Comment devenir ANALYSTE SOC (avec Siopy)

Hey salut ! J'espère que vous allez bien et qu'il fait enfin chaud chez vous. 2e partie de cet épisode dédié au soc et à la blue team. Cette fois, on va voir tout ce qu'il faut pour devenir un bon analyste soc. Les formations, les certifs, les skills et est-ce que vous avez besoin de partir 6 mois en Amazonie en man vers Versus Wild pour vous entraîner à encaisser les situations de crise ou est-ce qu'il y a d'autres Méthodes un petit peu plus sympa ? En tout cas, installez-vous confortablement et bienvenue dans Cybertalk. [Musique] Donc oui,

partie 2, comment devenir analyste ? C'est parti, on va parler recrutement, on va parler formation et cetera. Monsieur Siopi, c'est quoi ton parcours à toi pour devenir socanalyste et qu'est-ce que tu conseillerais comme formation certif ? OK. Ah je je vent faire tout mon parcours. J'ai jamais été Fan, tu vois, des études générales. C'est vraiment un point de vue, c'est mon opinion, tu vois. Je savais déjà ce que je voulais faire. Je voulais bosser dans l'IT au début mais en 3è tu vois je le savais déjà. Du coup j'ai pas fait un bac général, j'ai

fait un bac professionnel. Mes profs, ils m'ont dit "Mais tu es stupide, pourquoi tu vas faire un bac professionnel ?" Parce que souvent, tu vois, c'était catégorisé de bac pro, c'est pour ceux que voilà qui Ont pas des très bonnes notes et cetera, tu vois. Malheureusement, c'était la mentalité qu'il y avait à l'époque. Et ben moi, je me suis dit "Bah, je m'en fiche, faut que je sais ce que je fais, ce que je veux faire, tu vois." Donc, je suis parti en bac professionnel, système électronique numérique, tu vois, et en option développement. J'ai commencé

en bac à faire du dev, à faire des stages dans des boîtes où voilà, je pouvais faire Aussi un peu de dev et cetera. Donc c'est vraiment pas mal parce que tu commences aussi à apprendre aussi bah tout ce qui est réseau, euh vraiment tout ça. Mais d'ailleurs je crois que c'était même focus réseau, pas uniquement dev. Donc tu apprenais les bonnes bases du réseau parce que c'est important je trouve de vraiment commencer de la base. Faut pas vouloir faire de la cyber direct. Et à cette époque-là, je la cyber je connaissais Pas du tout.

Ensuite, j'ai fait un BTSSO, c'est service informatique aux organisations où j'étais en option dev. Donc j'ai fait du développement, j'ai fait du C#ARP, j'ai fait du PHP, je développais plein d'app. Voilà, c'était vraiment orienté def parce que c'est ce que je voulais faire. Après, je me suis dit bon, c'est un peu redondant quand même le def, tu fais tout le temps la même chose. Tu fais toujours des tu sais, tu des Formulaires et ça j'étais en mode bon, ça me passionne pas de fou. Et euh du coup, j'ai basculé un peu vers vers la cyber,

tu vois. Et ça a croisé en même temps avec une très chère personne qu'on connaît ici qui s'appelle. Je suis arrivé un jour, j'étais sur LinkedIn et là je croise un poste de E qui dit "E on fait des meetup à The Bock France, ça va être le premier. Ça vous dit de Participer ?" Je mode "Ah c'est intéressant tout ça ?" Et grâce à lui, tu vois, je l'ai ping, il m'a dit "Ben viens, viens participer." Et du coup, j'ai rejoint ça. Je Ah ouais, c'est cool la cyber quand même. C'est plutôt sympa. Ça

a l'air fun. il y a une communauté sympa, tu vois. Et euh bah c'est là où ça a commencé. Après, j'ai fait une licence informatique générale euh et après j'ai fait un master. Un master, c'était un manager des sécurités, des Systèmes d'information. Euh voilà, c'est un master cyber mais pas trop pro technique quoi. Ça ça t'apprend plutôt tout ce qui était autour ben de de la gestion des crises, des projets, tout ça. C'est vraiment tu avais vraiment un gros aspect management aussi, ce qui plutôt pas mal. à faire. Par contre, je trouve que pour la

partie technique, les études, c'est light. En tout cas, ça dépend des formations, mais c'est mon point de vue, Hein. Tu vas pas prendre le gros de la cyber dans tes études et dans tes cursus à 8h par jour et 12 cours à faire. Euh pour moi, faut vraiment que tu sois passionné et que tu t'apprennes de toi-même. Donc durant mes études, moi mes jeux vidéos, j'en avais pas trop et j'étais à fond sur les plateformes type the Box, Tryak Me. J'ai commencé avec Tryak moi et super plateforme où tu pouvais apprendre de zéro. J'ai commencé

par apprendre de l'offensif, je c'est Sympa. J'ai appris un peu de défensif aussi. Je c'est cool. Après quand j'ai commencé à augmenter le niveau, tu vois, je suis passé sur the box. Je te demande Ah ouais, c'est pas de faire des box tout ça et après j'ai découvert les prolabes. C'est satisfaisant à fond là c'est pour ceux qui connaissent pas, c'est vraiment des inf des infrastructures complètes qui simulent un peu les infras d'entreprise et tu dois les compromettre. Donc moi j'ai J'ai adoré. Donc j'ai fait pas mal d'offensifs à ce niveau-là où j'ai fait les

prolabes Dante, offshore, Rasta euh et un autre que j'ai oublié le tout dernier là, le petit reladé. Euh mais c'était vraiment intéressant à faire et j'ai vu cette période bah ce j'ai j'ai eu ma période offensive en fait pas mal et je me posais la question à mon avis ce qu'on s'est tous posé quand on a on a débuté c'est je vais où ? Je fais de l'offensif du défensif je Savais pas trop quoi faire et j'ai demandé à quelqu'un qui s'appelle de nouveau. Je dit tu me conseilles quoi ? Qu'est-ce que qu'est-ce que je

dois faire ? Et il m'a dit écoute t'enfermes pas dans l'offensif. C'est tout le monde doit faire de l'offensif. C'est sexy l'offensif mais recule un peu et et regarde un peu ce qui ce qui existe en fait ma cyber. Et ben lié à ça en fait j'ai commencé à regarder pas mal de défensifs M'intéresser au soc ça ça m'a bien plu. Je me suis dit bah pourquoi pas et j'ai commencé à passer quelques certifications bah à ce niveau-là. Euh donc j'ai passé bah alors j'ai commencé à passer une certifensive parce que je me cherchais un

peu. J'ai passé le JPT, la V1, la toute première qui était sortie à l'époque. Euh et ensuite je me suis dit "OK, j'ai une certif défensif comme ça j'ai fait les Deux. Euh j'ai passé la Betel euh Blue Team level one et c'était vachement bien parce que la sortif tu as un peu tous les corps. Tu avais du CM, tu avais du forensic, tu avais vraiment tout ce qui était analyse de mémoire, tu avais la gestion de aussi d'accidents et c'était vachement complet. Je la recommande totalement. Et après ça, je me suis dit bah c'est

cool parce qu'en vrai quand tu sors d'un Mac + 5 en fait, on sort tous bah entre guillemets on sort tous avec Un bac + 5. Comment tu te démarques ? passer en vraiment en ayant des trucs sur CV que les autres ont pas. Donc moi, je me suis dit bah vas-y, je passe des certifications sur mes propres moyens. Et donc je me suis payé quelques certifications en fait pour démarquer de tout ça. Et donc voilà, ça c'était mon parcours. Désolé, c'est un peu long. Et lié à ça, ensuite ben je suis basculé, j'ai déménagé,

j'étais dans l'Est de la France et j'ai bougé sur Ren parce que on va dire dans l'Est de la France, la cyber c'est pas trop ça. Donc globalement, tu as deux gros choix si tu veux faire de la cyber. Si tu veux faire de la cyber entre guillemets hein, tu peux en faire un peu partout mais si tu veux vraiment avoir un bassin actif de au niveau de job, c'est soit Paris, soit Renn en vrai souvent. En tout cas, c'est là c'est les bassins les plus actifs en France. Donc j'ai bougé à Renn parce que

No way Paris et euh j'ai été dans une ESN où j'ai fait euh où j'ai fait un peu de soc euh j'ai eu l'occasion de passer la ISO 27001 totalement random hein, mais euh je l'ai passé, c'était intéressant. Donc c'est plus une certif gouvernance, on va dire. Mais c'est toujours des connaissances hein. Prenez le maximum de connaissances hésitez pas, c'est toujours Intéressant. Et euh après, j'ai été envoyé en mission dans ma boîte actuelle et ma boîte actuelle a fait un mercato et a dit "Ben toi, tu viens chez nous en interne." Et euh du coup,

j'ai comment dire ? J'ai cassé mon contrat avec mon ma toute première et j'ai été mercato là où je suis actuellement. Donc donc voilà, j'en suis arrivé à faire de années en tant qu'analyste sock L2 et du coup maintenant je fais analyse L3 CTI. Donc voilà et entre-temps j'ai Passé deux autres certifs la CRTP et la CRTO. Voilà voilà je c'est toujours important je trouve de garder ses connaissances et toujours sympa de passer des certifs qui ont une vraie valeur ajoutée en fait sur qui t'apporte vraiment des connaissances quoi. de certive très défensive, dis-moi. C'est

c'est c'est exactement ce que j'allais dire. En fait, en fait pour moi, ben tu vois, je fais du je fais du soc quotidiennement. Les certifs, ça M'apporterait rien à part euh Ah, je parle en tant que perso hein, mais je les certif défensives, c'est uniquement pour valider un un cash. Je sais pas, valider une techno, tu vois. Par exemple, tu passes une certificad, tu passes une certifice plunk. C'est plutôt pour te vendre à des clients ça. H et c'était pas vraiment comme ça qui était orienté ma boîte. Et tant mieux parce que en fait moi

