👨🏻‍🔬 Ma formation cyber avec Jedha Bootcamp

0xD4M13N

🙋 Introduction

Cet article va détailler la formation « cybersecurity fullstack » que j’ai suivi avec l’école Jedha Bootcamp.
Tout d’abord je vais vous expliquer le cheminement qui m’a amené à choisir cette école et cette formation.

🤷‍♂️ Pourquoi se former ?

Je me situe à un moment charnière de ma vie professionnelle où je ne m’accompli plus dans mes différentes tâches quotidiennes et où je suis en quête de nouveaux challenges.
C’est là que je discute avec une connaissance et je devine à ses propos qu’il bosse dans l’IT (comme moi, enfin presque …). Il s’avère qu’il bosse pour une société qui fait du consulting et de l’audit de sécurité pour des entreprises dans le milieu médical et vétérinaire. Il réalise, entre autres, des tests d’intrusions et de la réponse à incident.
Cet échange a été pour moi le déclic signalant qu’il fallait que je me reconvertisse dans ce milieu que j’avais côtoyé succinctement à une époque (j’ai pas mal « joué » à une certaine époque avec BackTrack, l’ancêtre de Kali Linux et j’avais déjà une forte appétence pour ce milieu que je n’appelais alors pas cybersécurité mais bidouille, découverte et détournements en tout genres).

🤔 Comment y parvenir ?

Je démarre mes recherches avec comme mots-clés : « formation cybersécurité« , et je ne tombe pas tout de suite sur Jedha, mais sur CyberUniversity.
Sur le site de ce dernier, on sent tout de suite qu’ils sont spécialisés dans le domaine de la cybersécurité, mais je ne trouve pas mes marques. Leur site manque, à mon sens, d’informations précises sur leurs différentes formations, me laissant un goût de tape à l’œil sans réel contenu à présenter ensuite (je parle uniquement de ressenti, je ne saurais juger de la qualité des formations chez eux car je n’ai pas eu l’occasion d’essayer).
C’est là que plus loin dans mes recherches et après plusieurs sites, je tombe (enfin 😮‍💨) sur celui de Jedha.
Je retrouve une présentation qui attire l’œil certes (à l’image de celle de CyberUniversity), mais cette fois on peut voir plus en détail le contenu de leurs différentes formations et j’ai tout de suite apprécié le côté très complet de leurs modules (avec un coup de cœur pour la partie projet promettant de gouter tant à du blue team 💙 que du red ❤️).

⚖️ L’heure du choix

C’est décidé, je télécharge leur syllabus, qui ne fait que confirmer mon choix, et j’entame les démarches, et là tout s’accélère. Un premier échange téléphonique, je parle de mon parcours de mes ambitions, et de mon choix de m’inscrire à la formation « full stack » sans passer par la formation « essentials« , qui me paraissait « inutile » dans mon cas, et qui s’est confirmé à la suite d’un test technique que j’ai dû passer afin de valider mon choix de formation.
Inscription validée, financement également, à ce propos, pour celles et ceux qui seraient en poste comme moi, sachez que votre employeur cotise de manière obligatoire à un organisme qui s’appelle un OPCO (opérateur de compétences), et que ce dernier se propose de financer une partie du coût de votre formation (dans mon cas à hauteur de la moitié du prix, le reste a été financé par mon CPF), dans la majorité des cas, si votre OPCO finance une partie de la formation, sachez que c’est automatique lorsque vous choisissez une formation éligible sur le site moncompteformation.fr, au moment de passer au paiement ils vous affichent la somme prise en charge.

📋 Contenu de la formation

Etant en poste durant toute la formation, j’ai choisi de suivre la formation en mode « on demand« .
Ce format est découpé en 2 parties:

  • Des masterclasses en visio avec un intervenant compétent toute la journée le samedi (pas tous les samedis)
  • Un travail en autonomie via la plateforme Julie fournie par Jedha

Tout au long de la formation (et ensuite à vie), vous avez accès à la plateforme Julie permettant de suivre ses progrès, et d’avancer à son rythme sur la formation (mais également à une grande quantité d’autres formations gratuites dispensées par Jedha).
Chaque masterclass couvre alors une partie des modules et chapitres de manière séquentielle de façon à nous remettre tous à niveau, de répondre aux questions et d’aller plus loin.

De mon ressenti, le début a été très (très) long car il s’agit de remettre tout le monde au même niveau technique (ou du moins avoir les bases qu’il faudra approfondir soi-même). C’est une phase essentielle car les apprenants viennent de tous horizons, et j’avoue que même si cette phase s’est essentiellement composée de redite pour moi, ça ne m’a pas fait de mal de revoir certaines notions.

