Ainsi, l'export en PDF du rapport d'un scan Nessus sera allègrement qualifié de pentest par certains, là où d'autres réserveront ce terme à une activité humaine nécessitant du temps, des compétences et de l'expérience. On sent bien qu'entre les deux, un monde existe, et qu'il est peuplé de profils forts différents aux aspirations très variées. De fait, il me semble difficile de parler de pénurie si on n'arrive pas à identifier exactement ce qui est recherché. En outre, l'apparition d'une demande soudaine pour une activité particulière, que j'aurais plus tendance à appeler génériquement "évaluation de sécurité", n'implique pas forcément qu'elle ne puisse pas être satisfaite. Ce qu'on a vu au SSTIC, ce sont des des gens qui recrutent. Maintenant, est-ce qu'ils auront vraiment du mal à staffer à hauteur de leurs objectifs ? C'est une autre question dont la réponse sera légèrement moins évidente à identifier à l'échelle du marché.

Ceci dit, dans l'hypothèse où on s'accorderait à penser que les profils recherchés nécessitent un bagage de compétences initiales en évaluation offensive, on pourrait effectivement faire face à un problème. À savoir l'absence non pas de gens motivés pour faire du pentest, mais de gens suffisamment formés pour en faire efficacement, en particulier chez les jeunes. On pourrait invoquer une armée d'explications, aussi je ne ferai qu'une constatation qui vaut ce qu'elle vaut, à savoir qu'il n'existe pas, en France et à ma connaissance, de cursus scolaire qui forme à ce genre de pratiques en école ou université. Ou du moins pas officiellement. Ce qui réduit un peu la population disponible aux gens intrinsèquement câblés à ces fins, qui s'avèrent souvent être ceux dont on déplore également la délocalisation[1]. Loin de moi l'idée d'affirmer que personne n'aborde cet aspect de la sécurité[2] au sein de formations spécialisées ou non, seulement de constater que ça n'apparaît pas assez dans les programmes. Et que c'est fort dommage !

Il ne s'agit évidemment pas de créer ce que d'aucuns aiment à qualifier d'écoles de pirates, mais tout simplement d'aborder une activité qui fait partie depuis très longtemps des prestations de sécurité informatique. Cependant, cela pourrait ne pas être aussi simple qu'il y paraît au premier abord. D'abord parce que les prestations à caractère offensif ont du mal à être comprises pour ce qu'elles sont par le public profane. J'en veux pour preuve ce récent article du journal espagnol Público intitulé "La ciberguerra pasa al ataque" qui traite du développement des capacités offensives de la France. Si cette prose mérite un billet à elle seule, on notera néanmoins le passage qui explique[3] que les six CESTI nationaux développent et utilisent des armes numériques parce qu'ils ont reçu l'autorisation du SGDSN[4] de faire... des tests d'intrusion...

Ensuite, et c'est en partie lié au point précédent, parce qu'il faut bien avouer que le test d'intrusion a un peu du mal à trouver sa véritable place dans le grand ordre des choses. Par là, j'entends qu'ils ne sont pas légions ceux qui parviennent à l'intégrer positivement dans un process d'évaluation de la sécurité. Je vois déjà les sourcils se froncer, voire se lever d'étonnement, mais globalement, le pentest tel qu'il est aujourd'hui demandé par le marché, c'est un peu l'audit du pauvre : un truc court, pas cher, dont les effets se corrigent facilement par des mesures de surface et dont les conclusions désagréables ne sont de toute manière "pas pertinentes au regard des impératifs métier"[5]. Mais certainement pas quelque chose qui soit envisagé comme pouvant participer significativement à l'amélioration de leur sécurité.

D'aucuns appelleront ça l'échec du pentest...
Toujours est-il qu'il reste une bonne nouvelle pour une partie de ceux qui staffent. À savoir que pour répondre à ce genre de demande, la main d'œuvre se trouve assez facilement...

Notes

[1] La valorisation passe par une reconnaissance qui peut prendre la forme d'une existence scolaire.

[2] D'autant que je sais que certains le font !

[3] Modulo l'exactitude de la traduction qui m'en a été faite.

[4] <joke>Le SGDN fait de la "sécurité" maintenant</joke> ;)

[5] À se demander pourquoi ces gens demandent des pentests... La réponse à cette question est laissée en exercice au lecteur...