MODIF: Il semble y avoir une énorme déconnexion entre les responsables du recrutement et les candidats potentiels. Ce post vise à mettre en lumière pourquoi vous ne décrochez peut-être pas d’emploi. Si vous êtes un responsable du recrutement et que vous avez une expérience différente, partagez-la dans les commentaires, apportez des éclaircissements. Si vous êtes candidat et que vous êtes frustré de voir comment ça se passe dans la plupart des endroits, exposez vos griefs ci-dessous…
J’ai récemment recruté environ 25 personnes pour divers rôles en cybersécurité. Principalement, des analystes SOC débutants, des testeurs de pénétration et des analystes de risques.
Chaque poste de niveau débutant (et senior) que je publie reçoit peut-être 75 à 100 candidatures.
30 % de ces candidats n’ont aucune expérience en cybersécurité, aucune certification et une lettre de motivation disant essentiellement « la cybersécurité payé bien, donnez-moi un boulot. »
30 % de ces candidats ont un diplôme en cybersécurité et/ou Security+ et une ou deux autres certifications, mais pas d’expérience en informatique ni en cybersécurité. Ce sont généralement des jeunes diplômés.
30 % de ces candidats détiennent une certification Security+ et plus de 10 ans d’expérience en gestion/comptabilité/droit/consulting. Mais souhaitent maintenant changer de voie vers la cybersécurité. Ils savent gérer des parties prenantes difficiles, gérer des projets, communiquer, etc.
5 % de ces candidats sont ceux que vous devez trier. Ils ont 3 ou 4 ans d’expérience en support informatique, sysadmin, netadmin ou développement. Ils ont des centaines d’heures sur Hack the Box. Ils ont parlé lors d’une conférence locale sur un sujet basique, mais qu’ils maîtrisent parfaitement. Ils ont un diplôme et/ou Security+ et/ou expérience en Azure/AWS cloud. Ils sont vraiment passionnés par la cybersécurité et vous pouvez voir qu’ils y consacrent tout leur temps libre. Certains de mon équipe les connaissent (la cybersécurité est une industrie petite) et les marquent comme « difficile à travailler avec » ou « ils ont fait des commentaires racistes dans un bar lors d’une conférence ». D’autres seront considérés comme « sympas » ou « m’ont aidé une fois avec une CTF ».
Ensuite, il y a les 5 % finaux, qui ont les mêmes compétences que ci-dessus MAIS ils ont un ami dans mon équipe ou notre équipe les connaît via CTF/confs/discord, etc. Mon équipe recommande qu’ils sont travailleurs.
Je sais que certaines personnes répondront en disant « mais je n’ai pas le temps de faire des centaines d’heures sur Hack the Box ». Je comprends. Je ne dis pas que vous devez le faire. Je dis que c’est contre quoi vous luttez.
En tant que responsable du recrutement, je privilégie toujours ceux qui sont passionnés par la cybersécurité. Ce serait une injustice pour moi et mon équipe de ne pas embaucher les meilleurs et de faire en sorte qu’ils couvrent pour eux.
Je sais que certains diront « vous ne pouvez pas simplement embaucher les amis des gens ». Malheureusement, c’est ainsi que fonctionne la majorité de l’industrie. Parce que les gens en cybersécurité ont l’habitude de traiter avec des risques et de les réduire. Embaucher quelqu’un avec qui mon équipe a travaillé (sur plusieurs mois) et qui l’aime, comporte moins de risques que de passer par deux ou trois heures d’entretien. Les bonnes personnes connaissent de bonnes personnes. Donc, si votre équipe est bonne, embaucher des gens qu’elle juge bons est une victoire.
Quels sont les résultats de ce post?
Eh bien, si vous avez du mal à obtenir un emploi avec seulement Security+ ou un diplôme, sachez contre quoi vous luttez. Je crois sincèrement que vous trouverez un emploi, mais vous devrez postuler à 50-100, voire plus. Il faut trouver ce poste qui n’est pas ciblé par ceux qui passent des heures sur Hack the Box dans leur temps libre.
De plus, si vous avez du mal à décrocher un poste. Faites-vous des amis ! Créez votre réseau ! Allez à des événements du secteur, utilisez LinkedIn, etc. Soyez celui qui se pointe à tous les cours à l’unif et rencontre du monde. Ne soyez pas ce con qui ne travaille pas dans un projet de groupe.
Je vois pas mal de gens ici qui obtiennent une Security+ puis prétendent qu’ils ne trouvent pas d’emploi, alors qu’il n’y a pas de pénurie. J’ai déjà embauché des personnes avec juste Security+ ou des connaissances de base. Il leur faut des mois avant d’être vraiment utiles. En attendant, ils doivent suivre un senior et occupent son temps précieux. Mes seniors ont tous déjà un ou plusieurs juniors qu’ils forment. Cette industrie a besoin de seniors. La différence entre un junior et un senior, c’est, pouvez-vous fonctionner de manière autonome ? Par exemple, si vous recevez une alerte d’un fichier html malveillant attaché à un email, pouvez-vous le gérer ? Pouvez-vous déobfuscifier le JS, découvrir des IOC et les charger dans des outils de sécurité ? Maîtrisez-vous Splunk, Palo Alto, Fortinet ou Crowdstrike ? Pouvez-vous parler à un cadre de cette situation ? Pouvez-vous rechercher toutes les autres boîtes mail pour plus d’emails et les supprimer ? Pouvez-vous vérifier dans Sentinel les logs proxy et voir qui a cliqué ? Toutes ces compétences sont celles en pénurie. Je ne m’attends pas à ce que vous connaissiez tous ces outils, mais si vous pouvez en faire une partie, vous serez beaucoup plus proche d’un niveau senior et vous distinguerez des autres candidats.
Idées
Configurez une instance de Splunk, une VM Windows et quelques outils de sécurité, intégrez leurs logs dans Splunk, téléchargez des malwares (Googlez “GitHub malware samples”), exécutez-les sur votre VM Windows et rédigez des requêtes/alertes pour les détecter. OU achetez un pare-feu Fortinet pas cher, mettez-le chez vous pour vous et votre famille, configurez des règles, bloquez tous les domaines publicitaires, activez l’IPS pour tout, ajustez les signatures, montez un VPN pour quand vous êtes dehors, OU faites Hack the Box et apprenez la sécurité offensive pratique.
Cela vous rapprochera vraiment d’un niveau senior, à condition de vous former et de mettre en pratique.