24.10.2022
| Non classé

Entretien avec notre Analyste SOC, 1er certifié FORTIEDR en France  

Christian MILAN, collaborateur SNS SECURITY, seul certifié FORTIEDR Analyst

4 candidats en France se sont présentés à l’examen de la certification NSE5 de FORTINET. Un seul d’entre eux a obtenu le saint Graal et c’est chez SNS SECURITY qu’il travaille. Nous sommes allés à sa rencontre afin de mieux comprendre son rôle chez SNS SECURITY et ses motivations.

zoom sur le visage de christian milan

Christian MILAN est rentré chez SNS SECURITY le 14 février 2022.

Sensibilisé à certains produits de l’éditeur américain lors de ses précédentes expériences professionnelles, Christian disposait lors de son intégration chez SNS SECURITY, de la certification FORTINET NSE4 axée sur FORTIGATE et avait également passé les modules de la NSE5 pour FORTIMANAGER et FORTINALYZER.
SNS SECURITY : Bonjour Christian et félicitations pour cette nouvelle certification NSE5. Ça te fait quoi d’être le 1er certifié FORTIEDR en France ? 
CHRISTIAN MILAN : À vrai dire, on se sent très petit lorsqu’on connait l’envergure de FORTINET au niveau mondial. Cette certification représente donc pour moi une grande fierté.
coccinelle dans une main

SNS SECURITY : En quoi consiste cette certification ?

CHRISTIAN MILAN : La certification FORTIEDR Analyst rentre dans le programme NSE5, sachant que ce dernier compte plusieurs modules et demande par la force des choses, une connaissance solide de l’environnement FORTINET. Le questionnaire à choix multiples qui nous ait proposé, nous confronte à des situations réelles, l’idée étant de nous préparer aux difficultés que l’on pourrait rencontrer lors de l’exploitation du FORTIEDR auprès de clients finaux. Les questions posées abordent aussi le fonctionnement de la solution.

Quel a été le rôle de FORTINET dans cet accompagnement ?

CHRISTIAN MILAN : FORTINET nous met à disposition des cours à suivre ainsi que des laboratoires où nous pouvons manipuler la solution, ce qui est déjà très important pour une prise en main de l’outil.
outils de bricolage

SNS SECURITY : Qui ou qu’est-ce qui t’a convaincu de passer cette certification ?

CHRISTIAN MILAN : Le business Model de SNS SECURITY change et intègre le FORTIEDR à son offre commerciale, il paraissait donc essentiel que l’on puisse fournir une expertise inédite en France sur cet outil.

SNS SECURITY : Alors que nous disposons à l’heure actuelle, du plus haut niveau de certification reconnu en France sur la marque FORTINET en tant qu’EXPERT PARTNER FORTINET, selon toi, en quoi les certifications représentent un gage de confiance pour les clients ?

CHRISTIAN MILAN : Cela rassure les clients car ils sont certains que les personnes qu’ils ont au bout du fil sont à jour sur leurs solutions. Dans des contextes nominaux mais aussi dans des contextes de crise, les personnes qui se prétendent expertes ne doivent pas être hésitants sur les équipements qu’ils proposent. Toutes les entreprises devraient comme SNS SECURITY investir dans la certification de leurs ingénieurs, qu’ils fassent du support ou qu’ils soient chefs de projets, car c’est un gage de l’expertise technique et de la mise à jour des connaissances de l’équipe en place.

SNS SECURITY : En tant qu’Analyste SOC, quel constat dresses-tu de la situation cybercriminelle ?

CHRISTIAN MILAN : En France, les groupes malveillants sévissent aussi et sont eux aussi, de mieux en mieux organisés. Nous avons dans une certaine mesure été épargnés pendant longtemps, les attaques provenaient majoritairement de l’empire du soleil levant. Dans tous les cas aujourd’hui, pour chaque nouvelle technologie de cybersécurité, la cybercriminalité trouve rapidement une parade ou semi-parade. On n’est plus capable de trouver les failles avant les groupes cybercriminels, les Computer Emergency Response Team (CERT) des différents pays sont dépassés et c’est donc l’inverse qui se passe. Ce contexte implique une véritable agilité pour répondre aux menaces.

CHRISTIAN MILAN : En France, les groupes malveillants sévissent aussi et sont eux aussi, de mieux en mieux organisés. Nous avons dans une certaine mesure été épargnés pendant longtemps, les attaques provenaient majoritairement de l’empire du soleil levant. Dans tous les cas aujourd’hui, pour chaque nouvelle technologie de cybersécurité, la cybercriminalité trouve rapidement une parade ou semi-parade. On n’est plus capable de trouver les failles avant les groupes cybercriminels, les Computer Emergency Response Team (CERT) des différents pays sont dépassés et c’est donc l’inverse qui se passe. Ce contexte implique une véritable agilité pour répondre aux menaces.

