Selon le rapport des courtiers, la cybercriminalité pourrait coûter à certaines entreprises 10,5 trillions de dollars d’ici 2025. Il est donc essentiel de recruter des professionnels capables de contrer ces cyberattaques. C’est pourquoi dans cet article, je vais vous présenter les principales étapes à suivre avant de vous lancer dans le domaine de la cybersécurité, que vous soyez débutant, autodidacte, en reconversion, ou même si la technique ne vous passionne pas.

QU’EST-CE QUE LA CYBERSÉCURITÉ ?

La cybersécurité, également appelée sécurité informatique, est une branche de l’informatique qui vise à protéger les ressources physiques (tels que les ordinateurs, serveurs, téléphones et infrastructures réseau) ainsi que les ressources virtuelles (comme les données et les systèmes d’exploitation) contre les cyberattaques.

SÉCURITÉ ET HACKING

Beaucoup pensent à tort que la cybersécurité se résume au hacking, et que si vous n’êtes pas un hacker ou un testeur de pénétration, vous ne pouvez pas réussir dans ce domaine. Malheureusement, cette idée fausse dissuade certaines personnes de se lancer dans la cybersécurité, car elles ne se voient pas comme des hackers. Cependant, le domaine de la cybersécurité offre une variété de métiers qui ne se concentrent pas uniquement sur la résolution de problèmes techniques, mais aussi sur les aspects humains. Il est essentiel d’avoir des professionnels capables de sensibiliser les utilisateurs aux risques numériques.

COMPÉTENCES TECHNIQUES

Passons maintenant aux étapes à suivre pour entamer une carrière en cybersécurité. Commençons par les aspects techniques. Gardez à l’esprit que cette liste n’est pas exhaustive.

Tout d’abord, il est crucial de comprendre le fonctionnement de votre ordinateur, y compris des composants tels que la RAM, la CPU, le WIFI, le BIOS, le disque dur, etc. De plus, apprenez à créer une clé USB bootable et à comprendre les composantes d’une carte mère, entre autres.

Le deuxième point concerne la virtualisation et le cloud. Voici quelques éléments à explorer : créer et installer une machine virtuelle pour tester des systèmes d’exploitation tels que Linux, augmenter la mémoire ou le disque dur d’une machine virtuelle, comprendre les Snapshots et les Hyperviseurs. Parmi les exemples d’Hyperviseurs, on peut citer VirtualBox et VMware.

Pour aller plus loin, il est essentiel d’acquérir des compétences en cloud computing. Vous pouvez vous former gratuitement sur des plateformes telles qu’AWS (Amazon Web Services), qui propose une offre gratuite d’un an, Azure de Microsoft avec son service équivalent AZURE free trial, et Google Cloud avec Google Cloud free trial.

Le troisième point technique concerne Linux, un système d’exploitation largement utilisé en test de pénétration et en cybersécurité en général. Vous pouvez commencer par installer des distributions telles qu’Ubuntu, Debian ou Linux Mint sur une machine virtuelle. Apprenez comment fonctionne le système de fichiers root, l’utilité de la commande sudo, la gestion des groupes et des utilisateurs. Pour approfondir vos connaissances, je vous recommande la lecture des trois livres suivants (cliquez pour télécharger) : « How Linux Works« , « Linux Basics for Hackers« , et « The Linux Command Line« .

Une fois que vous vous sentez à l’aise avec Linux, vous pouvez passer à des systèmes qui intègrent plusieurs outils de sécurité pour les tests d’intrusion, comme Kali Linux, Parrot Security OS ou BlackArch. Pour les débutants, Parrot Security OS est une recommandation, et vous pouvez l’installer sur une machine virtuelle.

Lorsqu’on parle de Linux, il est important de ne pas négliger Windows. Vous devez savoir comment installer un serveur Windows, configurer un contrôleur de domaine (généralement déployé en entreprise), joindre un ordinateur à un domaine, comprendre les groupes et les utilisateurs, le processus d’authentification sur un contrôleur de domaine, ainsi que les concepts de forêt, de serveur, et de protocoles comme LDAP. Microsoft propose de nombreuses ressources gratuites sur son site pour vous aider à maîtriser les serveurs Windows.

Un autre point crucial est la programmation. Cette compétence vous permettra de créer vos propres outils et d’automatiser des tâches. Les langages de programmation importants à connaître comprennent Python, JavaScript, Bash, PowerShell, Perl, Java, et C. Pour les débutants, Python est généralement recommandé.

