissements. Voici quelques soft-skills indispensables :

  • L’Auto-formation permanente : Le domaine évolue parfois très vite. La capacité à lire des documentations techniques et à faire une veille hebdomadaire est très importante.
  • La communication : C’est la soft skill la plus recherchée d’après plusieurs études d’offres d’emploi dans le domaine.
  • L’Anglais Technique : La quasi-totalité de la documentation, des forums spécialisés et des CVE (Common Vulnerabilities and Exposures) est en anglais. Une maîtrise fluide est très avantageuse bien que non obligatoire.

Retrouvez le plan d’apprentissage complet pour faire carrière en cybersécurité avec des cartes mentales dans la vidéo qui suit :

10. L’apprentissage continu

Vient ensuite votre apprentissage des différentes compétences directement liées à la cybersécurité. Un apprentissage qui dure toute votre carrière et qui sera nécessairement spécialisé lui-aussi. Cela dit, voici quelques fondamentaux à connaître :

La Cyber Kill Chain et les méthodologies techniques : savoir comment mener un test d’intrusion

Gestion des menaces : savoir utiliser la matrices ATT&CK et connaître les surfaces d’attaque et les techniques des acteurs malveillants

Études des malwares et de leur fonctionnement : savoir retrouver des traces d’un piratage, voire faire une analyse forensique. Et décompiler des programmes pour comprendre leur fonctionnement.

La défense en profondeur et la gestion des vulnérabilités : CWE, CVE, CVSS, concept du « 0 day ».

Conclusion : Le chemin vers l’Expertise

Maîtriser le hacking n’est pas une destination, mais un processus continu. L’erreur classique est de vouloir utiliser des outils complexes (comme Metasploit) trop tôt. Le véritable expert est celui qui, face à une protection que l’outil ne sait pas gérer, comprendra assez bien les couches réseau et système pour concevoir sa propre solution.

En premier lieu des compétences recherchées viennent finalement le trio non technique fondamental :

  • La curiosité : prendre le temps de se renseigner sur une nouveauté ou de s’intéresser aux détails d’un concept donné
  • La persévérance : apprécier faire des erreurs et trouver soi-même des solutions
  • La communication : savoir travailler en équipe et/ou restituer des informations de façon compréhensible selon l’audience visée

En consolidant en parallèle les bases en réseaux, systèmes, code, et autres concepts cités, vous ne vous contenterez pas de « hacker », mais vous deviendrez un architecte de la sécurité capable de protéger les infrastructures critiques de demain.

Laisser un commentaire