que la plupart des ™ n’ont pas ce genre de soucis, je le dit par expérience personnel.

Dans le domaine de sécurité informatique beaucoup de jeûnes se trouvent face à cette situation, pas d’expérience alors ils commencent à essayer de trouver un emploi n’importe comment et n’importe où, certains alors se lance dans les tests d’intrusions gratuit pour se démarquer… mais est-il OK de le faire?

Faut-il accepter de travailler gratuitement?

Par ma petite expérience professionnel que ce soit en tant que salarié ou freelancer je déconseille le fait de travailler gratuitement parce que: « quand vous commencez à offrir vos services gratuitement vous vous enfermez dans un cercle de gratuit où des gens qui veulent du gratuit vous recommandent à d’autres personnes qui ne veulent que du gratuit » (ceci est un conseil que j’ai reçu malheureusement très en retard).

Par contre il y a des cas où il est tolérable de travailler pro bono:

Les stages

Si votre stage est éducatif et que vous allez apprendre il est acceptable de le faire gratuitement, par-contre dans le cas où on vous demande de travailler comme les salariés de la dite entreprise vous devez être payé (en plus des dédommagements de déplacement).

Les ONG

En revanche il est tout à fait louable de travailler gratuitement pour des ONG à but non lucratif mais il faut faire attention aux sociétés qui se cachent derrière une image d’ONG alors qu’ils ne le sont pas, exemple: certaines entreprises qui organisent des événements (parfois de type social) et qui font un bon chiffre d’affaires via publicités, vente de stands etc… mais se présentent en tant qu’organisation à but non lucratif.

Les startups

Déjà il faut comprendre qu’une startup est une jeune entreprise à fort potentiel de croissance, ici au Maroc beaucoup de sociétés s’auto-proclament comme tel et vous promettent les étoiles d’un ciel bleu azure, et que si vous les rejoignez vous deviendrais CISO (poste exécutif management relatif à la sécurité informatique) en quelques années mais en contrepartie vous bossez presque gratis… il est OK de le faire dans une seule et unique condition: que vous soyez actionnaire (contractuellement).

Y a t-il une différence pour les pentesters?

Oui une grande différence, il faut que vous ayez une autorisation écrite pour faire des tests d’intrusion (comme je le dirais toujours il faut comprendre la loi) même si c’est un stage, et même si vous êtes au sein de l’entreprise, il faut que vous ayez un contrat de stage qui stipule vos fonctions.

Mais faut-il faire des tests d’intrusions gratuits? non pour plusieurs raisons:

1. Mettre en place un contrat qui prend en considération les limites des tests que vous allez faire (scope) et comment les failles seront prouvées demande une étude de la plate-forme du client, des réunions, du temps et ça un coût.
2. Vous devez vous mettre d’accord avec le client sur une stratégie de continuité de service, votre test de fuzzing par exemple peu tourner mal.
3. Un vrai test d’intrusion ne se fait pas n’importe comment, il faut maîtriser même les outils de tests automatisés sinon vous allez causer des dommages au client (contractuellement ou pas vous risquez gros), maîtriser demande du temps.
4. Vous courez des risques, il est facile de faire des erreurs et aller « out of scope » et faire des dégâts hors votre stratégie de continuité de service, et si ça arrive vous serez en danger de poursuites judiciaires de la part de l’entreprise (même si c’est contractuel),

Comme vous pouvez le comprendre un test d’intrusion n’est pas juste « ouvrir Acunetix, saisir le nom de domaine visé et laisser faire » (ce n’est même pas un bon outil…), ça demande du temps à préparer, des études, des réunions et un contrat (en plus des autres coûts que ça peut générer: besoin d’un VPN, de serveurs distants, de matériels performants… etc), alors il n’est pas possible à un professionnel de faire des tests d’intrusion gratuits*.