comme je fais du de la Blue Team tous les jours, je me dis ben L'aspect que je bosse pas c'est l'offensif. Donc des fois, j'en fais un peu en perso et je passe des certifs parce que c'est pour moi si tu veux être un bon défenseur, faut savoir attaquer et il faut savoir comprendre comment se passer les attaques. Donc j'ai passé pas mal d'offensif. C'est comme ça que tu deviens un bon analyste aussi parce que si tu es analyste et tu comprends pas comment ça se passe la kill chain donc d'une Attaque, comment se déroule

toute une attaque et comment un attaquant fonctionne, tu sauras pas correctement le trouver en tout cas dans tous tes logs et dans toute l'activité de ton essi. Du coup, c'est quoi les skills dont tu as besoin pour être un bon analyse ? Les skills techniques d'abord. OK. technique euh technique, faut avoir des bases de systèmes, faut comprendre comment fonctionne un, faut comprendre comment fonctionne un serveur. Euh tu Dois savoir euh bah le réseau aussi des bases de réseau, les tout ce qui est TCPIP, modèles, c'est les bases de réseau en fait, comment ça fonctionne les

communications, euh comment en fait se parlent les serveurs et comment s'envoient les données. Parce que par exemple, quand tu as de l'exiltration DNS, faut comprendre c'est quoi le DNS, faut comprendre comment ça communique. Tu dois vraiment avoir des fondamentaux solides. tu peux pas arriver en cyber en Cybersécurité sans comprendre comment ça fonctionne ici au préalable parce que tu sautes des étapes vraiment cruciale à ce niveau-là. Et au niveau encore skill, il faut avoir des connaissances pour moi en tout cas avoir une bonne base de compréhension de l'offensif comme je disais avant. Euh pour moi les

connaissances défensifes siem et tout ça tu peux l'apprendre sur le tas quand tu deviens analyste en vrai. Si tu fais analyser le 2, ça ça prend c'est un Outil comme un autre et tu as pas besoin d'apprendre un CM splug un CM sentinel c'est un outil de recherche de log. Tu t'adaptes au langage de requête et voilà à mon avis tu as pas besoin tu vois de d'être pro sentinelle ou pro curadar avant de commencer le métier. Ça ça prend sur le terrain. Mais il faut surtout ber la ta compréhension que tu as de la

man et ta compréhension que tu as du c'est ultra important. En tout cas, ça c'est sur les skills Techniques. Et côté soft skill, côté soft skill pour moi, c'est vraiment la partie le plus important même. C'est ce que je regarde déjà en premier chez chez un analyste quand on fait des des recrutements, faut que ça soit quelqu'un qui soit qui a du sang froid, vraiment beaucoup de sang froid, qui sache parce que tu vas être amené à gérer des crises. Donc faut que tu sois très posé, que tu que vraiment tu saches gérer de la

pression. Et tu as aussi une grosse capacité rédactionnelle à avoir parce que il faut que tu saches si tu communiques par exemple des de l'investigation euh et des investigations à des clients ou même dans ton faut que tu saches structurer l'investigation et savoir résumer ce que tu as vu parce que tu vas avoir plein de datas tu vas avoir plein d'infos mais ça du coup faut le structurer pour l'envoyer aux personnes et leur dire quoi faire et vraiment ça faut que ça Soit clair dans ton dans ta tête tu saches bien écrire, bien communiquer. Ça

c'est aussi une une compétence qui est ultra importante. Euh tu as l'aspect communication communication aussi plutôt oral. communiquer avec des personnes, savoir bien t'exprimer, c'est tout bête, hein. et tu vas être en face de plein de clients ou de plein de personnes ou plein d'utilisateurs qui soit ne savent pas ce que tu fais, soit ne s'en fiche Un peu de la sécur sensibiliser ou des fois tu peux même avoir des clients qui sont un peu plus durs ou qui voilà faut ça tu gères de l'humain aussi en fait tu parles à des humains, tu gères

aussi par exemple dans le MSSP souvent l'organisation c'est que tu gères des clients donc tu vas être en gestion des clients. Donc tu vas faire souvent des comités de suivi avec pour suivre un peu leur état de la sécurité et du coup tu vas les voir Toutes les semaines. Donc tu vas discuter avec eux. S'il y a un quak, ils vont te le dire, ils vont te le monter. Il faut savoir bien répondre aussi à ça, savoir comment répondre et tout ça. Donc il y a une grosse partie com aussi qui est ultra importante, je

trouve. H OK. Alors, tu as répondu, je pense, en partie à à la question que j'avais juste après, mais peut-être qu'on peut un peu le récapituler. Pour toi, un candidat Idéal, c'est quoi ? Est-ce que c'est un mec qui a forcément, tu sais, un bac plus 5 avec les bonnes certif qui va ou est-ce que si tu as un mec qui arrive un peu en mode autodidacte mais qui a pas mal bourlingué sur je sais pas des labs, tu vois, des qui a fait des petits projets, des trucs comme ça, est-ce que est-ce que ça

passe ? En gros, qu'est-ce que tu regarderais toi sur un un nouveau candidat ? Tu vois, quelqu'un qui arrive dans le métier, qu'est-ce qu'il Faudrait, tu penses, pour que il tape un peu dans l'œil d'un d'un recruteur ? Alors, de mon point de vue, il faut que ça soit quelqu'un qui soit déjà passionné par la cyber. Faut avoir une faut vraiment s'y intéresser parce que c'est pas en vrai, c'est pas un métier que tu peux faire sans avoir une veille active. déjà euh faut que tu il faut que déjà que tu pratiques, faut qu'on voit

que c'est ça t'intéresse réellement quoi. Donc c'est vrai que cet aspect Plateforme c'est quelque chose que je regarde. Si tu me dis moi la cyber non c'est je vais après reprendre ce que je vais dire là mais la cyber c'est que au taf rien qu'au taf et chez moi je regarde pas du tout cyber c'est peut-être que le domaine ne t'intéresse pas 100 % parce que c'est vraiment un domaine qui est riche et sur lequel tu peux pas t'arrêter et faire du 8h 17h tu vois je vulgarise c'est très brut mais j'ai a quand même

cet aspect passion je Trouve au niveau de la cyber qui est important donc pour moi faut quand même qu'il y ait une certaine appétence pour ça déjà dans un premier Même s'il dit pas vous dormez cyber, vous mangez cyber, vous faites que de la cyber quand vous rentrez et tout ça, mais il y a quand même un aspect où faut avoir le petit le petit intérêt quand même. C'est pas lieu où tu peux arriver en mode full lambda. Mais par contre euh je vais donner une autre vision, la Vision de la française. Si tu candidates

à un poste d'analyse T2 sans un bac + 5 en France, compliqué. En fait, tu vas peut-être être recruté mais au niveau salaire, tu vas pas être payé à ta juste valeur. Donc ce que je peux recommander, c'est de passer un bac + 5. En fait, ça va te valider en France en tout cas un acquis et c'est bête mais tu vas avoir le statut maximum le maximum que tu peux avoir. J'ai l'exemple de certains Collègues qui sont analyst de qui sont très compétents, il y a pas de souci, ils sont ultra bons comme technique

mais ils sont payés largement en dessous d'autres personnes qui font le même travail juste parce qu'ils ont pas le bac + 5. En tout cas, si vous restez en France, faites bien attention à ça. OK. Ouais, c'est Ouais, malheureusement c'est c'est ce qu'on entend quand même. Ouais, c'est triste. Ouais, c'est moi je trouve ça totalement débile parce que tu As des personnes qui sont pas du tout fans des études, qui sont pas du tout scolaires, mais par contre ils sont très très bons dans leur domaine et tu as pas besoin d'un diplôme pour prouver ce

que tu vux réellement des fois techniquement si le système scolaire ne te correspond pas. Mais c'est la France. Voilà, c'est la mentalité française où faut passer tes diplômes, tes bacs, tes bacs et cetera, tu vois. Après, moi je trouve que les études, c'est une bonne Opportunité de bosser. En fait, c'est là où tu vas avoir le temps de bosser tes certifs, le temps de bosser tes plateformes, tu es en étude. Donc, tu es encore dans un système qui est plutôt tranquille, entre guillemets. Moi, toutes mes études, ça je l'avais pas précisé, mais j'ai fait tout

en alternance. De mon BTS jusqu'à mon master, j'ai fait 5 ans d'alternance. Ça veut dire je suis sorti euh de mon master B+ 5, j'avais déjà 50 XP qui sont Comptés souvent au niveau RCH et compte à la moitié comme tuas en alternance mais tu arrives déjà sur le marché de l'emploi avec une première expérience. Donc ça c'est ultra important. Donc utilisez ça pour faire un levier sur votre profil en fait et monter en compétence parce que en toute transparence quand vous allez rentrer dans le vrai marché de l'emploi, vous allez commencer à travailler, vous

allez beaucoup plus lever le pied sur l'aspect Cyber parce que vous en ferez au quotidien. Ouais carrément. On avait ça en question tout à l'heure, je sais plus qui qui l'avait posé, mais c'est pas grave, je vais la poser comme ça. Ouais. Qui qui demandait comment est-ce qu'on en arrive à bosser en soc parce qu'au final, tu vois les fils de poste, on te demande à chaque fois 3 ans d'expérience pour un un truc débutant, un truc junior. Alors, je parle pas des postes débiles où ils te demandent 10 ans D'expérience en sortant le bac

plus 5 parce que eux, voilà, ils peuvent ils peuvent mourir. Mais euh Ouais. Donc l'alternance majoritairement euh Ouais, c'est vrai que c'est pas trop mal. Est-ce que ça se fait aussi ? Je sais pas, peut-être des ponts en interne, tu vois, ou des expériences, genre imagine, tu es dans la dans la partie build, on va dire, ou management de vulnérabilité. Est-ce que ça peut se voir de d'aller traîner un Peu avec le socre une petite mission comme ça ? Ouais, ça se fait. Totalement. Mais totalement. Mais en fait, ça dépend de chaque entreprise aussi. Ça

