Dans le cadre d’un projet qui n’est pas l’objet de cet article, j’ai préparé et obtenu la certification Comptia Security+ 701.
J’ai préparé l’examen pendant deux mois. Le premier mois, je n’avais qu’une heure maximum par jour à consacrer à la préparation. Le deuxième, je ne faisais presque que ça et y consacrais environ trois heures par jour.
Etant donné qu’il y a très peu de retours d’expériences francophones, je vous propose de partager la mienne.
Mon background
Je ne partais pas complètement de zéro étant donné que j’ai l’avantage d’avoir comme formation initiale un DUT Informatique et que j’ai près de 15 ans d’expérience dans le domaine du web. Pas directement sur des postes techniques, mais j’ai toujours aimé mettre les mains dans le cambouis : développer des scripts, lire des logs, installer des serveurs web, … ce qui fût très utile. Il est bien plus facile de comprendre ce qu’est une injection SQL quand on a déjà eu l’occasion de faire des requêtes dans une base de données.
De même, vous gagnerez beaucoup de temps sur toute la partie cryptographie si vous savez ce qu’est une fonction de hashage, que vous connaissez les notions de clé privé / clé publique ou que vous vous intéressez à la blockchain par exemple.
Côté désavantages : aucune expérience dans la cybersécurité et un niveau d’anglais moyen. J’ai eu 790 en score TOEIC il y a deux ans pour ceux qui voudraient comparer. Or, tout le matériel d’apprentissage est en anglais. Et l’examen est en anglais également (il est également possible de le passer en japonais, mais ça n’aidera pas la plupart d’entre vous). Etant donné que c’est de l’anglais technique et non pas du Shakespeare, ça ne m’a pas semblé insurmontable. Et c’est l’occasion de s’y mettre et de progresser.
Deux conseils importants
Deux conseils que j’ai « piqué » à d’autres et qui me semblent très pertinents :
- Achetez le voucher pour l’examen et réservez votre date de passage dès maintenant ! Cela vous fixe une échéance et va réduire votre propension naturelle à procrastiner. Dans le pire des cas, il est possible de décaler votre passage.
- Téléchargez les « Exam Objectives » : il s’agit de la liste des sujets qui sont susceptibles d’être dans l’examen. Il y en a très précisément 662. L’examen Security+ n’offre aucune surprise, toutes les questions se réfèrent à ces Exam Objectives, ni plus, ni moins. Si vous êtes en mesure d’expliquer chacun d’entre eux en quelques mots (sans rentrer dans le détail technique) … vous êtes prêts pour l’examen.
Ma méthode d’apprentissage
J’ai commencé par regarder des vidéos du célèbre « Professor Messer » sur Youtube. Ses vidéos sont très appréciées par beaucoup de candidats, car elles sont 100% gratuites et qu’elles couvrent l’intégralité des « Exam Objectives ». Certains se contentent de visionner l’ensemble de ses vidéos avant de passer l’examen, et l’obtiennent !
Si j’ai regardé beaucoup de ses vidéos, ce n’est pas ce que j’ai préféré. J’ai trouvé certaines vidéos trop denses, d’autres pas suffisamment détaillées.
Je me suis donc décidé à lire le livre « Security+ Study Guide » de Mike Chapple. C’est un gros pavé, plus de 1 000 pages. Le premier livre en anglais que je lis intégralement ! C’est un effort, mais à raison d’un chapitre par jour, ça se fait bien, et ça vaut le coup.
Après avoir fini cette lecture, j’étais encore loin d’être solide sur tous les chapitres, j’ai entrepris de suivre le cours vidéo d’Udemy d’Andrew Ramdayal que je recommande vivement. Il propose un programme pour passer l’examen après 30 jours d’études, et je pense vraiment que c’est faisable.
J’ai ensuite lu un deuxième livre : « Security+ Get Certified Get Ahead » de Darril Gibson. Mais cette fois-ci, vraiment en diagonale, en m’arrêtant seulement sur les parties sur lesquelles je ne me sentais pas suffisamment à l’aise.
En parallèle de tout ça, dès que je rencontrais une nouvelle notion, ou un acronyme que je devais retenir, je me suis préparé des petites fiches pour les ajouter dans l’application d’apprentissage par « répétition espacée » Anki. J’avais découvert le principe de la répétition espacée quelques mois auparavant en regardant par hasard cette vidéo Youtube. Je l’ai mis en application pour la première fois dans le cadre de la certification Security+, et c’est absolument mortel ! Anki va vraiment devenir une routine dès que j’ai des nouveaux savoirs à mémoriser.
Enfin, j’ai fait des tonnes de tests pratiques. Certains sur Udemy (ceux de Jason Dion) qui ont l’avantage de mettre en condition d’examen : on a un temps limité, on passe toutes les questions et on a le résultat et les réponses à la fin.
Et via le livre « CompTIA Security+ Practice Tests » de David Seidl qui propose 1 000 questions / réponses (1 000 selon les syndicats, un peu moins selon la police). Anh avait tout copié-collé et bidouillé un Excel pour me préparer des fichiers PDF de 100 questions couvrants tous les chapitres, me permettant de calculer mon score de réussite. Dès que vous obtenez systématiquement un score supérieur à 80% de bonnes réponses, à priori, vous êtes prêts !
