e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


Les sciences et technologies contemporaines ne permettent pas une connaissance encyclopédique comme il fut le cas il y a des décennies.

Si on veut avoir une place, et surtout la garder, on doit se spécialiser.
Le problème est que le degré de spécialisation ne cesse d'augmenter.

Si je prend le domaine de la sécurité informatique, déjà c'est une spécialisation de la discipline "informatique". Notons au passage que quelqu'un qui se considère comme informaticien généraliste est un dinosaure ... au mieux, un collectionneur de termes à la mode :)

Mais, parler de "spécialiste en sécurité informatique" tout court est aussi imprécis à mon avis ... si j'emprunte la terminologie des professions médicales, je dirais plutôt "généraliste en sécurité informatique" !!

Être un spécialiste ça sous-entend une certaine maîtrise ... alors, on maîtrise quoi ?

- la sécurité des réseaux ? quelles infrastructures ? quelles technologies ? ...

- la sécurité des systèmes ? lesquelles ? ....

- celle des applications ? toutes ? dev ou déploient et config ? ....

Et l'administration et le monitoring de la sécurité (SIM, SIEM, NSM ... ) ?
Et le reverse engineering ?
Et l'audit ou le pentesting ?
Et l'organisation de la sécurité (ISO2700x, SMSI...) ?

Ça serais vraiment exceptionnel de maîtriser vraiment toutes ces "sous-spécialisation" à la fois !!!

Ceci m'amène au titre du billet : si on veut réussir dans le "domaine" de la sécurité, on doit choisir une spécialisation pointue et se concentrer sur elle, sans oublier de garder le contact avec les autres bien sûr ... parce que tout est lié !

Comment et quoi choisir ? et ben c'est propre à chacun !

Les connaissances déjà acquises, l'environnement actuel de travail, les aspirations ou ambitions de la personne, les débouchés ou la demande du marché et même l'âge .... tout ces paramètres peuvent influencer le choix final.

Pour ma part, en reprenant les concepts du "développement personnel", je dirais que 2 choses importante sont à considérer :

1- le VOULOIR : il n y a pas de réussite sans enthousiasme, sans amour de ce qu'on fait
2- le POUVOIR : il faut avoir les compétences et les prédispositions nécessaires (intellectuelles ou autres)
C'est vrai qu'avec de la persévérance et de l'effort on peut arriver à faire des miracles ... mais bon, avoir un prix Nobel en Maths quand on est de formation en sciences humaines est un peu exagéré ... visé le prix de littérature serait plus réaliste !

Enfin, pourquoi je dis tous ça ?

Une, j'ai discuté dernièrement de ça avec des amis, en ligne, ou de visu

Deux, je viens de lire le titre d'un billet sur ça, avec pleins d'autres liens très intéressants apparemment ... je vais lire ces articles et voir ce que les autres pensent :)

Et trois, je suis en plein processus de choix ... je voudrais passer du stade de "généraliste expérimenté" à celui de vrai "spécialiste" :)

EDIT : comme me l'a fait remarqué zendyani par émail, le prix Nobel en Math n'existe pas ... et dire que personne (à part lui) n'a relevé ça. Ça me fait du chagrin, parce que là c'est sûr, vous ne faites que "survoler" ce que je raconte :)
.


24 commentaires

  1. KT  

    ah....tu as des amis avec qui tu parle de visu ?
    quel chance ils ont !

  2. SecDZ - Salah Nadir  

    En fait, quelle chance j'ai moi :) ... parce que vivre uniquement dans le monde virtuel sans aucune vie réelle est ce que j'appelle une vie pourrie.

    D'un autre coté, je n'ai pas ta chance de pouvoir m'afficher publiquement ... je ne suis pas aussi photogénique :)

  3. ubu  

    Bonne chance pour ta "mutation" en spécialiste ;-)
    Sinon, peut-on être spécialiste-amateur en sécu lol :p ?

  4. SecDZ - Salah Nadir  

    @ubu: fait un parallèle avec la physique et tu auras la réponse :)

    Sinon, jette un coup d'œil sur ce lien listé sur l'article que je cite
    http://chuvakin.blogspot.com/2009/08/myth-of-expert-generalist.html
    ... un physicien converti en sécurité et qui fait justement une petite analogie !