dépend de la la mentalité de la boîte et comment elle voit les les profils, tu vois. Il y a des boîtes, ils vont dire "Non, non, toi tu restes là, tu fais ça, je t'ai recruté pour ça, tu" Tu vois ? Mais euh bah tu vois, dans mon exemple, le soc euh tu as quand même un turnover qui est assez récurrent, tu Vois, parce que c'est un quand même au niveau du boulot d'AnOC, c'est un boulot qui peut être vite répétitif quand même parce que tu pré alertes de sécurité toute la journée et cetera. Même

si tu vois plein d'alertes, ben souvent on va dire la durée de postyenne c'est 2 3 ans. Voilà. Ah ouais beaucoup. Non bah en tout cas pour un analyse tel je parle hm euh parce que tu tu vois souvent les mêmes choses et après tu as envie d'évoluer quoi. Tu évolues vers d'autres Postes. Euh mais donc ça c'est quelque chose à prendre en compte. J'ai perdu mon fil. Mais donc le turnover souvent il peut être assez important entre guillemets. Donc ça c'est aussi un truc à prendre en compte. Hm. Par contre, comment tu arrives à

ce type de poste ? Euh, ben moi dans dans ma boîte, souvent il y a ce qu'on appelle des vies ma vie. Euh bah, tu vas tu vas passer une de tr journées avec un autre pôle et ils vont Te montrer comment ils travaillent et cetera et tu as des fois l'opportunité de bah de bouger complètement. C'est ce que j'ai fait moi. En fait, on a un pôle stratunting. Quand j'étais analyse L2, j'ai dit bah moi je arrive à mes limites. Techniquement bah le L2 c'est un certain niveau et je m'ennuie un peu techniquement parce

que je peux aller au-dessus et on m'a proposé de faire un un mus du coup et c'est ce que j'ai fait et j'ai été j'ai été recruté du coup en Analyse CTI au niveau L3 quoi. Donc donc ça dépend. Et après par contre, il y a une autre possibilité pour des personnes qui euh sont pas dans une boîte qui fait de la cyber de base. Alors, vous en verrez plein, c'est des ESN. Malheureusement, c'est une bonne des fois une bonne première étape pour euh rentrer euh chez un client, chez un plus gros client, tu vois,

parce que les ESN du coup, ils vont avoir des contrats avec des grosses boîtes qui des fois ont Des socks internes, des socks dédits et cetera. Donc des fois tu vas être placé chez les clients, mais c'est ce que j'ai fait en fait hein. Moi, j'étais placé dans ma boîte et ça peut te laisser l'opportunité de rentrer dans une plus grande boîte alors que tu as pas de première expérience en soco. Du coup, parce que bah comme comme tu as dit, enfin une fois que tu bosses dans la cyber, c'est vrai que sur ton temps

personnel en général, tu en fais moins, Tu as moins le temps aussi et bah sinon c'est le burnout, tu en beaucoup. Du coup, comment tu fais quand tu analyses ça quand même pour rester à jour en permanence, tu vois ? parce que tu as pas forcément le temps de le faire sur le boulot. Du coup, ça va être h temps de travail. Mais comment tu gères ça ? Et j'ajoute, je demande en plus, est-ce que tu as des sources toi de veille ou de formation et cetera pour pour rester à jour en fait sur ta

veille ? Alors la Veille, moi je pense que ce qui est bien c'est quand même au niveau parce que au niveau de ta journée de travail, c'est quand même de consacrer un peu de temps. Euh on sait que qu'il y a un run, mais je pense que tu as quand même une veille à faire. Tu peux la faire pendant ta journée de travail. Ça prend pas tellement de temps, tu vois, de faire une veille si tu as une veille qui est bien structurée. Donc ça c'est possible. Moi, je la fais en fait, je la fais

en Dehors aussi, tu vois. Mais ça dépend de chaque analyste et chaque personne en fait si il a envie de ravoir de l'information à ce niveau-là. Donc je pense quelque chose que tu peux adapter parce que même quelques minutes de veille, c'est toujours ça de prix. Tu récupères de la connaissance et tu te mets à jour sur l'état de la menace et sur les nouvelles tendances. Donc et c'est aussi à mon avis c'est aussi quelque chose qui doit être fait en Interne dans ta boîte. Euh nous comme je le disais avant, on a des news

qui sont envoyées aux syndalistes sur leur boîte mail. Donc ils reçoivent la donnée et ils reçoivent de la de la SR Intel. Et aussi on leur fait des points chaque semaine ou chaque mois, ça dépend comment organiser ta boîte pour présenter l'état de la menace. Et donc nous la boîte ben et nous les L3 les tenir informés parce qu'on sait qu'ils ont beaucoup de travail. Donc ça c'est Quelque chose aussi c'est un processus à mettre en place. Sur la question de comment structurer sa veille en tant perso. Moi ce que je fais c'est que j'ai

un feedly. Feedly en fait ça te permet de gérer du flux RSS et bah tu configures ton feedly avec les sources qui t'intéressent. Donc souvent moi en analyse CTI, ben j'ai euh j'ai tout des blogs de CTI, des grandes compagnies qui effectuent souvent ben des analyses comme du Train Micro, comme Du Seoya. C'est vraiment des grosses boîtes qui publient régulièrement des des bulletins de Street Intel. Tu peux avoir également tous les bulletins de CERT, le CERT FR ou même les certes étrangers hein qui vont publier des donc des bulletins de vulnérabilité, des états de la

menace. Donc tu te fais vraiment ton petit fidelit avec tout ça et tu le parcours tous les jours pour voir les différents articles. Moi c'est ce que je fais. Je me mets plusieurs Créneau dans la journée pour dire "OK, il y a ça et je le lis et je prends mon temps". Quoi ? Tu as aussi Lar qui te permettent de faire ça, c'est tout bête hein. Mais il y a des fois tu as des articles qui font euh quatre pages tu en mode bon je je vais pas avoir le temps de de tout lire.

Tu prends ton article, tu le mets dans le chat GPT, tu dis "Tu peux me résumer ça assez rapidement ?" C'est aussi une façon de faire hein pour avoir un briefing en tout cas un peu Quotidien au niveau de la menace. Et l'autre façon aussi de faire de la veille, c'est tout bête, mais X bah anciennement Twitter, du coup c'est trop bien parce que tu suis des comptes et tu te fais ton petit algorithme. Moi, j'ai un compte professionnel dédié à ça parce que je pense qu'il faut avoir deux comptes dédiés parce que tu peux

vite te retrouver polluer avec 12 millions d'infos si tu as ton compte perso et tu vas moins être concentré du coup sur ce Que tu regardes. Mais X c'est une base en or du coup pour trouver des de la formation. Tu peux aussi utiliser Mastodon. Euh c'est aussi bah tous les trucs, tous les réseaux sociaux un peu tu Blue Sky, tout ça. En fait, l'important c'est vraiment de suivre les personnes intéressantes dans le milieu. Donc ça revient aux mêmes personnes. Il y en a plein. Il y a des personnes qui sont spécialisées en IA, il

y a des personnes qui sont spécialisées en CTI. Moi là, je pense à Thomas Rockia qui est une bête en IA et cetera. Moi je le suis, je suis j'ai les notifs et tout. Mais tu vois, c'est des personnes ultra intéressantes qui bossent dans des divers contextes et diverses boîtes qui est intéressant de suivre parce que c'est aussi une veille intéressante à ce niveau-là quoi. Et si tu devais par exemple faire un entretien de recrutement euh que tu te retrouves avec un deux candidats, tu en As un, c'est une petite brutasse technique. Par contre, il

a zéro veille et l'autre c'est l'inverse. En fait, c'est une grosse quiche technique mais par contre il a une méga veille. Tu tendrais vers quoi plutôt ? C'est une bonne question. Euh c'est pas simple. Euh je pense il y a l'aspect com aussi qui rentre. Euh parce que si en fait là je pense que la veille va ça va jouer si de toute façon une personne qui A une veille souvent il a quand même des bonnes bases parce que s'il fait beaucoup de veilles c'est qu'il comprend quand même un peu ce qui se passe. Donc

à mon avis c'est possible d'évoluer. Euh je pense ça va pas être le seul facteur. En vrai c'est difficile de je pense de répondre uniquement sur la veille. Tu dois faire de la veille si tu le fais pas. C'est un gros point négatif en tout cas. Euh mais ça va se coupler quand même à Plusieurs autres critères comme la communication et cetera. Si tu as une brute technique par exemple mais qui sait pas communiquer, désolé ça va pas être possible parce que si tu es très bon techniquement mais devant le client tu sais pas parler,

tu seras rien parce que tu tu vas pas apporter de la valeur en fait dans le contexte. À l'inverse, si tu es pas très très bon techniquement, tu peux toujours monter en niveau, on peut toujours te former, Tu peux toujours passer faire des plateformes, on a du temps dédié aussi à de la formation. Ça ça s'évolue. Mais avoir une bonne com, c'est déjà un bon point parce que tu vas bien communiquer avec le client, bien communiquer avec les utilisateurs. Donc voilà, c'est un point aussi. Il y a plein, c'est pas un seul point qui va