Le cinquième élément essentiel de votre formation concerne les réseaux informatiques. Les réseaux sont des ensembles d’ordinateurs et de dispositifs qui communiquent entre eux, y compris les smartphones. Il est important de comprendre le fonctionnement des principaux protocoles Internet, tels que HTTP, DNS, TCP, UDP, SSH, RDP, IMAP, POP, SMTP, ainsi que les VPN. Vous devriez également être capable de différencier les adresses IP publiques des adresses IP privées, connaître IPv4 et IPv6, comprendre la NAT (Network Address Translation), ainsi que les modèles TCP/IP et OSI.

De plus, il est essentiel de comprendre le rôle des commutateurs et des routeurs, de maîtriser la configuration des tables de routage, de distinguer le routage statique du routage dynamique, de comprendre ce qu’est un pare-feu, un VLAN, un sous-réseau, un masque de sous-réseau, une passerelle par défaut, le fonctionnement des réseaux sans fil (Wi-Fi), et d’apprendre à analyser le trafic réseau avec des outils comme Wireshark. De plus, vous pouvez apprendre à configurer et à installer un serveur de journalisation, tel que Syslog-ng. L’outil GNS3 vous permettra de créer des réseaux informatiques virtuels pour vos expérimentations.

Par ailleurs, il est important d’approfondir vos connaissances sur les pare-feu, les systèmes de détection d’intrusions (IDS), et les serveurs mandataires (proxy). Les pare-feu jouent un rôle clé dans l’infrastructure des réseaux d’entreprise en filtrant le trafic en fonction de l’adresse IP, du port et de l’application, en se référant aux niveaux 3, 4 et 7. Les serveurs mandataires permettent aux ordinateurs sur un réseau d’accéder à des ressources Internet et effectuent également des filtrages en fonction de la catégorie ou de la réputation des sites web. Vous devriez être familiarisé avec les codes HTTP tels que 200, 403, 302, 407 et 503.

Enfin, les systèmes de détection d’intrusions (IDS) détectent et bloquent les activités anormales, tandis que les systèmes de détection des menaces (TDS) ne font que détecter les activités anormales sans les bloquer. Pour commencer, vous pouvez installer PFsense et tester les concepts de filtrage, de routage et de détection d’intrusions avec SNORT. Pour aller plus loin, vous pouvez explorer des pare-feu tels que Palo Alto, FortiGate et Checkpoint, qui sont couramment utilisés dans les entreprises. Ces pare-feu modernes intègrent généralement des fonctionnalités de détection d’intrusions.

En outre, une compréhension de base de la cryptographie est importante, tout comme des notions sur le stockage des données, y compris les bases de données et le langage SQL. Pour débuter, vous pouvez installer un gestionnaire de bases de données gratuit comme MySQL sur une machine virtuelle.

Les trois derniers points suivants sont optionnels mais recommandés si vous souhaitez vous entraîner à la recherche de vulnérabilités et à la résolution de problèmes. Il est conseillé de s’entraîner sur des environnements vulnérables, tels que Damn Vulnerable Web Application (DVWA), Metasploitable 2 ou 3, qui sont des machines virtuelles délibérément vulnérables. Vous pouvez les installer sur votre machine et les utiliser pour rechercher des vulnérabilités.

Pour aller encore plus loin, vous pouvez vous lancer des Capture The Flags (CTF) qui consistent à rechercher et à exploiter des failles. Les CTF sont généralement classés en trois niveaux : facile, intermédiaire et difficile.

Voici quelques plateformes en ligne où vous pouvez vous entraîner :

• Bandit : un outil qui teste vos connaissances en Linux sur plusieurs niveaux.
• Testeur Lab
• Hack The Box
• Rotini
• Pico CTF
• Mitre Attack : pour comprendre les étapes d’une cyberattaque.
• Metasploit
• OpenVAS : pour scanner des vulnérabilités.
• WPScan : pour scanner des vulnérabilités sur WordPress.
• Hydra : pour les attaques par force brute.
• Nmap, un scanner réseau puissant, dont la version avec interface graphique s’appelle Zenmap.
• Shodan : pour la recherche d’informations.
• Wireshark : pour l’analyse du trafic réseau.
• Aircrack-ng : pour l’audit des réseaux sans fil.
• Reaver : un outil d’attaque par force brute sur les réseaux sans fil.
• OWASP ZAP et BurpSuite : pour la recherche et l’exploitation de vulnérabilités.
• John the Ripper : pour le craquage de mots de passe.
• Hashcat : pour la recherche de failles sur les hash.

Ces compétences vous aideront à vous préparer à une carrière en cybersécurité et à contribuer à la protection des ressources numériques contre les cyberattaques.