  5. martani  
    Ce commentaire a été supprimé par l'auteur.
  6. SecDZ - Salah Nadir  

    @martani: oui pour l'importance de l'étape "choix" ... parce que si on se goure, on perdra du temps et de l'énergie.

    Et oui, on a discuté de ça, d'où "avec des amis, en ligne"

  7. martani  
    Ce commentaire a été supprimé par l'auteur.
  8. ubugnu  

    @SecDZ:
    Très drôle! un théoricien devenu un "Security Warrior"!!! d'un autre coté... il était physicien des particules :p lol
    j'aurais à mon tour beaucoup de critiques envers ce qu'il a écrit : "...I used to do theoretical particle physics" :-) soit on fait de la "theoretical physics" ou alors "particle physics" je trouves que c'est deux mondes différents...
    Sinon, c'est vrai que même en physique, on ne peut se proclamer "expert en phyique" vu les milles et une facettes que nous offre cette science, pour ma part j'ai décidé (ça fait presque 3 ans) de me spécialiser en "quantum gravity" (qu'il a cité dans son billet) et rien que dans cette branche, une vie ne suffit pas pour tout assimiler!!!! est-ce-que c'est la même chose pour l'audit informatique? je ne sais pas.
    Pour la question que j'ai posé, je connaissait pertinement la réponse :-) on ne peut pas avoir tout, il faut choisir dans la vie ;-) quoi que à mon humble avis, on peut trouver des interconnéxions entre des domaines extrèmement differents!

  9. ubugnu  

    A propos une quesion me brule les lèvres :-) est-ce-qu'il y'a eu un candidat pour, je reprend les termes de KT "... me (lui) donner un coup de poing à la figure ..."??? :-)

  10. martani  
    Ce commentaire a été supprimé par l'auteur.
  11. SecDZ - Salah Nadir  

    @ubu:je ne suis pas sur d'avoir bien saisi "candidat" ... c'est en rapport avec la barcamp ? Si c'est le cas, je n'y étais pas ... pendant les vacances, c'est les enfants qui font le programme :)

    Sinon, "Quantum gravity" jamais entendu parler de ça (un ignorant de plus)... par contre il y a des "espoirs" sur les machines quantiques et même la crypto quantique !

    @martani: pour l'entropie, je ne connais pas le concept en physique, si tu choisira la sécurité, tu en aura affaire à elle :)

  12. martani  
    Ce commentaire a été supprimé par l'auteur.
  13. SecDZ - Salah Nadir  

    @martani:

    http://en.wikipedia.org/wiki/Password_strength

    http://en.wikipedia.org/wiki/Information_entropy

  14. ubu  

    @Martani:
    La vulgarisation de ce genre de savoir est un petit peu délicate vu qu'on ne peut pas mettre d'équations pour le commun des mortels, il faudra éssayer de faire comprendre sans faire fuire :-) mais il éxiste parfois des moyens très simples mais qui font appel à beacoup d'intuition pour faire assimiler à un non initié des concepts hautement fondamentaux de la physique théorique tels que le pricipe d'équivanlence de la relativité générale d'Einstein...
    Sinon, je te rassure pour l'entropie, moi même je n'arrive pas à comprendre pourquoi tout système a tendence à aller vers un état de désordre maximal!! Malgrès que ça paraisse vraiment trivial en faisant l'éxpérience de pensée suivante:
    lanecez 10 pieces en l'air plusieurs fois de suite, à votre avis, quels seront les cas les plus courants? surement pas 10p/0f ou 9p/1f ou 8p/2f (tous ordonnés) ou les contraires réspéctives... on remarque que les cas les plus courants sont les plus ... désordonnés!!! donc un système physique ne sera dans son état normal (état stable) que quand ses configurations microscopiques seront dans un désordre maximal!!! il éxiste à ce propos une discipline assez intéréssante appelé la théorie du chaos, ou l'ordre dans le désordre ;-)
    Mais je remarque que tu as cité l'entropie dans un cadre peu commun: avec le temps, tu as surement dû lire cette théorie très éxotique selon laquelle le tremps n'éxisterait pas et que notre perception de ce dernier n'est qu'un éffet entropique :-)