Ensuite on enchaîne avec le vif du sujet en commençant par de la reconnaissance en passant par les concepts de Red team et de Blue team, les techniques d’évasion et enfin la notion très importante de rapport.
La formation se clôture par un point de gestion de carrière (CV, conseils et astuces, …), et enfin le tant attendu projet !
Ce dernier se déroule en 2 phases durant lesquelles vous serez répartis en 2 équipes :

  • Phase défensive : Vous recevez vos règles, informations et accès, et vous devez mettre en œuvre tous les concepts appris afin de défendre au mieux l’infrastructure proposée, pendant que l’équipe en face « attaque ».
  • Phase offensive : Vous recevez vos règles d’engagement, objectifs et accès, et vous devez utilisez vos connaissances acquises durant la formation pour valider le(s) objectif(s) sur l’infrastructure, en parallèle l’autre équipe tente de défendre, détecter vos actions et les empêcher.

Après la fin du projet, il vous sera demandé de réaliser une présentation de ce que vous avez fait durant le projet de manière à valider la fin de votre formation.

📜 La certification

A l’issue de la formation, vous aurez la possibilité d’obtenir une certification professionnelle, que je vous conseille vivement de passer car au delà de l’attestation de fin de formation délivrée par Jedha, la certification correspond à un titre RNCP de niveau 6 qui peut ajouter du poids à votre CV (surtout si comme moi il s’agit d’une reconversion professionnelle et n’ayant aucune expérience ou formation en lien avec la cybersécurité à mettre en avant).

Dans mon cas, la certification proposée à l’issue de la formation est l’AIS (Administrateur d’Infrastructures Sécurisées) correspondant au titre RNCP 37680.

Lors de l’obtention de votre attestation de fin de formation, et dans le cadre de l’AIS, vous aurez 9 mois pour passer cette dernière.
Pour passer la certification, vous devrez justifier d’une expérience professionnelle d’au moins 350h en lien (de près ou de loin) avec la cybersécurité.
Pour cela, vous avez un large éventail de possibilités :

  • Un stage (rémunéré ou non)
  • Un CDD
  • Un CDI
  • Réaliser plusieurs projets sur le site theforage

Mon cas est particulier car je suis en poste (en tant que développeur sur systèmes embarqués), et selon les retours de Jedha, mon expérience en cours suffit pour justifier un passage de la certification.
J’ai tout de même désiré montrer que j’ai appliqué les concepts liés à la sécurité des systèmes d’information directement dans mon travail quotidien.
J’ai commencé alors à m’intéresser à des sujets comme la création de pipelines CI/CD nous permettant d’automatiser des tâches telles que la compilation, la réalisation de tests unitaires …
J’ai également regardé du côté de la politique de sécurité, et j’ai rédigé une PSSI (Politique de Sécurité des Systèmes d’Information) applicable à notre entreprise.
Je continuerais d’avancer sur ces sujets de manière à avoir du grain à moudre pour le passage de la certification.

A l’heure où j’écris cet article, je viens juste de terminer la formation, je n’ai donc pas encore passé la certification et je ne manquerais pas d’ajouter des informations supplémentaires après le passage (et l’obtention j’espère🤞) de cette dernière.

🏁 Conclusion

Pour résumer mon parcours avec Jedha, je commencerais par les premiers échanges par téléphone très intéressants où l’on se sent amenés et accompagnés et pas simplement traité dans la masse comme du bétail.
Ce sentiment d’accompagnement s’est ressenti ensuite tout au long de la formation, avec pour cela des intervenants à la fois bons techniquement, mas également sur l’aspect pédagogique et humain. Ils ont été une source d’inspiration de par leur carrière respective, leur savoir, et très facile d’accès nous offrant la possibilité d’échanger avec eux, et ce même après la formation (bienvenue dans le monde de la cyber 👋).

Pour l’intégralité de ce parcours, je tiens à remercier grandement Jedha et ses intervenants.

Une expérience challengeante et motivante, à l’issue de la formation je me sens totalement confiant au sujet de ma reconversion (même si j’ai conscience du chemin qu’il me reste à parcourir), il ne faut pas pour autant pas oublier que la cybersécurité est un milieu en constante évolution, les vérités d’aujourd’hui (failles, techniques, outils, ..) ne seront pas forcément celle de demain !

👉 What’s next ?

Après l’obtention de ma certification, je poursuivrais mes recherches de manière à trouver l’entreprise qui me permettra d’évoluer dans le milieu de la cybersécurité (avec une forte appétence pour le côté offensif de la discipline).

Je continuerais également la veille technologique que je fais déjà depuis quelques temps via les médias suivants :

  • Ecoute de podcasts sur l’actualité de la cybersécurité (RadioCSIRT en quotidien et NoLimitSecu en hebdomadaire pour ne citer qu’eux).
  • Formation continue via des plateformes dédiées (TryHackMe, RootMe, HackTheBox, …).
  • Lecture d’articles dans le milieu de l’IT.
  • Abonnements presse (L’excellent MISC pour ne citer que lui).

Je voudrais terminer cet article en citant M. Marc Frédéric Gomez (RadioCSIRT), qui m’a donné de précieux conseil via son podcast, à savoir que la cybersécurité « est un marché porteur, mais pas open bar et qui demande de l’exigence ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *