Pour revenir à la question, j’ai passé le CEH en version 5. Il a pas mal changé depuis, beaucoup de modules ont été ajouté dans la v6 (certains étant de véritables blagues, comme « Identifying Terrorists ») puis ont été retirés dans la v7, version à laquelle je me suis arrêté (on doit en être à la v8 ou v9). Hormis le bourrage de crâne sur les ports par défaut des trojans, le déballage d’outils ainsi que des slides et questions parfois erronées (du moins à l’époque), le contenu restait relativement intéressant et couvrait pas mal d’aspects de la sécu. Mais il restait essentiellement théorique, le côté pratique étant laissé à l’exercice du formateur. Or, en tant que pentester, c’est surtout cet aspect pratique qui compte. Le CEH m’a parfois été utile pour découvrir un outil ou une technique particulière, mais le véritable apport reste la pratique.

Je ne suis pas recruteur, mais si je devais recruter un profil technique je préférerai donc m’assurer de l’expérience pratique du candidat. Hormis peut-être pour l’aspect salarial (et encore…), je ne considère pas le CEH comme un critère de recrutement. En fonction de l’entreprise ciblée, j’aurais maintenant plutôt tendance à l’omettre sur mon CV, par peur de me faire troller . Du côté des formations/certifications pratiques, j’ai entendu dire que celles du SANS ne sont pas mal. Ce ne sont évidemment pas les seules ; plusieurs boîtes de formations ont les leurs. Il y a aussi les trainings spécialisés qui sont assez recherchés ; j’ai récemment suivi le training Corelan Advanced qui est juste excellent. Il ne faut pas non plus perdre de vue qu’un pentester doit être indépendant et autodidacte ; je préfère donc voir les formations comme un complément.

La participation à des CTF ou challenges est également un des facteurs. Tous les challenges ne soient pas réalistes, mais ils mettent généralement à l’épreuve d’autres facultés indispensables : curiosité, rapidité d’adaptation, tenacité, rigeur, etc. En fonction du profil recherché, il est peut-être intéressant pour la société de concevoir son propre challenge (crackme, plateforme Web à rooter, etc), bien que cela demande beaucoup de temps.

Enfin, une des qualités à mon sens indispensable est la capacité à lire du code et à développer rapidement des outils pour répondre à un besoin (ponctuel ou fréquent). L’idée étant de ne pas être un simple « presse-bouton », d’automatiser ses actions et de ne pas être bloqué dès lors qu’un problème ne sera pas soluble par des outils publiques.

J’en viens à ma question:
depuis l’écriture de ce billet 7 années sont passées, peux-tu nous donner désormais ton ressenti sur ce que t’a apporté la CEH (qui elle-même a dûe un peu muter depuis)? est-ce bien utile? toi, en tant que recruteur technique, te baserais/bases tu sur cette qualification?

Question subsidiaire: penses-tu que l’on puisse jauger les qualités techniques d’une personne en s’appuyant sur son classement au sein de sites tels w3challs.com ? l’approche « challenge » est-elle vraiment réaliste dans cette optique d’évaluation/recrutement? sinon est-ce quand même une référence à mentionner?

D’avance merci pour tes éclairages.

et merci de m’avoir répondu !

je viens de tomber sur ton blog après une recherche à propos du CEH, et j’aurais aimé avoir des infos là dessus. Tu es actuellement en Cycle ingénieur ? ou tu l’es déjà et tu es dans ton entreprise ?

Comment es-tu arriver à financer ça ? parce que c’est une somme qui est vraiment grosse là.. et de plus, est-ce que pour le moment, au niveau professionnel, cela t’a apporté quelque chose? (supplément au niveau de la rémunération etc.. )

Voila, merci !

Bonne journée.