    @SecDZ: c'est bien de ça que je parlais :-p
    Pour quntum gravity, c'est simplement le but du siecle de tout théoricien, trouver un théorie quantique pour la gravitation, qui manque cruellement de jour en jour... il y'a deux courants: string theory qui a l'air d'avoir tout réglé mais il reste de très gros points d'intérrogations, sans parler des "cordes" sur lesquelles elles se basent, on ne pourra jamais les détecter...
    Loop Quantum Gravity, ma préférée plenche plutôt sur une structure discrète de l'éspace-temps, un genre de pixels spatio-temporels, sa force: se baser sur des calculs non perturbatifs...
    Très bon exemple que tu as donné, l'informatique quantique!!! la science de l'avenir... mon rêve est de pouvoir concevoir mon premier circuit logique quantique :-) (mais j'y suis encore loin :-p), à savoir aussi qu'il éxiste de bonnes opportunités (cadre industriel) dans le cryptage quantique, un genre de système super-infaillible pour transmettre l'information sans risquer une interception - cela se fait déja en Allemagne par exemple.
    J'avais pensé plutôt à des outils mathématiques qu'utilisent les physiciens, et qui peuvent se révéler utiles dans d'autres branches (je pense par exemple à la théorie des groupes applicable dans la macroéconomie...)
    Quoi qu'il en soit j'ai dévié du sujet principal et je m'en éxcuse :-)

  15. tixxDZ  

    Merci secdz pour ce billet ;)

    Parler avec des amis en visu est vraiment une chance secdz :), moi pour l'instant tous mes amis ne parle que de domino :)

    Je reviens au concept du "développement personel" car c'est la situation de beaucoup d'algériens qui n'ont pas les moyens de se payer une formation (qui peut être douteuse):
    - le VOULOIR: oui il faut vrément beaucoups de motivation et essayer de ne pas toujours chercher la solution la plus facile car on parle de spécialisation.
    - le POUVOIR ... etc
    - Autre considération: Outils et technologies utilisés lors de la spécialisation, si on prend un exemple la spécialisation du pen-test, on peut utiliser des frameworks open sources ou d'autres qui ne le sont pas mais avec les frameworks open sources vous pouvez éditer le code ce qui peut vous donnez plus de control => plus de spécialisation (peut être expert), contrairement aux autres outils closed sources ou on est qu'un simple utilisateur (développeur de plugin ?) spécialiste ?, mais pas expert même avec leurs auto formation.

    Un autre exemple de formation ou de développement personel (pas seulement sécurité): étant abonné a des mailing lists linux, j'ai constaté qu'il y a plusieurs individus qui posent leurs questions directement au développeurs ou aux ... et ces mêmes individus proposent des formations en GNU/Linux (dévelopement kernel, modules ... etc), alors je me pose la question pour quoi je ferais une formation chez eux et payer l'argent que je n'est pas ? si je peux lire le manuel et ensuite poser les mêmes ou mes propres questions (point de vus spécialisation car une petite formation dans une autre spécialisation peut être/ou ne pas être bénifique), cet exemple peut être appliqué a tous les projets open sources.
    Bon j'éspère que je n'est pas tort de toute façon dans quelques années si j'ai une réponse je la partagerais inchallah :)

    On peut connaitre sltpl secdz ton choix de spécialisation ? sinon tu peux nous dire aux moins qu'elles sont les spécialités qui sont demandés ou qui peuvent donner un travail ici en Algérie (si sa existe), merci.

    Conclusion: oui il faut vrément bien choisir sa spécialisation :) et j'éspère que je n'ai pas sortie du sujet :)

  16. SecDZ - Salah Nadir  

    @tixxdz: quelques réponses à ton commentaire intéressant :

    - "pour l'instant tous mes amis ne parle que de domino" ... faut changer d'entourage mon ami :), c'est un des éléments du succès !

    - Quand je parlais de "développement personnel", ce n'est pas l'auto formation, c'est un domaine où on étudie (et on applique) comment progresser dans la vie par rapports à nos ambitions / objectifs.

    - Pour les outils open / closed source, déjà dans le domaine que tu cites (pentest), les outils libres ne rivalisent pas du tout avec ceux commerciaux ... et au-delà de ça, quand on parle de "maitrise", les outils viennent en second plan.

