hacker éthique hacker éthique
Métiers

Threat hunter

Le rôle de cet expert devient de plus en plus important. Les entreprises et les différents éditeurs de solutions de cybersécurité s’efforcent de rester à l’affût des dernières menaces et de mettre en œuvre une réponse rapide pour atténuer les dommages potentiels.

Fiche métier mise à jour le
En résumé
Niveau d’études : Formation supérieure en informatique Bac +2 minimum (BAC+5 préférable)
Bac conseillé : Scientifique
Employabilité : Très Bonne
Salaire débutant : 50 000€ brut/an
Salaire confirmé : 150 000e brut/an
Mobilité : Variable
Code ROME :
Code FAP :

 

 

 

 

 

 

 

La cybersécurité est un univers en perpétuelle évolution. À mesure que les méthodes et les outils des cybercriminels évoluent, les techniques d’attaque sont constamment mises à jour et systématiquement employées pour détecter la moindre faiblesse en matière de cybersécurité. Cependant, 80 % des cybermenaces sont peu sophistiquées et peuvent être atténuées par une bonne hygiène de sécurité.

Le reste constitue le top 10 des cybermenaces qui ne peuvent pas être détectées uniquement avec des solutions programmatiques. Les Threat hunter ont pour objectif de repérer ces cybermenaces très avancées. Elles peuvent être le fait d’un collaborateur, d’une personne externe à l’entreprise ou d’un groupe criminel organisé, voire d’une opération commanditée par un État.

Pour les petites et moyennes entreprises, les services de Threat hunter sont généralement assurés par des fournisseurs de services gérés (Managed Service Provider

MSP) qui peuvent s’abonner à des flux de menaces ou rejoindre une organisation de partage et d’analyse de l’information (Information Sharing and Analysis Organizations-ISAO) pour obtenir des renseignements sur les menaces. 

Les MSP peuvent avoir un Threat hunter au sein de leur personnel pour répondre aux demandes de leurs clients ou ils peuvent s’attendre à ce que leurs analystes en cybersécurité assument ce rôle de chasseur de menaces.

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Métier

Le rôle de cet expert devient de plus en plus important. Les entreprises et les différents éditeurs de solutions de cybersécurité s’efforcent de rester à l’affût des dernières menaces et de mettre en œuvre une réponse rapide pour atténuer les dommages potentiels.

Missions

Comme nous venons de le préciser, ce spécialiste n’a pas pour mission de s’attaquer aux incidents qui se sont déjà produits. Il recherche les cybermenaces qui se cachent dans le « bruit » avant que l’attaque ne se produise. 

Il peut être chargé des tâches suivantes :

  • Rechercher les cybermenaces et les risques qui se cachent dans les données avant que les attaques ne se produisent
  • Recueillir le plus d’informations possible sur le comportement, les objectifs et les méthodes des menaces
  • Organiser et analyser les données collectées pour déterminer les tendances dans l’environnement de sécurité de l’organisation
  • Faire des prévisions pour l’avenir et éliminer les vulnérabilités actuelles.

Responsabilités Développeur full stack

Anticiper et innover. Ce sont les deux maitres mots de la fonction de Threat hunter. Ce spécialiste doit en effet adopter une approche proactive pour détecter les menaces de cybersécurité. Il s’appuie principalement sur la méthode scientifique pour tester et valider ses hypothèses. 

Le Threat hunter enquête, identifie et rend compte des menaces et des modèles qui ne sont pas identifiés par des outils automatisés. Il peut identifier des modèles de comportements adverses et élaborer des profils de menaces à partir de sources publiques de renseignements et d’informations d’origine privée. 

Cet expert rend compte de ses conclusions et peut recommander des investigations supplémentaires pour répondre et remédier aux menaces de sécurité vérifiées. Par contre, il n’intervient pas en cas d’incident. La remédiation n’est pas de sa responsabilité, bien qu’il puisse collaborer avec des équipes de réponse aux incidents.

Compétences

Ce sont des professionnels hautement qualifiés qui possèdent une grande expérience et une connaissance approfondie des outils du métier, tels que les journaux de pare-feu, les journaux de fenêtres, les techniques d’attaque, les systèmes de détection d’intrusion et la gestion des incidents et événements de sécurité (SIEM).

Ils possèdent en particulier une très forte connaissance des environnements informatiques (Windows et Linux/Unix), des vecteurs d’attaque des logiciels malveillants (ou malwares) et des acteurs de la menace. Ils savent quels outils, techniques et procédures rechercher dans un environnement.