être éliminatoire ou pas, c'est un ensemble qui va te faire de toi un bon ou mauvais analyste quoi. Alors, je pense que tu nous as un peu Donner la réponse tout à l'heure, mais est-ce que tu conseillerais au futur analyst SOC de s'occuper un peu du côté offensif également ? C'est un peu ce que tu nous as dit quand même. Ouais. Ouais, bien sûr. Mais en fait pour moi, c'est même obligatoire. Mais tu vois euh ça se voit vite parce que je suis arrivé euh dans ma dans ma boîte actuelle là et moi ce qui

m'a choqué c'est qu'il y a des analyses qui connaissaient pas du tout l'offensif. Je mais comment vous faites ? Je comment vous faites pour comprendre ce que vous investiguez tu sais si tu sais pas en fait ce qui se passe de l'autre côté. Hmm. Donc pour moi c'est obligatoire. Euh, on demande pas d'être un mec qui sait bypass des EDR tout ça. Non, on va pas aller jusqu'à là. Même si ça t'intéresse, fais-le, hein. Mais ça t'apporte de la connaissance. Mais avoir vraiment un une bonne base offensive, te maintenir à jour dessus, comprendre la kill

chain aussi des attaques, la phase De reconnaissance, tout ça, de weaponization, de comment ça fonctionne en fait le l'attaquant et ça va te permettre ensuite dans tes analyses de le suivre, de savoir ce qu'il va faire. Moi, il y a plein d'analyses que j'ai faites où c'est bête, mais je faisais des box the box ou des prolabes. Je ah mais là, je me souviens, j'avais fait ça, est-ce qu'il a pas fait ça ? Et tu regardes, il fait "Ah ben bingo, il a il a bien énuméré ici." Tu vois ? Et ça va T'aider parce

que tu vas avoir le mindset offensif, donc tu vas essayer de te mettre à sa place. Et c'est là où tu seras, tu vas gagner du temps dans tes investigations, tu vas gagner de la qualité dans la rédaction parce que tu vas expliquer, tu vas savoir vulgariser en fait ce qu'il a fait. Et ton client quand tu vas lui proposer des règles, tu vas lui dire "Oui, bonjour ben je te propose une règle KB hosting." Le client dit "C'est quoi une règle Kber hosting ?" Si tu sais pas répondre, tu passes pourquoi quoi ? Tu

vois, tu mets pas de la règle pour mettre de la règle. Donc c'est important d'avoir des connaissances à ce niveau-là. Ouais. Tu as Ouais, je suis en train d'imaginer le mec qui [ __ ] sur le le carbossing devant le client. Ça doit ça doit piquer. Je l'ai vécu. Je l'ai vécu et je te dis c'est compliqué mais c'est pour ça que c'est ultra important d'avoir des de comprendre ce Que tu fais en fait. Autre question aussi sur la la partie plus gestion, on va dire du stress, de la pression et cetera. Euh alors, comment

est-ce que tu fais toi par exemple dans ton boulot ? Comment est-ce que tu as fait pour t'adapter à ce genre de pression euh en en étant en étant en so par exemple avec des des alertes un peu tendues ou les trucs comme ça ? Est-ce qu'il y a moyen de s'entraîner à se mettre la pression Tout seul ? Je vois pas trop comment on peut faire ça, mais est-ce que tu peux payer des potes à toi pour débarquer chez toi et te mettre des des coups de coussins dans la gueule ? Je sais pas.

Non, comment est-ce qu'on peut s'entraîner à ça, tu vois, en vrai ? Et euh et ouais. Qu'est-ce qu'on peut faire en amont ? Voilà, pour montrer qu'on est résistant, c'est une bonne question. Hon ça c'est quelque chose qui est ultra important. Je pense tu as un premier facteur qui est assez personnel. Euh je dirais pas que c'est iné mais en fait c'est ça dépend de la personnalité de chacun. Tu vois comment il réagit face à la pression. Après ça tu peux l'entraîner mais comment tu peux faire ça c'est c'est une très bonne question en vrai.

Ça dépend de aussi de ce que tu fais à côté je pense qui parce que tu peux avoir peut-être des hobbies tu vois Qui où tu dois gérer des trucs assez compliqués tu vois. J'ai j'ai pas d'exemples qui me en tête tout ça, mais tu arrives à prouver que tu sais, tu vois, gérer la peut-être d'autres pressions de situations, je sais pas, conflictuell ou des trucs comme ça, c'est quelque chose qui est pas simple en vrai. Ouais. Tu tu vas dans la forêt affronter des grizzly à main nu et tout. En vrai, ça c'est quelque

chose qui est assez je pense tu peux tu peux évoluer En fait. Tu peux être avoir après avoir l'habitude un peu tu sais de ce type de de d'incident ou de gestion de de crise, tu vois. Mais moi quand la première fois on m'a appelé, on m'a dit ben bonjour première astraline, tu as jamais fait d'astre de ta vie. Tu vas être dans une crise client où il y a une compromission et l'attaquant est dans le système. Tu as beau gérer la pression, tu es en mode h c'est pas bon. C'est pas bon parce que

tu sais qu'en face tu vas Avoir un client qui va être stressé et bah faut le gérer quoi le client faut le gérer. Et toi faut que tu gères aussi ta propre pression parce que faut que tu fasses des résultats. Et si tu arrives devant le client, tu lui dis "J'ai rien trouvé monsieur." Euh ben ça craint aussi. Donc c'est vrai qu'il y a un aspect où tu apprends aussi avec le temps et tu apprends avec l'expérience. Et c'est quelque chose qui souvent on essaie dans ce genre de situation si on A quelqu'un qui est

trop junior, on essaie de le mettre en binô quelqu'un qui est plus seior pour le cadrer aussi parce que faut qu'il y ait quand même une personne qui puisse gérer et cadrer un peu cette situation là. C'est vrai que c'est pas simple. Il y a pas de YouTube pour dire maintenant jeess gérer la pression très bien tu vois. C'est bah non. Ouais c'est c'est chaud en fait. Ouais. À part t'exposer entre guillemets à des procédures pour te familiariser Avec qu'est-ce qui va se passer le jour où ça se fait peut-être. Mais comme je te comme

je te disais, l'exercice de gestion de crise, c'est un très bon exemple. Ça, on essaie d'en faire un à chaque fois. Des fois, tu le fais même pendant les études, ça peut arriver. Je sais que nous on le faisait pour euh les ben des étudiants et cetera et même des fois c'est organisé même par des étudiants hein. C'est c'est ultra c'est plutôt intéressant parce que ça te Permet de bah de savoir comment réagir et même à tous les niveaux, pas uniquement les analyses SOC, tu vois et même au niveau des entreprises. Bon, je divague un

peu mais genre c'est important de tester la réaction parce que c'est pas quand tu seras vraiment en crise que tu vas tester ça, tu vois. des gens qui font pas mal de compétitions aussi, les grands sportifs, ce genre de chos que bah ça va montrer aussi le mindset, tu vois, si tu es si tu es le Top ou c'est vraiment si tu fais quelque chose qui demande même, tu vois des sports collectifs, c'està dire que tuas un mindset de travail d'équipe, tu vois, et du coup tu vas bien t'entendre et tu vois c'est h c'est

aussi des soft skills qui sont liés à ça quoi. Et pardon, il y a il y a des écoles aussi qui proposent ça. Je parle lesna parce que tu connais lesna noubo. Mais à Lesna, il y a des il y a des exercices non qui sont fait Comme ça. On on l'avait vu je crois à les aussi quand on y était. C Ouais, c'est 5 jours. OK. Donc donc ça on peut familiariser entre guillemets les les étudiants, les futurs analystes avec ça au moins un petit peu. Ouais ouais ouais. C'est bah c'est c'est vraiment pas

mal hein parce que chacun prend son rôle et puis bah c'est un travail bah que comme tu as dit hein, il y a un côté roleplay en fait où tu vas peut-être jouer le client ou peut-être jouer le Manager ou être dans la red team. Ar team, c'est des rôles particuliers parce que c'est généralement des gars très techniques et ils sont là pour tout casser. Mais mais c'est c'est hyper intéressant la gestion du stress où tu t'aperçois que même pour un exercice en fait la la pression peut monter et elle est presque au conflit en

fait. H ou des gens qui craquent complètement sous la pression alors que c'est juste un exercice quoi. Je suis assez d'accord. Les exercices de gon de crise, c'est c'est hyper important quoi. C'est trop bien. Et ça t'apprend aussi à te bah t'affirmer un peu parce que tu vois, moi j'ai fait un exercice de gestion de crise et tu as un moment où on te positionne un post, on te demande pas ton avis et moi on m'avait positionné en responsable soc, tu vois, j'étais en mode "Ah, tu dois gêner une équipe d'analyse pendant un incident de

crise." OK. Et ça et ça et ça t'apprend en fait À réagir et et tu sais ce qui est drôle c'est que du coup il y a des personnes qui sont managers ou comme ça qui deviennent analyse soc random total tu vois et tu dois les gérer. Donc tu dois gérer de l'humain qui est perdu. Donc tu vois ça te donne plein de compétences à ce niveau-là et je trouve c'est ultra intéressant. Ah bah 10 critique tu vois c'est 4e jour d'exercice, il y a plus de bonjour. Ouais clairement. Mais tu sais que et Même

tu as des c'est là où tu découvres vraiment des personnes et comment ils savent réagir et résister à la pression. Moi j'ai vu plein de personnes que je ah il est solide lui et en existe de crise il s'est décomposé tu vois. Ah ouais mais c'est comme ça que tu vois vraiment tu sais quel point faut former et comment tu gères ta pression tu vois. Est-ce que tu as tu as déjà eu une attaque improbable un truc vraiment bizarre que tu as pas compris ce qui se Passait ou ça t'est déjà arrivé ça en vrai

