J'essaie de me faire un panorama des sociétés de pentest suite à de récentes discussions. Cela m'aide à identifier le type de poste que je pourrais rechercher dans un futur proche :)
Il faut bien se rendre à l'évidence qu'il y a plusieurs catégories de sociétés sur un même marché :
- celles qui veulent faire du volume (SSII/ESN, BIG4), donc diversifier l'activité, et se créer une image "technique"
- celles qui veulent qui veulent surtout se donner une belle image et y mettent les moyens (Sogeti ESEC, Wavestone, Digital Security)
- Les pure players sécurité (Advens, Amosys, Oppida, anciennement HSC, Intrinsec, etc.)
- Les pure players sécurité technique (Quarkslab, Lexfo, Synacktiv)
- Les indépendants ?
Étonnamment les meilleurs (et XMCO qui semble maintenir son choix de ne pas y aller) ne sont pas PASSI ? Le coût du PASSI n'est pas négligeable, ils ont déjà une belle réputation qui fait venir des clients qui savent ce qu'ils recherchent. Le PASSI aurait tendance à être requis par les ministères et donc via des marchés-cadres énormes auxquels ne peuvent pas répondre des jeunes pousses. Puis finalement quand on voit tous ceux qui sont PASSI, on doute de la qualité du label. Espérons un renforcement des exigences techniques (c'est déjà prévu par l'ANSSI).
Il y a une réalité économique derrière chaque profil de société. Ceux qui réussissent (à voir sur la durée) le mieux sont les passionnés qui n'ont pas une envie irrésistible de s'enrichir. Ils commencent en se serrant la ceinture pour donner aux bons éléments ce qu'ils méritent et les retenir le plus longtemps possible. Et en plus ils ont su se faire connaître suffisamment pour qu'on leur confie des missions complexes et passionnantes. Les strates de management sont courtes et un consultant ne paie pas 40 personnes au dessus de lui.
Les pure players sécurité ont encore une taille raisonnable, pas beaucoup de strates de management, et un P&L lissé sur les activités. Il vaut mieux en avoir un peu plus, même si ça ne rapporte pas autant que les autres activités. L'investissement est indispensable car c'est le cœur de métier.
Les quelques cabinets de conseil ou SSI qui investissent vraiment ont ainsi réussi à adresser un marché spécifique qui les alimentent correctement. SCADA, reverse-engineering.
Le reste des SSII, ne fait que diversifier les activités, mais sans le moindre investissement (pas de matériel, pas de formation, pas de voyage aux conférences sécu). Ca ne tient qu'à quelques individualités, mais le gros des troupes est des stagiaires qui restent jusqu'à 3 ans et une fois qu'ils sont à l'aise et suffisamment mal payés vont voir ailleurs. L'équipe de pentest est trop différente des autres dans ses sociétés et ne fait pas une marge aussi importante, sauf en sous-payant les juniors et en limitant les profils plus expérimentés. Le P&L est calculé par équipe et la pression est très forte. Pour grossir, il faut des managers, mais comme la progression de salaire est la même que pour le reste de la société, on tourne à 2 ou 3%. Personne ne reste assez longtemps pour être manager. Et impossible de recruter au bon niveau de salaire sur le marché, d'autant plus que la société n'est pas attractive pour les consultants qui connaissent le marché. Ainsi les équipes se montent puis disparaissent régulièrement. Je pense à Devoteam, Deloitte, EY ou encore PwC qui ont des hauts et des bas.
Malheureusement c'est le cas que je connais le mieux :D
Pas question de refaire la même erreur la prochaine fois...
Aucun commentaire:
Enregistrer un commentaire