lundi 6 juin 2016

FullStack Infosec practitionner

En écho au contrat de genération CyberSécurité animé par @ISSA_France autour du Cyber Security Career Lifecycle (#CSCL) et aux articles #InfoSec challenges de @helpacsoout que j'avais eu plaisir à lire, voici un petit florilège actualisé que ma <3 @NathPlanteur <3 et moi avons eu le plaisir de vous compulser, enjoy!


1. Avez-vous déjà passé une certification sécurité ?
  • sur un sujet qui ne vous intéresse pas ?
  • sur un sujet "juste pour le fun" ?
  • que vous recommandez (#askingforafriend) ?

2. Avez-vous déjà contribué à la formalisation d'un schéma directeur sécurité ?
  • ou rédigé un schéma directeur sécurité vous-même ?
  • avec un budget ?
    • relatif à l'amélioration des 10% restant ?
  • et présenté ce schéma directeur sécurité au Board ?
    • et arbitré vos mesures après présentation au Board ?

3. Avez-vous déjà contribué à la rédaction une analyse de risques ou d'une politique de sécurité ?
  • ou rédigé vous même une analyse de risques ou une politique de sécurité. Ou les deux ?
  • ou validé une analyse de risques ou une politique de sécurité rédigée(s) par un autre ?
  • et présenté les conclusions au Board ?
  • et argumenté avec un auditeur externe sur la pertinence de vos documents ?

4. Avez-vous déjà dirigé le processus de certification de votre organisation (27x, pcidss, passi, etc) ?
  • et pris la responsabilité d'un retard de conformité ?
    • limitant de fait les capacités opérationnelles de vos métiers ?
  • et changé d'auditeur en cours d'audit pour une raison quelconque ?

5. Avez-vous déjà conçu un support de sensibilisation pour les utilisateurs de votre Système d'Information ?
  • pour des utilisateurs techniques et non techniques ?
  • et animé une "première" séance de sensibilisation ?
  • et animé une séance de sensibilisation pendant laquelle les utilisateurs sont demeurés intéressés du début à la fin ?
    • alors que cette séance est la n-ième à laquelle ils participent ?

6. Avez-vous déjà été confronté à la gestion d'un incident de sécurité ?
  • dans un cadre dépourvu de toute organisation ou procédure adaptée ?
  • pour un environnement sur lequel vous étiez responsables des contrôles ?
  • avec une compromission totale de votre SI (technique ou métier) ?
  • un vendredi 14 juillet ?
  • monté en épingles sur les réseaux sociaux ?
  • que vous apprenez par email de la part d'un tiers ?
  • que vous êtes obligés de notifier à un ou des tiers ?
  • impactant les Systèmes d'Information de tiers ?
    • et déclenché les garanties de votre couverture en responsabilité civile ?
      • et essuyé un refus de couverture par votre assureur ?

7. Avez-vous déjà accompagné votre Direction dans la rédaction d'un plan de continuité d'activité ?
  • et dirigé les opérations dans le cadre d'un plan de reprise d'activité ?
    • et "planté" la bascule en mode dégradé pour une raison quelconque ?
      • pour une raison connue de tous pour laquelle vous étiez jusqu'à présent l'oiseau de mauvais augure ?
  • et dirigé les opérations dans le cadre d'un plan de relocalisation des fonctions essentielles ?
    • et déplacé vos x fonctions sensibles sur un site de répli ne disposant que de x/2 positions ?
  • et dirigé un exercice de gestion de crise ?
    • pour lequel vous "tuez" le directeur de crise dans les 5 premières minutes de l'exercice
    • pour lequel 1/4 de la cellule de crise est toxique sans que les autres participants en soient informés ?

8. Avez-vous déjà dirigé un audit fonctionnel ?
  • que vous avez réalisé vous-même ?
  • sans possibilité d'entretien (questionnaires uniquement) ?
  • sans possibilité de questionnaire (entretiens uniquement) ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

9. Avez-vous déjà dirigé un audit technique ?
  • que vous avez réalisé vous-même ?
  • sur la base de preuves d'audits fournies par un tier (mais vos scripts) ?
    • pour lesquelles vous avez-vous même développé les scripts d'audit ?
  • sur une base exclusivement documentaire (spécifications) ?
  • et interrompu l'audit suite à l'identification d'un point de compromission ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

10. Avez-vous déjà dirigé des tests d'intrusion ?
  • que vous avez réalisés vous-même ?
  • sur un axe de travail "red team" (pas de contrainte de temps ou de périmètre) ?
  • sur un axe de travail "ingénierie sociale" ?
  • avec validation d'un scénario impactant la disponibilité de composants essentiels ?
    • entrainant une indisponibilité effective des composants cibles ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

11. Avez-vous déjà piloté une organisation de veille opérationnelle en vulnérabilités ?
  • et réalisé la veille vous-même ?
  • lors de la publication d'une vulnérabilité écarlate ?
    • un vendredi 14 juillet ?
  • et arbitré un report de correction d'une vulnérabilité écarlate pour des contraintes métier ?
    • et déclenché votre gestion de crise suite à l'exploitation "malvenue" de ladite vulnérabilité ?
  • et forcé l'application ASAP de correctifs de sécurité ?
    • avec effets de bord et retour arrière ?

12. Avez-vous déjà administré toute ou partie d'un Système d'Information ?
  • dans un environnement professionnel ?
  • avec une DSI de x/2 collaborateurs avec x nécessaires aux opérations quotidiennes ?
  • composé d'éléments non maintenus ou obsolètes ?
  • en préparation de fusion avec le Système d'Information d'un tiers suite à un rachat ou une fusion ?

13. Avez-vous déjà développé un logiciel ?
  • dans un environnement professionnel ?
  • pour lequel vous avez au préalable formalisé les spécifications et le cahier de recette ? 
    • auxquels vous avez adjoint un cahier de recette sécurité ?
  • pour lequel vous avez assuré seul le développement ?
  • pour lequel vous avez travaillé en équipe ?
  • que vous avez publié en open source ?
  • avec un processus de V&V intégrant suivi des vulnérabilités et des correctifs ?

14. Avez-vous déjà publié articles et/ou livres ?
  • et présenté vos travaux lors d'une conférence ?
    • sans connaitre les organisateurs ?
  • sur un sujet que peu maitrisent ?
  • sur un sujet que beaucoup maitrisent ?

Question bonus : pouvez-vous réaliser demain (seul ou accompagné) toutes les réponses précédentes auxquelles vous avez répondu oui ? :-)

PS : Merci @helpacsoout, @helkhoury et @philoupas !

Jess - @JessicaGallante