? probable improbable non mais souvent en fait on remarque souvent les en fait beaucoup d'attaqu c'est les utilisateurs qui font des bourdes monumental en vrai c'est c'est bête hein mais en ce que j'ai en tête c'est tu vois les attaques de type click fix fix en fait c'est une attaque qui a été popularisée de fou euh il y a une vidéo je crois que ça ça vient de John Amond De base qui a fait une vidéo sur ça où il montrait avec un un fake capture du coup euh c'est un capture que tu tu vas

cliquer dessus et va dire pour valider le capcha, tu fais Windows R, tu colles ma commande et tu fais entrer, c'est fait. Et c'est l'aspect, tu vois, c'est du social engineering et cetera, mais ça fonctionne tellement bien et on en a tellement. C'est un truc tout bête, c'est un capcha où vraiment tu fais "Je ne suis pas un robot" et tu colles ça Dans ton dans ton exécuté de Windows et tu fais entrer et c'est débile. Tu dis "Jamais ça fonctionne." On a il y a que ça. C'est le top 1 partout. Click fix. Mais

c'est bête. C'est mais c'est de l'humain. C'est de l'humain et tu es en mode bah OK là il y a un gros travail de formation à faire et on envoie tout le temps quoi. C'est le top 1 en ce moment. Non mais c'est c'est là où tu dis tout façon ce que je dis à chaque fois tant qu'il y Aura de l'humuras tu auras du boulot en tant qu'analyste he parce que tu auras toujours des vunes partout que ça soit de d'utilisateur lambda ou même de l'administrateur. Un administrateur qui configue une app il peut te

faire n'importe quoi. Il peut faire des dingueries. il peut t'exposer des tokens sur internet, il peut te laisser un compte dormant, il tu as plein de trucs possibles. C'est pour ça que c'est dur aussi de d'être un soc parce que tu as Plein de choses que tu peux pas maîtriser qui sont dû à des facteurs humains. Il faut s'adapter, essayer de couvrir le maximum de [ __ ] la vache, je viens d'y penser d'ailleurs, le shadow it pour vous, c'est l'enfer en fait. Si tu as des trucs qui sont pas détectés et pas détectables, tu

es dans dans le caca total. Ouais. Ouais. Ouais. Bah si on ne remonte pas les logs, tu vois déjà et même si il fait n'importe quoi, il passe via des PC persos, des Téléphones perso, ça peut être catastrophique. C'est pour ça que faut que chaque entreprise gère bien ses assets, limite le shadow IT au maximum et forme bien ses utilisateurs à ça aussi parce qu'il y a des utilisateurs qui se rendent pas compte. il branch un PC perso euh sur une prise de du taf et allez let's go. Ça faut c'est aux entreprise de d'avoir

un bon travail de formation et aussi de bloquer techniquement tout ça en fait. Et D'après toi, c'est quoi les les erreurs les plus courantes des entreprises en fait ? Qu'est-ce qui facilite le plus la vie des attaquants ? Parce que bon, les utilisateurs, on a bien compris, ils sont un peu cons. Ouais, j'en fais partie, hein. Mais on se fait tous choper à droite à gauche, on fait pas attention, on branche un truc qu'il fallait pas en toi, il fallait pas ça. OK, j'ai compris. Mais les entreprises elles-mêmes, c'est quoi le problème ? Je pense

des fois il y a des gros problèmes de formation aussi c'est qu'il néglige le que la formation utilisateur c'est ultra important et que faut faut bien former tout ça tous les utilisateurs. Il y a aussi des absences. On remarque beaucoup que truc tout bête hein mais la MFA donc l'authentification multifacteur elle est pas en place sur tous les clients sur tous les utilisateurs. Tu vois c'est un truc tout bête à configurer mais ça allait pas. Çait pas euh bah ça c'est pas en place de base. Tu vois, ça c'est tous des trucs que les entreprises

faut qu'ils soient assez vigilants là-dessus et qu'il définissent des bonnes politiques en fait de sécurité euh à ce niveau-là et qui soit proactif sur vraiment scanner toutes leur infra et faire attention à ce qui configure et vraiment documenter tout. Parce que dans des entreprises, tu vas vite être amené à faire beaucoup de Serveurs, soit des applications métiers que personne connaît. Si tu documentes pas, si tu as pas une SMDB, tu vois, où tu as tous tes serveurs, tu as tous tes trucs, tu documentes pas, tu catégorises pas, tu n'auras plus la gestion de ton parc.

Donc faut faire vraiment attention à ça et bien sensibiliser aussi tous tes utilisateurs à la CQ parce que tu peux avoir des utilisateurs que tu sais malheureusement c'est pas de leur faute hein. Il y a un développeur il fait du Dev, il a pas un background sq si l'entreprise le forme pas à ça bah il va faire des grosses vunes, il va faire des mauvaises manipes et malheureusement on peut pas lui en lui reprocher s'il a pas été formé au préalable quoi. Ouais. Ou alors il pourrait euh inclure ça dans les cursus de formation. Totalement.

Totalement. Mais tu sais, il y a beaucoup de même, il y a encore tu tu regardes les mot de passe, tout ça, tu sais, tu as des mot de pass qui sont Faibles, des mot de pass que les gens réutilisent. Tu as plein de trucs qui sont comme ça. Et c'est aussi euh au côté de l'entreprise et du bien configurer ça et de faire des rappels réguliers, tu vois. Ouais. En fait, c'est de la c'est de l'hygiène, tu vois. Faut faut bien rappeler les bonnes pratiques, bien configurer, mettre des gardes de fou partout. C'est c'est

lourd à faire mais c'est essentiel pour avoir un qui soit Sécurisé quoi. Ouais. Non, clair clairement il y a il y a besoin. Ouais, clairement. Moi déjà ce que je dis c'est mettez de la TFA partout, ça vous coûte pas grand-chose et activez-le. Même en perso, je parle, vous devez pas avoir un compte sur TFA si la TFA est possible sur votre compte. Vous dites pas reç un petit compte, je l'utiliserai jamais. parce que un compte qui se fait péter, ça peut mener à toute la suite en fait. Donc faut être vigilant là-dessus et Utiliser

un gestion de mot de passe. Euh j'ai j'ai pour la petite histoire, j'ai donné une formation la semaine dernière pour une boîte et euh justement là-dessus, tu vois, et dans les slides, j'avais les les mot de passes commun que j'avais un peu adapté à l'entreprise en question. Et quand j'ai affiché les trucs en leur disant "Bah à votre avis, lesquels sont pourris ?" et qu'il l'ai tous à part un ou deux et j'ai entendu que ça a rigolé nerveusement dans la Salle, tu vois. Tu dis "Bon, OK. Aïe aïe aïe aïe aïe aïe." Mais ouais,

non, c'est très important. Très important. Euh très bien. Très bien. Euh est-ce qu'il y a un truc en tant que membre d'un d'un soc qui peut comment dire dont tu peux être fier ? Est-ce qu'il y a matière à être fier de je sais pas d'une bonne semaine où il y a pas eu de ransomware dans les serveurs où personne a cliqué sur des saloperie de fishing ? Enfin, est-ce que ça existe cette fierté du soc euh ou pas forcément ? Je peut-être qu'on s'en fout, je sais pas. Non, totalement. En vrai, c'est tu es

ultra fier quand tu bloques des attaques et tu sais que tu as moi ce que ce qui est trop bien je trouve sais c'est quand tu as mis en place une règle, elle a bloqué une attaque et tu vois tu as la satisfaction client en retour. Je parle en tant qu' MSSP mais ça peut être aussi le cas en interne, tu sais quand tu Bloques des attaques et que tu vois que ben ton travail a vraiment réussi à bloquer quelque chose, tu vois, au niveau du client ou détecter même c'est tellement satisfaisant. la première fois,

tu vois, que j'ai fait une analyse, c'était un vrai positif, j'étais trop content. Bah, j'étais trop pas très content du coup pour le pour le client, mais moi, tu vois, avoir détecté ça, avoir fait l'analyse et te tu sais faire tout ça, c'est ultra satisfaisant, Je trouve. C'est tu apprends des choses, tu découvres des choses et même tu vois, c'est une vraie valeur ajoutée, je trouve. Et le client, il est content, tu sais, d'avoir ça parce qu'il a peut-être pas les connaissances tout ça. Donc, je trouve c'est trop bien. En tout cas, moi c'est pour

ça que j'adore le soc, c'est ultra intéressant. Est-ce que tu as un micro syndrome de Stockholm où tu t'attaches un peu à l'agresseur et tu te dis "Ah lui c'est mon chouchou, je l'ai Attrapé, je l'aime bien." Tu vois, est-ce que tu le stalkes un peu après ? Tu dis "Attends, je veux savoir de quel groupe il faisait partie." Tu as un peu ça ou pas du tout ? Ouais. Bah ouais, mais en fait quand moi je me souviens la première fois où j'ai tapé un gros où j'ai eu détecté un vrai positif, tu vois,

c'était sur un email de fishing, tu vois, qui a été cliqué et théoriquement, tu peux faire le mail de fishing traiter, bloquer, réutiliser les Mot de passes de l'utilisateur et basta, tu vois. Et moi, je me suis et je voulais pas le lâcher le mec. Je attends toi, mon coco, tu veux tu vas passer un sal quart d'heure, mais j'ai envie de te remonter, tu vois. Et j'ai analysé le site en disant euh un peu de techniques diverses et variées, tu vois, en remontant dans les passes et tout ça et euh tu sais, tu as

une qui qui a rallonge et là j'enlevais tu sais un par un les chemins et il y a un moment je Vois quoi ? un open de et le mec il avait tous ses fichiers de conf et il avait laissé un fichier avec un lien Telégram privé et du coup j'étais en mode oh sympa ça du coup je me suis mis à faire un compte télégramil le télégram j'ai dump tout le contenu du telegram avec toutes les discussions tout ce qu'il y avait du coup ça c'est de la city en or tu vois et tu

et on l'a traqué on l'a démonté et après on a fait un dossier c Dessus tu vois c'est trop bien c'est trop bien c'est pas tous les analyses qui font ça. Je pense ça dépend de chaque personne. Si tu as vraiment le si tu es curieux, c'est pour creuser à fond. Je pense c'est une compétence aussi à avoir en tant qu'analyste et vraiment être curieux. Et en ce moment c'est tu tout à l'heure tu en as parlé mais j'ai pas noté. C'est quoi le le type d'attaque que vous voyez le plus passer en soc du

