Ma formation ASRS : la première brique vers la cybersécurité
Je termine la première étape de ma reconversion. Une première brique. Pas une fin, plutôt un socle nécessaire avant d’attaquer le Master Cybersécurité à l’Université Technologique de Troyes.
J’assume ce séquençage. Je ne crois pas qu’on puisse faire de la cybersécurité sans maîtriser d’abord le réseau. La couche TCP/IP, le routage, les VLANs, les protocoles d’authentification. Sans ces fondations, la cyber reste un vernis posé sur un système qu’on ne comprend pas vraiment.
Je n’arrivais pas en terrain inconnu. Beaucoup de concepts m’étaient déjà familiers en théorie. Je savais à quoi servait un DHCP, un DNS, ce qu’était une architecture client-serveur, à quoi répondait un proxy. Ma curiosité et mon apprensitage personnel endehors de mon métier de Data analyste m’on donné ces connaissances. Ce qui me manquait, c’était la pratique. Avoir vraiment configuré Bind9 sur Debian. Posé un Active Directory de bout en bout. Écrit des règles iptables sur une vraie interface. La distance entre connaître la définition d’un DNS et taper named-checkzone la première fois est plus large qu’elle n’en a l’air.
Les blocs techniques
Côté réseau, j’ai appris à raisonner par couche. La segmentation VLAN qui isole en couche 2, le routage inter-VLAN en couche 3, les ACLs qui filtrent les flux. Le tunnel IPsec site-à-site avec ses deux phases IKE, le choix d’AES-256 et de Perfect Forward Secrecy. Et puis le diagnostic MTU sur du VXLAN, qui m’a fait perdre trois jours avant de comprendre que mes paquets HTTP étaient fragmentés à cause d’un overhead que je n’avais pas vu venir. Ce sont des notions que je manipule maintenant, plus juste que je récite.
Active Directory a été le morceau le plus marquant côté système. La méthodologie AGDLP pour gérer les permissions à grande échelle. La pose d’un RODC avec sa Password Replication Policy stricte sur un site distant. L’automatisation via Ansible avec son authentification Kerberos exigeante, où chaque détail compte : realm en majuscules, FQDN obligatoire dans l’inventaire, synchronisation horaire à moins de cinq minutes. Une leçon qui me suit partout maintenant : dans un environnement Windows, DNS est le socle de tout. Une corruption du rôle DNS pendant un projet m’a coûté une journée à remonter l’infra. Je ne l’oublierai pas.
Sur la sécurité, les principes se sont ancrés à force d’être appliqués. La défense en profondeur, qui empile plusieurs couches au lieu de compter sur un seul rempart. Le moindre privilège, jusqu’au détail des droits MySQL où l’utilisateur applicatif n’a que CRUD, et seulement depuis l’IP du serveur web. Le pentest Active Directory du projet 12, où j’ai compromis un domaine en neuf étapes. Ce qui m’a frappé là, c’est que chaque vulnérabilité de la chaîne était évitable avec des mesures basiques. Mot de passe robuste, pas de credentials dans une description LDAP, LAPS pour les admins locaux. Rien d’exotique. Les défenseurs sous-estiment l’enchaînement. Les attaquants le connaissent par cœur.
La sécurité est partout
C’est l’apprentissage qui dépasse le cadre technique. Je ne pense pas qu’on puisse encore concevoir un projet IT sans intégrer la sécurité à chaque étage. Il y a vingt ans, certains métiers tech vivaient avec la sécurité comme un sujet périphérique. Ce n’est plus tenable. Le contexte français, le contexte mondial, les attaques quotidiennes contre les hôpitaux, les collectivités, les PME. Tout pousse à ce que chaque couche d’une entreprise développe ses propres réflexes.
Les compétences cyber ne sont plus l’apanage du RSSI. Un dev qui code sans penser injection SQL, un sysadmin qui ouvre un port 3306 sans restreindre l’IP source, un chef de projet qui ne pose pas la question de la classification des données. Tous laissent passer des choses. La cyber n’est pas un département. C’est une posture transversale, partagée à des degrés différents selon le rôle.
Ce que mes douze ans de data apportent
Une chose m’a frappé pendant la formation. La technique pure ne suffit pas. Sur les soutenances, ce qui m’a aidé n’était pas la maîtrise de telle configuration. C’était la capacité à structurer un argumentaire, à défendre un choix d’architecture, à reformuler quand l’évaluateur ne suivait pas. Douze ans en data analyst, c’est aussi douze ans de réunions avec des métiers exigeants, de présentations à des comités, d’arbitrages permanents entre le souhaitable et le faisable.
Cette posture se transpose presque sans effort. La gestion de projet, la prise de hauteur, le pragmatisme face à un délai. Une base commune à beaucoup de métiers tech. Et je crois qu’elle va peser encore plus avec l’arrivée des outils d’IA dans les pratiques quotidiennes.
L’IA, un outil à utiliser intelligemment
Quand j’étais data analyst, je trouvais déjà que passer trois heures sur debboguer une ligne SQL n’apportait pas grand-chose. La valeur ajoutée était ailleurs. Dans la compréhension du besoin client. Dans la qualité de la donnée. Dans le choix des contrôles à poser. La technique reste utile. Elle se subordonne à la compréhension, ce n’est pas pareil.
La formation ASRS m’a confirmé l’intuition à une autre échelle. Le nombre de commandes, d’options, de syntaxes à connaître est tel qu’il est impossible de tout maîtriser dans une vie. Configurations Cisco, PowerShell, Bash, modules Apache, options rsync. Chaque outil a son océan. L’IA a été pour moi un compagnon précieux pendant cette formation, à condition de l’utiliser de la bonne manière. Pas en script kiddie qui copie-colle sans lire. En outil pédagogique. Je demande à l’IA de m’expliquer ce qu’elle propose, je décompose chaque option, je vérifie sur la doc officielle, j’adapte au contexte. Quand je saute cette étape, je le paie. Toujours.
Ce qu’un ingénieur en cybersécurité doit savoir faire, ce n’est pas de réciter des commandes. C’est comprendre une architecture, savoir pourquoi on a fait tel choix, pouvoir le justifier devant un audit, identifier les compromis qu’on a acceptés.
Ce que je garde
Trois choses solides à l’issue de cette première brique. Une culture technique large : réseau, système, AD, sécurité, supervision, scripting, virtualisation. Des réflexes méthodologiques qui sont devenus des automatismes, notamment le troubleshooting par couches et la vérification systématique avant chaque redémarrage de service. Et une conviction renforcée. La cyber est partout, et la posture compte autant que la commande qu’on tape.
Maintenant, place au Master.
Les configurations, scripts et livrables détaillés des projets seront publiés progressivement sur mon GitHub, projet par projet. Les retours d’expérience techniques feront l’objet d’articles séparés sur ce blog.