samedi 26 novembre 2016

Perspectives d'avenir

Or donc, si j'étudie le marché, c'est que je réfléchis au coup d'après. Continuer dans la sécurité ? Continuer dans le conseil ? Continuer dans le pentest ?

Le choix n'est pas facile, mais je ne sais que faire de la sécurité et c'est quand même un marché porteur, et accessoirement que j'adore. Rester dans le conseil ? Ca n'est pas pour me déplaire d'aider des clients avec des problématiques et des contextes différents. Rester dans le pentest ? Rien n'est moins sûr. J'en ai fait de façon intensive les 4 dernières années avec la frustration de finalement le faire de loin (supervision) et ne rien toucher d'autre.

Je commence à avoir l'image du pentest qui déteint sur moi et en restant là où je suis, je ne peux que stagner car mon équipe s'effrite. Oui s'effrite car les fondations sont mauvaises et tout le monde part au bout de 3 ans. Je passe mon temps à faire ce que les consultants seniors devraient prendre en charge : gérer les réunions, faire les relectures, former les jeunes. Je n'ai pas de temps pour améliorer et créer de nouvelles offres. Je n'ai pas le temps pour faire moi-même quelques missions sur le terrain. C'est la frustration d'être dans le pentest et ne pas faire de pentest.

Est-ce que ça serait mieux ailleurs ? Qu'est-ce qui me tenterait vraiment ?

Dans le post précédent, je tente d'identifier les sociétés qui sauraient m'accueillir pour autre chose que du pur management. Je n'ai pas assez pratiqué pour aller chez les belles petites sociétés ultra-spécialisées. Je pourrai encore aller chez des pure players. Je n'ai aucune envie d'aller dans des SSII ou chez les Big 4.

J'ai envie de toucher à tout et de prendre du recul. Il me faut un poste dont je maîtrise la base, mais avec beaucoup de choses à découvrir. J'aimerai bien quelque chose de purple team : attaquer et défendre. J'aimerai bien maîtriser un périmètre, améliorer sa sécurité (RSSI technique/opérationnel) et même prouver que ça s'améliore (créer et suivre des indicateurs). J'ai envie de faire de la défense proactive et du hunting (ça me manque de ne plus être admin sur un domaine et de faire du PowerShell). J'ai envie de voir le quotidien d'un SOC et d'aider à résoudre des incidents.

Les postes qui se dessinent pour le moment sont : chef de projet/pilote SOC, RSSI  technique ou adjoint d'un RSSI orga. Sans préférence entre un pure player ou en interne.

Ma vision des sociétés de pentest en France

J'essaie de me faire un panorama des sociétés de pentest suite à de récentes discussions. Cela m'aide à identifier le type de poste que je pourrais rechercher dans un futur proche :)

Il faut bien se rendre à l'évidence qu'il y a plusieurs catégories de sociétés sur un même marché :
- celles qui veulent faire du volume (SSII/ESN, BIG4), donc diversifier l'activité, et se créer une image "technique"
- celles qui veulent qui veulent surtout se donner une belle image et y mettent les moyens (Sogeti ESEC, Wavestone, Digital Security)
- Les pure players sécurité (Advens, Amosys, Oppida, anciennement HSC, Intrinsec, etc.)
- Les pure players sécurité technique (Quarkslab, Lexfo, Synacktiv)
- Les indépendants ?

Étonnamment les meilleurs (et XMCO qui semble maintenir son choix de ne pas y aller) ne sont pas PASSI ? Le coût du PASSI n'est pas négligeable, ils ont déjà une belle réputation qui fait venir des clients qui savent ce qu'ils recherchent. Le PASSI aurait tendance à être requis par les ministères et donc via des marchés-cadres énormes auxquels ne peuvent pas répondre des jeunes pousses. Puis finalement quand on voit tous ceux qui sont PASSI, on doute de la qualité du label. Espérons un renforcement des exigences techniques (c'est déjà prévu par l'ANSSI).

Il y a une réalité économique derrière chaque profil de société. Ceux qui réussissent (à voir sur la durée) le mieux sont les passionnés qui n'ont pas une envie irrésistible de s'enrichir. Ils commencent en se serrant la ceinture pour donner aux bons éléments ce qu'ils méritent et les retenir le plus longtemps possible. Et en plus ils ont su se faire connaître suffisamment pour qu'on leur confie des missions complexes et passionnantes. Les strates de management sont courtes et un consultant ne paie pas 40 personnes au dessus de lui.

Les pure players sécurité ont encore une taille raisonnable, pas beaucoup de strates de management, et un P&L lissé sur les activités. Il vaut mieux en avoir un peu plus, même si ça ne rapporte pas autant que les autres activités. L'investissement est indispensable car c'est le cœur de métier.

Les quelques cabinets de conseil ou SSI qui investissent vraiment ont ainsi réussi à adresser un marché spécifique qui les alimentent correctement. SCADA, reverse-engineering.

Le reste des SSII, ne fait que diversifier les activités, mais sans le moindre investissement (pas de matériel, pas de formation, pas de voyage aux conférences sécu). Ca ne tient qu'à quelques individualités, mais le gros des troupes est des stagiaires qui restent jusqu'à 3 ans et une fois qu'ils sont à l'aise et suffisamment mal payés vont voir ailleurs. L'équipe de pentest est trop différente des autres dans ses sociétés et ne fait pas une marge aussi importante, sauf en sous-payant les juniors et en limitant les profils plus expérimentés. Le P&L est calculé par équipe et la pression est très forte. Pour grossir, il faut des managers, mais comme la progression de salaire est la même que pour le reste de la société, on tourne à 2 ou 3%. Personne ne reste assez longtemps pour être manager. Et impossible de recruter au bon niveau de salaire sur le marché, d'autant plus que la société n'est pas attractive pour les consultants qui connaissent le marché. Ainsi les équipes se montent puis disparaissent régulièrement. Je pense à Devoteam, Deloitte, EY ou encore PwC qui ont des hauts et des bas.

Malheureusement c'est le cas que je connais le mieux :D
Pas question de refaire la même erreur la prochaine fois...

vendredi 18 novembre 2016

A propos des augmentations ridicules dans les grands groupes (mais pas que)

Je fais l'écho de mon post précédent (qui a 8 mois déjà). Je suis sorti du comité de revue des consultants avec la nausée. Malgré nos résultats, malgré notre discipline sous le feu des projecteurs, malgré la pénurie de pentesters... mon équipe a la même part que toutes les autres. Mon constat est encore plus consternant que celui de l'année précédente. 2,2% à partager dans l'équipe...

OK, pas la peine de chipoter, je n'aurai rien d'autre. Mon meilleur a posé sa dem, c'est bien le seul avantage que j'y vois. Les 3 nouveaux n'auront rien. Il me reste 5 gars et les 2,2% de 9 personnes. J'ai 2 gars au dessus du lot qui mérité qu'on les aligne sur le marché (en gros 10% d'augmentation par an).
Allons-y dans un premier temps pour leur mettre 10, un 3ième m'a demandé 5% sinon il va voir ailleurs. Et les 2 derniers les 2,2%. Mais voilà, ça dépasse. Au final j'en ai 2 à 7%, un à 2% et 2 à 1% alors qu'ils sont bons.

Alors je fais comment moi pour garder mon équipe dans la durée sur un marché hyper tendu et agressif ?