    - Pour les spécialités actuellement intéressantes en Algérie, je vois surtout la sécurité des réseaux (FW, IDS, VPN ....), mais aussi la sécurité des systèmes (Unix et un peu de Windows)

  17. tixxDZ  

    "Quand je parlais de "développement personnel", ce n'est pas l'auto formation, c'est un domaine où on étudie (et on applique) comment progresser dans la vie par rapports à nos ambitions / objectifs."
    plus large, ok.

    "Pour les outils open / closed source, déjà dans le domaine que tu cites (pentest), les outils libres ne rivalisent pas du tout avec ceux commerciaux"
    peut être que j'ai mal choisi l'exemple :), mais les nouveaux modules et améliorations metasploit avec le scan nmap et l'autopown cela est plus facile (au même niveau du framework core impact ? mais il ne faut pas oublier aussi que les comparaisons datent un peut en plus les gens qui ont déboursé doivent justifier ...).

    Quand à l'argument "les outils viennent en second plan" oui c'est vrai ce que tu dis, mais n'empeche je pense sincerment qu'ils contribuent aussi au développement de la compétance, sinon on peut se poser la question est ce qu'il y a une différence entre un gars qui utilise netfilter et peut même hacké la source ou les modules avec un autre qui utilise un firewall (proprio) avec des ACL établies ?

    merci secdz pour les coms et les suggestions des spécialisations et désolé pour cette vision réduite, c'est la faute à ce shell :)

  18. tixxDZ  

    @secdz,@ubu,@martani:
    si vous passez encore par là, voici une présentation en relation avec la crypto quantique, pour moi c'est impossible c'est en ppt :p en plus c'est une overdose assurée ... :)
    https://har2009.org/program/events/168.en.html
    avec le fichier attaché

    sinon pour les autres:
    https://har2009.org/program/events.en.html

    @secdz:
    j'éspère que tu trouvera ton conte dans toutes ces présentations, merci encore ;).

  19. ubu  

    @TixxDZ:
    Merci beaucoup pour ces liens, je n'ai pas encore lu le ppt, de même que je ne connais que le principe physique de la quantum cryptography, mais je me permets de faire une remarque:
    On ne peut pas observer un système physique (en l'occurence ici un ou des photons) sans changer son état quantique! (en jargon physicien on dit éffondrement du paquet d'ondes...) alors si on a réussi à hacker "le principe" cela voudra dire qu'on a hacké LA NATURE!!! C'est impossible, on ne peut hacker des photons, ou plus généralement, les lois de la nature! Je pense que ceci a été possible à cause d'un défaut dans le materiel ou/et l'algorithme.
    PS: le logo du bra |phi> style hacker m'a beaucoup amusé :-)

  20. SecDZ - Salah Nadir  

    @tixxDZ: merci pour le liens des confs ... mais en fait, j'ai arrêté de lire ou télécharger "tout ce que je trouve sur mon chemin" comme je le faisait avant ... ça sera le sujet du prochain billet en rapport avec celui là :)

    @ubu: n'ayant pas aussi lire le ppt, mais d'après la présentation, l'exploitation concerne un dispositif matériel de détection des photons apparemment.

  21. SecDZ - Salah Nadir  

    C'est pour signaler ma bourde concernant le prix Nobel de Math ... ça n'existe pas, je le savais mais ça m'a complètement échappé. Merci à Zendyani pour sa correction :)

    Alors, soit vous faites semblant de me lire :) ... ou encore vous ne le saviez pas.

    J'opte volontiers pour le premier, parce que y en a surement qui le savait ... surtout le physicien et l'ancien biologiste djebed rouhou :)

  22. AmarSoft  

    physicien je ne le cnnais pas
    mais
    l'ancien biologiste djebed rouhou na3arfou ;)

  23. SecDZ - Salah Nadir  

    @AmarSoft: Pour le djebed rouhou, la biologie n'est qu'un exemple parmi d'autres :)

    Le physicien est ubu :)
    ubuntu-algerie.blogspot.com

  24. ubugnu  

    @SecDZ: J'avais lu mais je n'y ai pas fais attention :-)
    Pour information il éxiste le prix fields (ou plutôt médaille fields) tout les 4 ans, plus significative que le prix Nobel.
    Et pour l'anécdote, c'est parceque la femme de Nobel l'a trompé avec un mathématicien qu'il a enlevé le prix nobel de maths :-)

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)