hacker éthique hacker éthique
Métiers

Media exploitation analyst

Tout le monde connait la série Les Experts. De fins limiers sont capables de trouver les moindres preuves en décortiquant un véhicule ou un appareil. Un Media exploitation analyst procède de la même façon en analysant tout type de support : disques durs d’ordinateurs, clés USB, téléphones portables… Son objectif : trouver des preuves dans le cadre d’une enquête.

Fiche métier mise à jour le
En résumé
Niveau d’études :
Bac conseillé : Scientifique
Employabilité : Moyenne
Salaire débutant : 40 000€ brut/an
Salaire confirmé : 180 000e brut/an
Mobilité : Variable
Code ROME :
Code FAP :

 

 

 

 

 

 

Des agences gouvernementales et des entreprises spécialisées dans la cybersécurité ont de plus en plus besoin de spécialistes formés à l’analyse d’appareils numériques ou informatiques pour récupérer des informations vitales sur les systèmes Windows, en particulier (mais aussi sur les OS mobiles ou Linux).  Que vous le sachiez ou non, Windows enregistre silencieusement une quantité incroyable de données sur vous et vos utilisateurs. Un Media exploitation analyst cherche donc à exploiter cette montagne de données.

Ces spécialistes utilisent des outils électroniques pour accéder à ces informations, les extraire et les organiser afin qu’elles puissent être exploitées dans le cadre d’une affaire judiciaire ou de l’étude d’un support en particulier. C’est ce qu’on appelle le forensic.

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

C’est quoi le forensic

Le processus consistant à recueillir et à documenter des preuves à partir d’un ordinateur ou d’un dispositif informatique sous une forme présentable au tribunal en appliquant des techniques d’investigation et d’analyse est appelé Cyber Forensic. L’objectif de cette démarche est de déterminer qui est responsable de ce qui s’est passé exactement sur l’ordinateur tout en documentant les preuves et en menant une enquête appropriée.

Missions

Elles sont à la fois variées et très précises. Prenons le cas d’une analyse dans le cadre d’une enquête judiciaire. Ses missions sont les suivantes :

  1. Copier le disque dur du système faisant l’objet de l’enquête : cette étape consiste à faire une copie des fichiers et des dossiers présents sur le disque dur. Cette « image disque » est créée sur un autre support.
  2. Vérification des données copiées : après avoir copié les données du disque dur du système faisant l’objet de l’enquête sur un autre disque dur, ces spécialistes s’assurent que les données copiées sont exactement les mêmes que les originales. Ils doivent vérifier qu’elles ne sont pas altérées d’aucune façon. 
  3. Récupération des fichiers supprimés : Les fichiers supprimés par l’utilisateur sur l’ordinateur peuvent être récupérés par ces experts, car dans la majorité des cas les données ne sont pas supprimées définitivement.
  4. Trouver des données dans l’espace libre : le système d’exploitation considère l’espace libre du disque dur comme un espace disponible pour stocker les nouveaux fichiers et dossiers, mais les fichiers temporaires et les fichiers supprimés depuis des années sont stockés ici jusqu’à ce que de nouvelles données soient écrites dans l’espace libre. Les experts recherchent dans cet espace libre pour recréer ces fichiers.

De façon plus globale et en dehors d’une affaire judiciaire, les Media exploitation analyst peuvent aussi effectuer une analyse des « logs » (journaux), des preuves et d’autres informations (code anormal, données volatiles…) afin de déterminer les meilleures méthodes pour identifier le ou les auteurs d’une intrusion dans un réseau. 

Ils cherchent aussi à confirmer ce que l’on sait d’une intrusion et découvrir de nouvelles informations, si possible, après avoir identifié l’intrusion (nécessité d’identifier les techniques dites d’obfuscation) par une analyse dynamique. Cela passe notamment par une analyse de la signature des fichiers.

Responsabilités Développeur full stack

Sa principale responsabilité est de savoir interpréter et analyser les données de manière continue et de s’assurer qu’aucune d’entre elles n’a été compromise ou modifiée de quelque manière que ce soit. Il doit en effet préserver l’intégrité des preuves conformément aux procédures opérationnelles standard ou aux normes nationales.

Compétences

Ces professionnels doivent avoir une connaissance approfondie des systèmes informatiques et des réseaux, et donc les principaux langages de programmation (Python et C++), les scripts et l’automatisation.

Ils doivent partager une connaissance approfondie de la technologie d’intrusion et des tests de pénétration (appelés « pentest» en anglais) pour pirater les systèmes potentiels des cybercriminels afin d’en reprendre le contrôle et de s’assurer qu’aucun fichier n’a été altéré ou modifié.

Pour une connaissance plus approfondie, OWASP Threats Fundamentals est un excellent moyen d’acquérir une connaissance complète des clauses qui doivent être déterminées et prises en compte dans ce type d’analyse.

Dans le détail, leurs compétences doivent leur permettre de maitriser le démontage et le remontage d’appareils électroniques tels que des ordinateurs et des périphériques associés. Ils doivent maitriser l’architecture des disques durs et des types de connexion, mais aussi celle des smartphones qui sont de plus en plus utilisés pour échanger des données sensibles. De façon générale, ce qu’on appelle le renseignement SIGINT (Signals intelligence).

Enfin, la maitrise des méthodes actuelles d’ingénierie inverse (ou rétro-ingénierie) pour mieux comprendre les techniques modernes utilisées par les attaquants pour exploiter et pénétrer les systèmes vulnérables est un « plus ».

Qualités

La patience et un fort intérêt pour des enquêtes minutieuses sont indispensables. 

Comprendre les processus et le fonctionnement des différents systèmes d’exploitation, du matériel informatique, des appareils mobiles et des réseaux implique de passer des heures et des heures le nez dans l’unité centrale d’un ordinateur !

Niveau d’études nécessaire

Il est recommandé de suivre un Mastère Spécialisé Expert Forensic et Cybersécurité après avoir un diplôme professionnel BAC+5 ou de de M1 avec 3 ans d’expérience.

Quelle École ?

École d’ingénieurs.

Quel bac ?

Au lycée, il est recommandé de suivre un cursus basé sur les mathématiques et le numérique.

Salaire

Il peut varier entre 40 0000 € brut/an pour un technicien débutant pour approcher les 200 000 € brut/an pour des experts seniors.

Evolution de carrière

Compte tenu de ses compétences, un Media exploitation analyst peut évoluer vers d’autres postes comme chercheur en cybersécurité ou bug bounty hunter.

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

En résumé

Quelles sont les bonnes questions à se poser avant de s’orienter

Se poser les bonnes questions pour son futur métier est essentiel. Une étape qu’il ne faut pas négliger notamment avant son orientation. Voici quelques questions incontournables : - Ai-je un niveau suffisant en mathématiques et en informatique ? - Quels sont les contenus des formations proposés par l’école ? - Qui sont les intervenants et professeurs ? - Des stages sont-ils organisés ? - Quel est mon projet professionnel ? - Dans quelle entreprise ou agence web je souhaite travailler ? - Les débouchés sont-ils importants ? - Vais-je trouver un emploi facilement ou est-ce que je dois commencer comme freelance ?

Devenir Media exploitation analyst

Ce métier est passionnant, mais comme toute activité d’enquête, il nécessite d’être très patient et d’avoir de solides compétences dans le hardware (connaissance des différents rouages d’un disque dur ou d’un smartphone) et le software (Windows et Android n’ont -presque - plus de secrets pour eux).

Métiers proches de Media exploitation analyst

Continuez vos recherches autour des métiers de la cybersécurité :