← Compétences / Humaine 02

Esprit d'analyse

→ Infrastructure sécurisée → Audit de sécurité

Définition

L'esprit d'analyse, c'est la capacité à décomposer un problème complexe, à en identifier les causes profondes et à construire une réponse logique et structurée. En ingénierie systèmes et cybersécurité, c'est une compétence centrale : un incident réseau mal analysé, une configuration mal lue, une dépendance mal identifiée peuvent avoir des conséquences lourdes en production.

L'analyse ne se limite pas à la résolution de pannes. Elle s'applique aussi en amont : lors de la conception d'une architecture, il faut analyser les flux attendus, les risques potentiels, les zones de confiance et les contraintes de performance avant de poser la première ligne de configuration. C'est exactement ce que la modélisation des menaces formalise dans les démarches sécurité, et c'est aussi ce que les bonnes pratiques type STRIDE ou MITRE ATT&CK structurent pour les analystes.

L'actualité récente le rappelle régulièrement : les incidents majeurs (CrowdStrike, fuites de données massives, ransomwares ciblés) ont rarement une cause unique. Ce sont presque toujours des chaînes de défaillances que seule une analyse rigoureuse permet de reconstruire et de prévenir.

La compétence en pratique

Anecdote 1, 2023-2025, Root-Me et CTF

Exercer mon analyse sur des contextes hostiles et incomplets

La pratique des CTF (Capture The Flag) est l'un des terrains où j'exerce le plus régulièrement mon esprit d'analyse. Ces challenges imposent de comprendre un environnement inconnu, d'identifier des vulnérabilités à partir d'indices parcellaires, et de construire une chaîne de raisonnement cohérente. Il n'y a pas de place pour l'approximation : soit la chaîne logique tient, soit le flag ne tombe pas.

Mon parcours sur Root-Me totalise aujourd'hui 115 challenges résolus, 1890 points, place 7168, sur des catégories variées (web, programmation, cracking, forensic, réseau). Chaque challenge non-trivial mobilise la même séquence d'analyse : observer ce qu'on voit, formuler des hypothèses sur ce qui est caché, tester les hypothèses, ajuster. C'est exactement le réflexe qu'on retrouve en investigation d'incident réel, à ceci près que sur un CTF on a la garantie qu'il y a une solution.

Résultat & valeur ajoutée : ces années de CTF m'ont apporté un réflexe d'analyse systématique face à un environnement inconnu, qui se transfère directement sur les incidents réseau et système rencontrés en mission. Quand un service ne répond pas comme attendu chez Paritel, je n'attaque pas la solution, j'attaque l'analyse.
Anecdote 2, septembre 2023, Valesys, recadrage de mission initiale

Refuser une mission mal cadrée pour analyser le vrai problème

À mon arrivée chez Valesys en septembre 2023, ma mission initiale était claire et limitée : mettre en place un SOC. Mais en arrivant sur place, j'ai analysé l'existant et constaté que l'infrastructure se résumait à un firewall mal configuré et un NAS. Monter un SOC sur des fondations aussi fragiles n'avait aucun sens : on aurait livré un outil de surveillance pour une infrastructure qui n'existait pas vraiment, ce qui aurait été un produit de façade plutôt qu'un dispositif de sécurité utile.

J'ai donc recadré la mission en présentant cette analyse à mon encadrement, et la priorité du projet est devenue la conception de l'architecture réseau complète, avant même d'aborder l'objectif SOC initial. Cette décision a allongé le projet de plusieurs mois mais a permis de livrer une solution qui a ensuite été commercialisée, ce qui n'aurait jamais été le cas en partant des fondations initiales.

Résultat & valeur ajoutée : infrastructure complète puis SOC, le tout commercialisé. Ma valeur ajoutée a été de résister à la facilité d'exécuter la commande initiale pour analyser ce qui était réellement nécessaire. C'est exactement l'esprit d'analyse qu'on attend d'un ingénieur : ne pas faire ce qu'on lui demande, mais ce qu'il faut.

→ Voir la réalisation complète : Infrastructure sécurisée

Anecdote 3, en continu, prise de notes structurée

Structurer ma réflexion dans un système de notes personnel

L'analyse n'est pas qu'une compétence du moment : c'est aussi une discipline de capitalisation. Je tiens un système de notes personnel structuré (Obsidian privé) où je consigne mes raisonnements sur les sujets que j'étudie : décomposition d'un protocole réseau, analyse d'un comportement suspect observé en logs, schémas d'architecture en cours d'élaboration, retours d'incidents. Cette pratique me sert de second cerveau et me permet de revenir sur des analyses passées plutôt que de tout réinventer à chaque problème similaire.