SNS SECURITY : Tu nous dis trois mots sur tes missions et tes interactions avec ton équipe, les clients et les autres collaborateurs SNS SECURITY  ?

CHRISTIAN MILAN : Notre mission est de protéger nos clients. Notre premier objectif doit être de répondre à ses questions d’ordre technique. Le deuxième point, c’est de procéder à l’analyse des menaces qui pourraient pénétrer l’infrastructure du client.
Un des aspects essentiels de notre métier, c’est d’être capable d’identifier si la menace fait partie d’une attaque groupée ou ciblée. Par attaque groupée, on entend attaque configurée par un cybercriminel dans l’optique d’affecter aléatoirement un grand nombre de réseaux. Ces attaques sont le fait de robots. Tandis que dans le cas d’une attaque ciblée, le client est directement ciblé. C’est une déclaration de guerre. Elle est faite dans un intérêt industriel soit c’est un acte de pure malveillance assorti généralement à une réclamation financière. Cette étape d’identification va nous permettre d’adapter notre réponse à la situation. Car en cas d’attaque groupée, il y a moins raison de s’inquiéter alors que si l’attaque est ciblée, partant du principe que l’attaquant va probablement réitérer, il faut être attentif à tout, aux éventuelles failles présentes sur l’infrastructure du client.
Concernant nos interactions avec le client, on les appelle quotidiennement. Ca va dépendre aussi de leurs demandes, du niveau de sécurité qu’ils souhaitent atteindre, des moyens qu’ils possèdent. Nous analysons les alertes tous les jours pour les clients ayant souscrit à ce service. Globalement, le principe du contrat que l’on propose est de déléguer la charge du client à notre équipe dédiée. Cela lui permet d’économiser à la fois du temps et de l’argent, l’objectif pour lui est de pouvoir transférer ces ressources au profit de son cœur de métier.

telephone et souris d'ordinateur au premier plan

SNS SECURITY : Comment s’explique l’engouement actuel des entreprises pour le SOC ?

CHRISTIAN MILAN : Je pense qu’assurer sa sécurité demande beaucoup de moyens. Financiers ou humains. Nous sommes ici, dans une optique de délégation. On peut par exemple, déléguer sa cybersécurité à SNS SECURITY, les alertes de sécurité et de remédiation seront immédiatement remontées par nos analystes. D’un autre côté, la mutation actuelle des menaces que nous évoquions précédemment implique une tenue régulière à jour de ses connaissances. Pour une équipe de cyberanalystes, le plus important c’est certes de traiter les alertes mais surtout d’être capable de prévenir les futures. Les clients ont rarement le temps pour cela et hélas ils se retrouvent trop souvent devant le fait accompli. Le principe de la veille, c’est de trouver des indicateurs de compromission ou des comportements inadéquats, et ça justifie pleinement la délégation à une équipe externe. Monter un SOC en interne demande de mettre en place des procédures et d’avoir de l’expertise. L’autre énorme avantage que je vois avec le SOC mutualisé, c’est que si nous détectons une anomalie chez l’un de nos clients, elle est partagée par la suite à l’ensemble de notre clientèle.

SNS SECURITY : Des conseils peut-être aux Security Analysts qui voudraient tenter leur chance avec cette certification ?

CHRISTIAN MILAN : Comme la plupart des examens FORTINET, la certification NSE5 repose sur un QCM et c’est un peu comme le permis de conduire, les questions portent sur des détails. Il faut donc s’entraîner, lire et relire les cours mis à notre disposition. Notre partenaire préconise six mois de pratique au minimum sur l’outil avant de prétendre à la certification mais de mon point de vue, les meilleurs peuvent tenter leur chance avant.
Il faut faire très attention au temps, car le temps est limité (60 min / 30 questions). Petite astuce : les dernières questions sont souvent les plus faciles. Je vous conseille donc de lire en premier l’intégralité des questions sans y répondre. Puis de les relire une seconde fois en cochant les questions sur lesquelles vous n’avez aucun doute. Enfin, lors de la dernière relecture, traitez individuellement les questions restées sans réponse et faites des déductions. Fiez-vous bien sûr à votre instinct. Lorsque vous vous retrouvez dans une impasse, procédez par élimination. Retirez les affirmations dont vous êtes certain qu’elles sont incorrectes, puis faites le tri.
Je dirai en conclusion que le plus important dans la certification, c’est l’envie. Il faut donc partir avec l’objectif de l’avoir. Un manque de motivation se ressentira automatiquement dans les résultats de l’examen. Bon courage et tous mes vœux de réussite aux prochains candidats à la certification FORTIEDR Analyst.