clic fix ? Beaucoup de stealers aussi type luma stealer. Et là pour vous parler d'un truc qui est vraiment en ce moment même, c'est l'utilisation de GitHub pour délivrer des malwares. C'est une play en ce moment parce qu'en fait tu as Gitub qui est utilisé pour du coup délivrer des malware X ou Y mais vu que c'est Gitub ben on traite pas assez en malveillant donc galère au niveau d'un soc à gérer Et il combine Gitub et Lia pour générer des faux ripos c'est veut dire il crée 12 millions de ripo à la volée avec

tu sais un RI généré en mon outil fait ça tout ça et en fait dedans tu as un malware par exemple En ce moment, vous pouvez rechercher, il y a la campagne Smart Loader où ils utilisent ça et en fait c'est un loader du coup qui va charger ensuite d'autres menace comme Luma Steer et cetera et ils utilisent des faux ripogitub qui délivrent plein De trucs et en fait tu vas le retrouver par exemple. C'est pour ça que faut faire attention quand vous si vous craquez des jeux, si vous téléchargez des hacks, c'est comme ça

que c'est délivré. On fait des forts repogitub mais ils font des forts repositub avec euh les différents hack crack tout ça et en mode bête tiens installe ça. L'utilisateur qui se connaî pas il l'installe et euh en avant quoi. C'est quelque chose qu'on observe Tout le temps quoi. Ouais. Et il y a il y a il y a des nouvelles menaces de ce style là que vous voyez émerger assez souvent. Enfin comment vous préparez à ce genre de chos en fait ? Ouais. Euh bah ça bah de toute façon c'est aussi un travail de la

CTI. Ce qu'on voit beaucoup émerger de toute façon, c'est en fait de plus en plus de l'utilisation de Lia euh même pour l'offensif parce que tu as on c'est cool, on a Lia en défensif, on peut Générer des très belles fiches réflexes, des très beaux trucs, on peut lui poser plein de questions, mais les attaquants l'ont aussi hein, on joue à Armégal là-dessus. Donc eux ça peut leur générer le routi offensif même. S'ils font tourner à LM maison, bah ils créent le rôti, ils font tout même ils peuvent C'est utilisé beaucoup tu sais pour générer

des pages de fishing. Tu demandes à Tonia, tu peux me faire Reproduire le site de Netflix ou de Booking ou d'X ou Y ? Ben Lia, tu sais, elle est bête et méchante, elle le fait et après tu peux faire ta campagne de fishing comme ça quoi. Ils ont vraiment un toeling qui est basé sur Lia et même des fois une communication qui est tout a tout propre, on pourrait croire que c'est un vrai site quoi. Donc ça c'est vraiment des dangers qu'on a et qui est difficile encore actuellement à gérer parce que comment tu

détectes une page Qui ressemble très pour très mais qui tu sais qui diverge presque pas, comment on gère ça ? Et ça c'est un sujet d'actualité qui est encore assez difficile en tout cas. Et du coup enfin tout à l'heure tu as sous-entendu que par contre Lia en socit pas vraiment utilisé. C'estàd que les attaquants enfin ça va ça va générer du pelo d'agogo, ça va générer des pages de fishing à gogo, ça va ouais ça va automatiser peut-être même créer des Agents maintenant. Enfin, il y a beaucoup de possibilités quand même et du coup,

j'ai l'impression qu'il y a pas vraiment le pendant en tout cas dans ce que tu nous as expliqué sur le l'utilisation de Lia quoi. C'est encore jeune en fait, on beaucoup de boîtes travaillent dessus mais c'est difficile à mettre en place aussi tu vois. Lia là pour le moment, tu vois, on bah on peut l'intégrer tuis pour faire de l'analyse et tout ça, des serveurs tout Ça de pour trouver des patterns, c'est possible mais c'est encore jeune, tu vois parce que l'IA c'est quand même un domaine qui est assez complexe. Ça veut dire que maintenant

même un analyse soc, même analyse CIA, il doit monter en compétence sur le domaine de Lia. Et Lia, c'est RIF. Tu vois, moi récemment, j'étais en mode bah je dois créer un LLM. Comment je crée un LLM ? Je suis analyse CTI, je suis analyse, je sais pas, tu vois. Mais il y a aussi cet Aspect compétence au niveau I qui doit se développer et il y a nous au niveau défensif, on va l'utiliser en utilistance, tu vois pour simplifier des tâches, tu vois, par exemple pour par exemple prendre des logs et générer une préinvestigation

ou aider l'analyste. C'est aussi des cas qu'on a pas mal, mais c'est vrai que c'est difficile de défendre proactivement avec une actuellement. En tout cas, on est au tout début et ça évolue tellement vite Les que tu es en mode bah faut s'adapter mais faut se former et donc faut recruter aussi des personnes compétentes en qui peuvent nous aider à ça quoi. Mais ouais. J'ai l'impression qu'on est au début quand même parce que enfin si tu vois leas tu as des contextes qui sont assez assez similaires genre la médecine par exemple, on sait que tu

as des systèmes experts qui marchent pour détecter le cancer par exemple depuis des dizaines D'années et qui sont extrêmement performants, bien plus que des humains. Donc moi, tu vois, naïvement, je m'étais dit en fait côté défensif le les prémisses qu'il y avait déjà avec le l'analyse horistique antivirus et cetera qui côté EDR quija qui bloquait pas mal de menaces, je me disais ouais côté SOC c'est du pain béni tu vois ça doit bloquer à tout va ça doit super bien marché mais en fait pas tant que ça quoi. C'est pas la réalité terrain Vraiment en

fait. On est au prémis. Il y a beaucoup de solutions aussi qui te vendent de l'IA alors que voilà c'est des IF et voilà c'est pas du vrai IA. Malheureusement euh l'IA c'est devenu pas mal à un titre marketing aussi. Euh j'ai de l'IA. Regardez ma super solution, elle est trop bien. C'est pas le cas. Euh Lia, c'est plus le li d'assistance que LIA de détection, même si ça commence à s'améliorer un peu pour faire de la corrélation, tu vois. C'est Assez intéressant. Euh souvent ce qu'on va se développer sur les c'est euh des summaries,

tu vois, des résumés de ce qui s'est passé. Ça évite de devoir rechercher 12 alertes, d'investiger 12 alertes à la main et te fait un résumé et ça te permet d'avancer plus vite. Ou aussi euh maintenant tu peux discuter avec un sième. Euh je sais que Google Secops fait ça très bien. Euh il y a aussi Sentinel qui fait ça pas mal. c'est tu peux lui parler en langage Naturel, donc lui dire "S'il te plaît, trouve-moi toutes les connexions de Micheline hier, tu vois ?" Et tu lui parles comme ça, tu fais entrer et génère

une requête tout seul et il va rechager dans ton Siè. Donc ça c'est des c'est des besoins qui sont en train de se développer et aussi des automatisations qui se développent avec l'IA. Mais on est encore au prémiss sur tous les sièmes et ces sièmes ont quand même à coup sont Destinés à des grosses entreprises. Donc on est encore au tout début de ça parce que ça peut vite coûter cher en terme de d'exécution et c'est un marché qui est quand même assez assez tendu. C'est plus du LLM. Ouais que de l'IA au sens du

quoi. Ouais c'est ça. On fait beaucoup de LLM. Tu vas aussi avoir du rag euh donc sur tu sais pour toute l'analyse qui est ça c'est plus au niveau c rag. C'est quoi rag ? Moi je connais pas. Mais vraiment Globalement en city c'est beaucoup utilisé tu sais pour faire de comment dire de l'analyse de documents par exemple. Imaginons tu as un rapport de stratel énorme de ou un lic énorme de 1000 pages tu vois. Ben, tu peux lui donner un rag à manger et après par exemple euh lui poser des questions et cetera, tu

sais, pour euh vraiment directement discuter avec ton PDF. C'est ça. Tu peux lui dire tu peux me dire par exemple quelle technique il lui a Utilisé en page je sais pas 900, ben il va te retrouver tout ça et te donner des infos. Tu vois, c'est vraiment tu lui fais tu lui fais manger de la data que tu peux ensuite le pouvoir la retrouver, tu vois. OK. Ça ça veut dire quoi l'acronyme ? C'est c'est un acronyme ou ? Oui, c'est un acronyme. Je l'ai plus en tête. Exactement. C'est retrieval augmented, je sais plus quoi.

Ça doit être un truc comme ça. J'ai plus en tête le generation. Génération. Ouais, ça Doit être peut-être ça ou Ouais, ça doit être un truc dans le style. Ouais, mais c'est pas mal utilisé. Mais tu vois, même moi je suis pas encore expert en en hier mais tu es obligé de monter en compétence dessus parce que c'est un sujet d'actualité. OK. Intéressant. Mais tu vois, nous on a on a le cas avec tous nos rapports de focus ou bah de stratenting plutôt où on génère plein de data, on génère plein de strat intel mais

tu sais Par exemple si je me pose la question demain bah quelle technique utilise tel acteur je vais pas me parcourir tous mes rapports d'Astratel que j'ai fait depuis 12 depuis 5 ans, tu vois. Ouais. Donc c'est là où Lia va t'aider pas mal à te retrouver cette data que tu as produite quoi. Donc c'est c'est là où ça va vraiment bah comme je disais, ça va être un outil d'assistance surtout. Hm. Je je suis surpris que tu puisses pas alors parce que j'ai une une vision étroite du Métier très certainement mais je suis surpris

que tu puisses pas euh quasiment remplacer le L1 par du par de l'IA parce que ça ça me semble être la partie la plus automatique tu vois. Enfin, si vous faites des fiches réflexes pour ça, c'est que c'est programmable en fait, on va dire entre guillemets, tu vois. Alors moi, je vais donner ma vision warning euh mais le L1 va disparaître à terme je pense ou il va évoluer. Mais pour moi le L1 déjà, je trouve pas que c'est un métier ultra intéressant. en étant un peu très cache, c'est du clic bouton et ça a