L'intérêt n'est pas le contenu des notes en soi, mais l'obligation de structurer une pensée pour pouvoir l'écrire. Si un raisonnement ne tient pas par écrit, c'est qu'il était flou dans ma tête. Cette discipline a transformé ma manière d'analyser : je le fais désormais à l'écrit aussi systématiquement que possible, ce qui élimine une bonne partie des angles morts.

Résultat & valeur ajoutée : mes notes m'ont déjà servi plusieurs fois à débloquer un problème actuel en retrouvant un cas similaire passé. C'est une discipline qui apporte sa valeur sur plusieurs mois plutôt que sur le moment, mais c'est probablement l'investissement à plus fort rendement que j'ai fait sur mon esprit d'analyse.

Mon niveau de maîtrise

Je me considère comme solide sur l'analyse technique individuelle, et en progression sur l'analyse en équipe ou face à des contextes que je n'ai pas l'habitude de croiser.

Analyse de problème technique
16/20 · Réflexe quotidien
Analyse d'incident sécurité
14/20 · Bonne pratique CTF + terrain
Analyse systémique (modélisation menaces)
11/20 · En progression
Analyse collaborative (confrontation à un tiers)
10/20 · Axe d'amélioration assumé

Contextualisation : ma limite actuelle est que mon analyse reste parfois trop individuelle. Je ne confronte pas encore systématiquement mes conclusions à un tiers avant d'agir, ce qui peut générer des angles morts surtout sur les sujets où je suis très à l'aise. C'est une zone que je travaille progressivement, notamment en partageant mes analyses dès que possible avec ma communauté de pentesters.

Place dans mon profil et vitesse d'acquisition

L'esprit d'analyse est une compétence centrale dans mon profil. C'est probablement la compétence non-technique qui a le plus d'impact direct sur la qualité de mes livrables techniques. Sans elle, mes autres compétences (configuration, scripting, virtualisation) produiraient du résultat fonctionnel mais sans la finesse qui distingue un bon ingénieur d'un excellent.

Vitesse d'acquisition : progressive et soutenue par deux pratiques régulières : les CTF (depuis plusieurs années) et la prise de notes structurée. Cette compétence n'a pas eu de pic d'apprentissage particulier mais une amélioration constante au fil de la confrontation à des problèmes de plus en plus complexes.

Mon recul sur la compétence

Avec l'expérience que j'ai aujourd'hui, je conseille avant tout d'écrire ses analyses. Pas dans un rapport formel, juste dans des notes personnelles. Le simple fait de transformer une pensée en phrase complète révèle immédiatement ses zones floues. C'est probablement le conseil le plus simple à appliquer et celui qui apporte le plus de valeur sur la durée.

Je conseille aussi de se méfier de la première hypothèse qui colle. Quand un problème semble avoir une cause évidente, c'est souvent qu'on a vu une corrélation, pas une causalité. Prendre 5 minutes pour formuler une seconde hypothèse alternative, même improbable, force à vérifier la première au lieu de l'accepter par paresse. C'est un réflexe qui m'a évité plusieurs fois de partir dans la mauvaise direction sur des incidents réseau.

Évolution et formations

Je cherche à renforcer cette compétence en me confrontant à des contextes toujours plus variés : reprise des CTF dès la fin de mes études, retour sur le bug bounty (YesWeHack, Bugcrowd), et échanges plus structurés avec des pentesters expérimentés.

À terme, je souhaite développer une capacité d'analyse plus systémique, orientée vers la modélisation des menaces dans des architectures complexes. Cela passera notamment par une pratique plus formelle des méthodologies type STRIDE, MITRE ATT&CK et arbres d'attaque, que j'utilise aujourd'hui de manière intuitive mais sans la rigueur d'un threat modeler formé.

Sur le plan des apprentissages formels, je n'ai pas de stratégie de lecture théorique sur ce sujet : j'apprends par la pratique et la veille active. Ma veille se structure autour de mes flux RSS, des échanges sur Keybase avec ma communauté technique, et de Twitter sur les comptes de chercheurs en sécurité offensive et défensive dont j'analyse les raisonnements publiés (write-ups, post-mortem d'incidents, threat reports).

Réalisations rattachées

Cette compétence est mobilisée dans plusieurs réalisations. L'Infrastructure sécurisée Valesys illustre l'analyse qui a conduit au recadrage complet de la mission initiale. L'Audit de sécurité mobilise mon esprit d'analyse de manière intensive sur des contextes clients variés.