Étant donné leur mission, ils doivent avoir une expérience pratique de la criminalistique, de l’analyse des données, de l’analyse du renseignement, de la sécurité des réseaux (maitrise des différents protocoles, tels que la pile TCP/IP) et des terminaux (ou endpoints).

Outre l’expérience pratique, ils doivent également avoir une connaissance approfondie des méthodes actuelles et passées des logiciels malveillants, des méthodologies d’attaque et des TTP (tactiques, techniques, procédures), de l’ingénierie inverse. Les TTP sont des modèles spécifiques de techniques et d’activités associés à certains cyberadversaires. Des compétences en codage et en langages informatiques sont indispensables pour analyser les journaux, automatiser des tâches et effectuer des analyses de données complexes. Il doit être en effet capable de repérer les schémas inhabituels sur le réseau et de confirmer s’il s’agit d’un faux positif ou d’un logiciel malveillant avancé (attaques de type « Zero-day ») qui tente de communiquer avec une partie externe.

Qualités

Toutes les compétences précédemment détaillées ne suffisent pas à devenir un excellent Threat hunter. La préparation de rapports de sécurité et de différents documents techniques est une partie essentielle de leur travail. Ils doivent donc posséder d’excellentes compétences en matière de rédaction technique et de rédaction de rapports. Enfin, ils doivent posséder quelques compétences non techniques : gestion du stress, analyse, en recherche et résolution de problèmes. 

Un certain niveau de raisonnement déductif est également vital, car ils doivent être capables de formuler des hypothèses raisonnables (par exemple, comment une menace pourrait-elle échapper à un IDS ou « Intrusion Detection Systems » ?) et exfiltrer des données spécifiques) et de travailler à rebours pour rechercher des traces d’une éventuelle intrusion en cours. Il peut utiliser les données collectées avec un outil SIEM (Security Information and Event Management) pour créer des graphiques personnalisés, basés sur son hypothèse, qui l’aideront à reconnaître plus facilement les modèles.

Niveau d’études nécessaire

Il est recommandé d’avoir Bac +5.

Quelle École ?

Il est recommandé d’intégrer une école d’ingénieur en cybersécurité et ensuite de suivre des formations pour obtenir certaines certifications très demandées.

Quel bac ?

Un baccalauréat en technologie de l’information, en informatique ou dans une discipline connexe, permet à ces chasseurs de se familiariser avec les technologies, les théories et les pratiques de base dans ce domaine. Mais il convient ensuite et de suivre es formations très spécialisées.

Salaire

Il varie en fonction de l’entreprise ou du prestataire. Un hunter peut prétendre à une rémunération se situant autour de 50 000 € brut/an. Quant à un expert senior, son salaire peut atteindre les 150 000 € brut/a.

Evolution de carrière

Actuellement, il existe une énorme pénurie de talents dans le domaine de la cybersécurité. Les chasseurs de cybermenaces sont des analystes de niveau 3, et trouver des professionnels qualifiés pour ce rôle est un défi. La première évolution possible est donc d’envisager de rejoindre un important MSP ou une grosse entreprise spécialisée dans la cybersécurité. Étant donné ses compétences très pointues, un hunter peut ensuite devenir un chasseur de prime (bug bounty hunter), voire un analyste en réponse à incident.

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

En résumé

Quelles sont les bonnes questions à se poser avant de s’orienter

Se poser les bonnes questions pour son futur métier est essentiel. Une étape qu’il ne faut pas négliger notamment avant son orientation. Voici quelques questions incontournables : - Ai-je un niveau suffisant en mathématiques et en informatique ? - Quels sont les contenus des formations proposés par l’école ? - Qui sont les intervenants et professeurs ? - Des stages sont-ils organisés ? - Quel est mon projet professionnel ? - Dans quelle entreprise ou agence web je souhaite travailler ? - Les débouchés sont-ils importants ? - Vais-je trouver un emploi facilement ou est-ce que je dois commencer comme freelance ?

Devenir threat hunter

Devenir un threat hunter ne se fera pas du jour au lendemain. La plupart de ces professionnels ont développé leurs compétences au fil des ans, en acquérant une expérience pratique dans plusieurs domaines de la cybersécurité. Ces experts étant assez rares sur le marché, ils peuvent prétendre à d'excellents salaires, car ils sont très souvent demandés par des entreprises qui veulent assurer la protection de leurs opérations.

Métiers proches de Expert en Cybersécurité

Continuez vos recherches autour des métiers de la cybersécurité :