pas de valeur que ça soit pour le L1 ou pour l'entreprise. C'est ma vision des choses. Je c'est assez cach mais pour moi c'est le cas et je suis en phase avec toi, ça s'automatise. Créer un ticket automatique, ça s'automatise. Dérouler une fiche réflexe, ça s'automatise aussi tu vois. Récupération des récupérer des informations sur un CMDR, c'est des requêtes, tu peux les lancer en API, tu vois. Tout ça ça s'automatise pour moi. Pour moi, le métier du L1, il va évoluer. Soit il va devenir un petit L2, soit il va disparaître complètement. H là la

partie que tu as pas peut-être c'est le le contact avec le client. Non, j'imagine. Je sais pas si elle en font ça. Si tu peux tu peux l'avoir. En fait, tu as des tu as des outils de H call, ça s'appelle des appels automatiques par des robots. Ça tu peux l'automatiser aussi. OK, très bien. Donc c'est triste mais tu peux tu peux mais en fait c'est comme tout. tu as des métiers qui partent et tu as des métiers qui se recréent et pour moi faut évoluer. Mais c'est sûr que je partirai pas en mode je

vais faire une carrière dans le L1 parce que c'est quelque chose qui s'automatise et qui a de toute façon pas de réelle valeur je trouve. Ouais. Ou ou en en en entry job pour un premier boulot euh 6 mois un an pour découvrir. Ouais et même Ouais. Et même faut vraiment que tu es pas de niveau technique parce que tu vas vite t'ennuyer en L1. Pour moi le L1 c'est en tout cas si vous avez un un niveau technique, ne partez pas en L1, partez en L2. C'est là où vous allez investiguer le L1, tu

vas faire que créer des tickets. Tu peux prendre un je vais en total vulgarisation mais tu prends un boulanger, tu lui dis tu cliques là, tu cliques là, tu cliques Là, il saura le faire. Il a juste à lire en fait qui a marqué. OK. Et il te le fera à 5h du matin en plus. C'est c'est bien. Ouais, c'est pratique. Pratique. Mais tu vois, c'est tous des trucs comme ça qui il y a pas forcément besoin d'IA, mais tu peux faire des automatisations basiques sans IA qui te crée un ticket tout seul et tout

ça avec des playbook et cetera, tu vois. Ça sert le sort et c'est déjà ce qu'on tend à faire, tu Vois. Et le L1 va petit peu disparaître à chaque fois. Je crois je crois que j'ai un concept avec l'histoire des boulangers. Tu peux à mon avis tu fais un follow the sun mais avec des corps de métiers différents. Le matin c'est des boulangers après c'est des gens normaux et après tu mets des infirmiers tu sais pour le soir. Incroyable. Je pense c'est pas mal hein. Faut que tu montes ta boîte avec ça à mon

avis. Ça pète Le SN de l'enfer. Et niveau niveau attaquant, tu as vu des changements de tactique ces dernières années ou Ouais, en fait, j'imagine avec Lia déjà, mais est-ce qu'il y a d'autres choses ? Et ça évolue même avec les technologies, tu vois. Euh parce que tu as des tu as des fois en défensif, bah ça ça ferme des portes parce qu'il y a des patchs qui sont déployés et cetera. Tu sais à l'époque on avait beaucoup de tu sais les macro world il y avait que Ça tu vois on se faisait comprendre via

macro world tout le temps. Maintenant ils ont patché ça mais en fait toutes les tactiques évoluent et tu vois maintenant ça se projette beaucoup vers l'humain. Bon même si ça a toujours été le cas mais on est très bah comme je disais avec du click phenix des guit légitimes. On va chercher ce type de vulnérabilité là vraiment de en ce moment on est pas mal sur de l'utilisateur mais c'est vrai que ça Évolue avec le temps. Si tu as des nouvelles techno qui évoluent, tu ça va le suivre. Mais tu vois maintenant le cas qu'on

voit euh c'est l'utilisation de sites légitime pour distribuer du malware. J'ai pris l'exemple de Gitab mais par exemple Steam c'est utilisé parce qu'en fait tu prends ton nom de profil au lieu du nom de profil tu mets pas un utilisateur tu mets du bas 64 et tu as tapé l'autre qui a délivré avec un Steam parce que tu vas charger tu vas Charger via ça et tu récupères le bas 64 mais c'est légit tu as été sur Steam tu vois donc c'est quelque chose qui est et tu as ça partout euh si je me trompe

pas je crois que tu avais ça peut-être avec une plateforme genre de réservation d'hôtel ou un truc comme ça. En fait, dès que tu as une valeur que tu peux récupérer sur un site, elle peut être exploitée pour délivrer de la de la pelone. H donc euh Ah, c'est vrai que c'est mal, hein. Ouais. Ouais, ouais. Mais moi quand j'ai vu ça, quand j'ai vu le profil SIM, j'étais en mode "Oh, les génies !" Parce que ça, typiquement à Soc ou de la CTI, il va dire "Ben Steam, c'est légitime", tu vois. Donc c'est là

où c'est pas simple à détecter. Ouais, clairement. Et comment vous gérez tout le côté cloud, télétravail, IoTi, tout comment ça se gère ça dans le soc en fait ? Parce que maintenant, il y a quand même pas mal de Choses qui sont complètement externalisées et Ouais. Ah c'est enfin on a on a on a eu un un to hyper intéressant la la dernière fois sur sur le cloud. On a appris enfin moi en tout cas j'ai appris énormément de choses sur la SQ Cloud et du coup je enfin je me demande là niveau SOC comment

vous gérez ça. Alors c'est pas simple parce qu'en plus euh les Technocloud ça évolue euh tellement rapidement et même de l'IoT et cetera en fait il y a il y a plein de Choses. Après, ça reste des équipements qui loguent, donc on récupère des logs et juste faut s'adapter à la technologie, faut monter en compétence dessus parce que c'est les technocloud que ça soit AWS ou GCP ou X ou Y technocloud, c'est pareil, tu as du log et tu as de la détection possible. Je sais pas par exemple sur de la WS, tu peux détecter

un S3 qui se fait exfil ou je sais pas n'importe quoi, tu vois. par exemple, je sais pas, de la création De VM EC2 en boucle, tu vois, tu as plein de choses possibles, tu vois. Mais il faut, c'est juste des logs qui changent. On s'adapte au format des logs, il y a de la montée en compétence par contre à faire et tu as des outils aussi, c'est ce que je disais tout à l'heure entre EDR et XDR. Tu vois, tu as le DR qui était BT méchant sur Point. Maintenant, tu as du XDR qui

prend les log cloud en compte, qui prend les log mail et tu vois, c'est le techno évolue Avec ça aussi quoi. Pardon, je t'ai occupé à raconter de la merde dans le chat. Très bien. Non mais ça ça brode he là sur les les techniques pour pas se faire ban sur le réseau du boulot avec Team et tout. On est bien. On est OK. Très bien. Est-ce que alors est-ce que alors à part Lia parce que à chaque fois tu sais qu'on demande un peu des des pistes pour le futur, tout le monde nous répond

Lia. Mais au final bon C'est vrai. Oui effectivement mais il y en a marre. Voilà. Révolution. Et est-ce que à ton avis il y a des il y a des trucs côté soc plus largement côté défensif dans les entreprises qui vont qui vont monter en puissance dans dans les années qui viennent ? Parce que tu vois par exemple, tu as tu as un truc peut-être qui peut être utilisé côté défensif. Euh tu as eu pas mal de révolutions côté blockchain à une époque même si ça Commence à dater un petit peu. Est-ce que tu as

les trucs qui peuvent venir de ce monde là ? Est-ce que tu as bref, est-ce que tu voilà, tu as d'autres technos, tu as d'autres d'autres secteurs entiers qui vont monter à ton avis côté soc et et blue ? Bon, je suis désolé hein mais je vais devoir utiliser la réponse parce que pour moi c'est vraiment réponse qu'il y a à ce niveau-là. Euh en fait, je pense pas qu'il y a réellement d'autres Technos, tu sais, qui vont se lever ou tu vois blockchain et cetera. Je pense pas du tout. Au contraire, la blockchain, c'est

utilisé pour les malware si jamais on en voit aussi, tu vois, pour délivrer aussi des pelad ou exfiltrer de la data via blockchain ou même de l'exfiltration et cetera x ou y. À mon avis, il y a pas vraiment de technologies comme ça qui vont se démarquer. On a vraiment de plus en plus de cloud et Cetera euh et de d'applications en en cloud, mais je pense vraiment actuellement le sujet c'est l'IA. Donc désolé de répondre ça, mais c'est la réalité, tu vois, c'est on a énormément de partout à t et à travers et c'est

le sujet difficile qu'on doit gérer et qui va être à gérer encore l'avenir parce que ça évolue partout et il y a plein de dérives dans tous les sens. Donc désolé, pas la réponse que tu attendais mais c'est le cas, c'est ce qu'on a en fait. Non non mais c'est c'est la réalité, on le voit dans beaucoup de choses. C'est c'est effrayant. Moi, je me suis fait la réflexion il y a pas longtemps. Je me suis dit "Mec, tu es tu es en train de te faire larguer. Deviens pas vieux avant l'heure. Bouge ton bouge

ton fion." C'est ça va vite hein. Ça va vraiment vite. Mais même tu vois maintenant je me suis fait la réflexion aussi si on t'enlève Lia maintenant tu vois maintenant tu as goûté tu as goûté C'est mais tu vois rien que pour le scripting ou pour tu vois des trucs tout cons. Mais moi maintenant je passe tout par tu vois ça va 10 fois plus vite tu as plus à devoir apprendre 12000 techno et il te sort les informations. C'est devenu à copain du quotidien tu vois. Moi si on me l'enlève je pense je deviens

un peu perdu, tu vois. Mais à mon avis à l'avenir, bon ça c'est une discussion philosophique sur Lia. Du coup la génération future disc L'impression de parler comme un vieux mais va perdre en compétence parce qu'ils vont se baser du coup full sur Lia et vont pas s'intéresser vraiment parce que quand avant quand tu voulais apprendre à dev, ben c'est RTFM, tu bouffais la doc et euh tu te tapais 12 erreurs à la suite et tu devais débug toi-même et c'est c'est bête mais tu apprends quoi. Ouais après en même temps Ouais. H c'est quand

tu vois en fait la qualité De prompte de certains et la qualité de prompte d'un d'un noob de Lia, c'est pas la même chose. Quand tu vois ce que tu es capable de ressortir avec un chat GPT sur un utilisateur lambda et un power user, c'est pas la même chose. Clairement, je pense qu'il y a quand même et puis bon, on verra dans 10 ans mais pour l'instant c'est pas ton dia qui va te qui va te dev un siè de A à Z. Enfin, tu auras Toujours besoin de développeur quoi. Et après le scripting,

bah oui, évidemment, c'est clair que tu vas passer une demi-heure à faire un script parce que tu t'es gourré mais en fait Ah oui, mais attends sur ST Overflow, c'était comme ça mais 20 secondes plus tard, tu as ton script quoi en fait. Ouais, c'est vrai, ça t'assiste en fait, ça t'aide beaucoup mais h par contre Ouais, faut moi c'est juste l'aspect que je dis, faut rester Vigilant à comprendre ce que tu fais, pas copiercoller bêtement ce que fait. Ce que ce que fait mais au même titre que c'était STC Overflow avant. Ouais, clairement. Bah

combien de personnes qui faisaient du copiercollé de C'est ça en fait c'est vraiment une morale globale, c'est comprendre comprendre ce que tu fais, copie pas bêtement quoi. C'est ça. Ouais. Biz bizarrement, c'est les mêmes personnes qui avant dû copiercoller des Données clients sur Stack Overflow qui l'ont fait ensuite après dans les LLM histoire de Oui, histoire de l voilà et il voit pas le problème ce qui ce qui est normal en vrai. Moi quand je vois, tu vois ce côté un peu révolution là, tout ça, je me dis très certainement ce qui va se passer

comme les les programmeurs avant qui programmaient vraiment langage machine, qui faisait de l'assembleur tout le temps, qui faisait beaucoup d'électronique au final et de Même le côté matériel électrique que nous en tant que dev ou informaticien moderne, on fait plus du tout. Maintenant, on sait plus le faire. Tu vois, tu as des gens qui sont payés pour le faire à notre place, tu vois. Mais j'imagine que ça va évoluer un peu de la même façon au final. Ouais, on veut évoluer avec le temps. De toute façon, si tu regardes déjà sur le scope des 20

ans en arrière de technologie, tu es en mode W, ça avance tellement vite. Donc à Mon avis, ça va rebouger pareil. Juste Lia, c'est une nouvelle techno, on va évoluer avec nos temps. Et même quand tu vois l'évolution de chat GPT à travers les versions, à chaque fois, on est en mode "Oh, qu'est-ce que ça fait ?" C'est fou. Donc, on va être encore surpris dans 1 2 3 ans et ça va faire évoluer tant bien l'aspect dev et tout ça, mais aussi l'aspect sécu, l'aspect SOC et cetera. Hm. Et qu'est-ce qu'on va rigoler dans

5 ans quand il y aura un Pon kit spécial LLM qui va sortir là ? Ça va être génial. Mais tu vois, c'est plein de besoins et tu vois, j'ai vu un tool de Joaroca qui est sorti récemment mais il y a même des outils de sécuriser, tu vois, tout ce qui est LM tout ça pour détecter les tentatives de Jbreak et cetera. Donc tu as tout du tooline qui va sortir, tu as plein de use case. Bah il y a unasp dessus. Ouais, c'est ça. Mais c'est une nouvelle techno, faut apprendre à l'appréhender Et

évoluer du coup euh avec quoi. Bon ben, on va se diriger vers la conclusion tout doucement qui a un cas. Alors, on va te poser quelques questions. Tu vas voir, c'est des questions qu'on pose un petit peu à tout le monde. Ouais. Donc bah, on espère que tu t'es préparé parce que parfois on a des gens qui se retrouvent tout coincés, savent pas quoi répondre. Donc, on va commencer par un truc bien fun. Quelle est ta pire Expérience dans le soc ? Ma pire expérience ? Ouais, je peux dire que c'est en fait c'est dur

parce que c'est la pire et la meilleure en même temps. C'est eu ce que j'expliquais tout à l'heure, c'est quand m'a quand on m'a appelé et on m'a dit c'est bonjour, c'est ta première astreinte, tu es en crise je en mod c'est quoi ça ? Je tu es paniqué, tu es en mode bah waouh mais par contre tu es content en même temps. Tu vois c'est Pire et meilleur parce que tu vas enfin avoir un cas concret parce qu'il y a tellement de faux positifs dans le soc que quand tu as un cas concret c'est

cool mais en même temps tu es dans une situation qui est pas confortable. Donc tu vois, tu as un entre deux où c'est là où je me suis dit ou c'est dur, je suis c'est pas fun, je ferai pas ça tous les jours. Respect au à toutes les équipes cirtes et cetera qui font du vrai accident au quotidien qui doivent gérer Du coup tout le stress clients et cetera. Mais ça a été c'était pas simple mais c'est une très bonne expérience après quoi. Et euh OK. Ouais. Donc c'est la pire et la meilleure expérience. Très

bien. Je peux pas poser ma deuxième question. Ah non désolé. Ça fait les deux. Mais c'est vrai que c'est un boulot. Bah c'est un cas qui était très très marquant quoi. En tout cas pour Il nous a bien roulé hein. Il nous a bien eu hein. Tu as vu ? Non mais en vrai il y a plein de bonnes expériences tu vois. Mais moi je trouve les bonnes expériences c'est quand tu as aussi le retour de la tu sais quand tu fais des analyses, tu as le retour du client où tu es il est content

tu vois et que ça se passe bien. Tu as une bonne c'est bête hein mais tu sais quand tu bosses quotidiennement sur un client tu sais tu as le retour tu as sa satisfaction que tu arrêtes une vraie attaque et tu sais qu'il est content que Tu le protèges bah tu es juste tu es content de ce que tu fais du métier que tu fais tu vois parce que tu sais que ça sert et tu comprends que c'est un vrai impact tu vois moi je c'est ça que j'aime bien et quand tu es dans un

MSSP ou tout ça tu aussi travailles avec tous les corps de métier et différentes entreprises de différents secteurs. que c'est ultra enrichissant, je trouve et j'ai eu le cas de plein de domaines que j'ai appris parce que je bossais pour Des clients X ou Y plus ou moins gros, quoi. Ouais, c'est c'est vrai qu'on est dans un métier où bah quand tu fais bien ton taf en général, du coup ça se voit pas. Personne n'est au courant malheureusement. Mais là oui, c'est vrai que c'est bien d'avoir ce retour là. Bien, est-ce que tu aurais des

invités à nous recommander pour des futures émissions et si possible avec un sujet accroché histoire qu'on qu'on sache de quoi il parle ? C'est une bonne question En vrai. Vous avez déjà passé pas mal de sujets de toute façon c'est je sais pas vous avez déjà fait tout ce qui est reverse analyse de malware tout ça c'est une question je sais pas du tout pas vraiment on a eu un petit début forensic avec Xno mais on n pas fait du malware pur et dur non tout ce qui est reverse moi je sais que c'est un

truc qui m'intéresse moi en tant que City parce que c'est un domaine qui est tellement complexe tu dois tellement avoir des Connaissances pointues et pouvoir reverse des trucs qui sont assez avancés. Après, c'est aussi un boulot qui se qui est aussi intégré à tout ce qui est un peu soc et CTI aussi parce que ça fait partie du corps de voilà de ça. Mais je trouve c'est un domaine qui est intéressant. Après à savoir si vous pouvez faire un sujet entier dessus, c'est compliqué. Ouais, on peut. En tout cas, c'est un domaine que C'est un

domaine qui est qui en tout cas moi m'intéresse et je trouve que c'est intéressant de mettre en compétence dessus. Tu as tu as des noms un peu ou des des pas plus que ça ? Pas de nom comme ça. Ouais, j'aurais pas de nom en tête mais je vais essayer de regarder au pire je je vous dirai. Ça marche. Il y a il y a quelques bons reverseur en France quand même. Je pense qu'on arrivera à bien en attraper un quand même. Oui. Ou Alors il regarde l'émission et il va nous attraper. Allez, je fais

le lapin. Voilà. Non, c'est une blague. C'est une blague. Calmez-vous. Calmez-vous. Euh et bien écoute, avant la fin de cette émission, on aimerait avoir tes tes ultimes conseils, tes trois conseils pour les futures génération de la cyber qui nous regarde. Euh qu'est-ce que tu aurais à leur dire ? Et ben euh en tout cas, je vais parler Pour si vous voulez devenir analyste, vous butez, même si vous voulez faire de la cyber en général, vous bloquez pas au domaine qui vous intéresse. Allez voir vraiment tout ce qui se fait. C'est un milieu énorme, vaste, même

dans la gouvernance, tout ça. Regardez, soyez curieux et vous bloquez pas les portes. C'est c'est un domaine qui est ultra riche. Faites une bonne veille, faites de la veille, intéressez-vous, soyez curieux parce qu'en vrai, on a vous Allez pouvoir trouver des trucs peut-être que vous aurez pas pensé de base qui peut être ultra intéressant. et hésitez pas à rejoindre des communautés bah commb the box France tout ça parce que c'est là où perso j'ai commencé et c'est ce qui m'a donné vraiment c'est là où tu vois que tu as plein de personnes qui font le

même métier que toi et c'est ultra intéressant du coup vous fermez pas de porte et soyez soyez curieux blabl en ligne continue dans Laour Tourne ring. [Musique]