L’inconvénient de tout cela, c’est que ça reste très scolaire. Vous allez acquérir des connaissances en cybersécurité, mais en aucun cas des compétences. Si vous êtes comme moi, que vous avez besoin de comprendre plus en détail comment ça fonctionne, et à quoi ça sert, une bonne solution peut-être de faire des « labs ». Quelques mois avant de préparer l’examen, j’avais passé de nombreuses heures sur TryHackMe et je pense que ce fût très utile.
L’examen à distance
L’examen Security+ peut se dérouler en physique dans un centre ou à distance.
Il y a des centres un peu partout dans le monde. J’étais à Buenos Aires en Argentine, il y avait trois centres disponibles.
J’ai cependant préféré faire le test à distance. J’avais une connexion internet rapide et fiable et préférais m’épargner le stress additionnel d’un déplacement.
A noter que si vous ne passez pas le test dans votre pays de résidence, c’était mon cas, vous devez demander l’autorisation à CompTIA avant de caler votre date d’examen. Dans mon cas, j’ai obtenu l’autorisation rapidement, sous 24h.
Dans le cadre d’un examen à distance, je vous conseille de préparer votre espace d’examen la veille. Vous devez installer et tester le logiciel sur votre ordinateur. Branchez votre ordinateur sur secteur si c’est un portable. Sur votre table, doivent se trouver votre ordinateur, votre clavier, votre souris, et absolument rien d’autre ! Si vous avez un deuxième écran, vous devez l’enlever.
Le « check-in » de votre examen peut démarrer 30 minutes avant l’heure d’examen. Vous allez recevoir un lien à ouvrir depuis votre téléphone et vous allez devoir :
- Faire un selfie
- Prendre la photo de votre pièce d’identité
- Prendre trois photos de la pièce dans lequel vous êtes
Une fois cela effectué, vous retournez devant votre ordinateur, un test de son, de micro et de webcam est effectué puis vous entrez dans la « salle d’attente ».
A partir de ce moment, ça ne rigole plus : si vous quittez le champ de votre webcam, vous êtes éliminés, si quelqu’un d’autre passe dans le champ de votre webcam, vous êtes éliminés, si vous parlez, vous êtes éliminés, …
Lorsque je suis entré dans la salle d’attente, il était indiqué que j’avais cinq personnes devant moi. Je pense que cette salle d’attente consiste simplement à ce qu’un superviseur vérifie vos photos et vous autorise à lancer l’examen.
Je suis passé un peu par toutes les émotions. J’étais déjà assez stressé par l’attente, puis au bout de quelques instants, un message s’est affiché en indiquant que l’opération prenait plus de temps que d’habitude.
Puis, alors qu’il restait 3 personnes devant moi, un message s’est affiché indiquant que mon examen n’avait pas pu démarrer. Que je devais cliquer sur un lien pour contacter le support pour corriger le problème ou reprogrammer l’examen. Je n’ai jamais trouvé comment contacter le support… Finalement, en retournant sur la fenêtre de la salle d’attente, je n’avais plus qu’une personne devant moi, et l’examen a pu débuter !
Si l’anglais n’est pas la langue officielle de votre nationalité, vous avez automatiquement droit à 30 minutes de plus, soit 120 minutes au total, pour environ 80 questions (c’est variable, vous pouvez en avoir quelques-unes de plus ou de moins). Dans mon cas, c’était très largement suffisant, j’ai pu refaire une passe sur l’ensemble des questions, et il me restait encore du temps.
Les premières questions sont les PQB (Performance-Based Questions) qui prennent plus de temps que les QCM. J’en ai eu trois sur mon examen, mais ça peut varier. Je vous conseille de les zapper pour y revenir plus tard (il y a une icône avec un drapeau sur laquelle vous pouvez cliquer pour identifier les questions à revoir).
J’ai globalement trouvé les questions plus simples que celles que j’avais faites durant mes nombreux tests. Il y a eu une question qui m’a vraiment interpelé puisque, selon moi, il n’y avait aucune bonne réponse. Mais Comptia précise qu’il peut y avoir des questions « tests » qui ne comptent pas, je pense que c’en était une.
Après avoir pris le temps de repasser toutes les questions une seconde fois, il est temps de finaliser l’examen. A cet instant, le rythme cardiaque est à son maximum. Comptia est sadique, puisque juste après avoir validé vos réponses, on vous demande de répondre à un sondage d’une quinzaine de questions… Et votre score n’arrive qu’après avoir rempli ce sondage… que j’ai expédié le plus rapidement possible.
Le résultat s’affiche : j’ai réussi !
Score final : 782 / 900 (le score minimal à avoir est de 750) soit presque 87% de bonnes réponses alors que j’étais généralement entre 80 et 85% lors de mes tests. Trop content ! Immense soulagement ! Pas si facile que ça de se remettre en mode examen à 37 ans, on n’a plus l’habitude !
Dernier facteur de stress : je n’avais pas pu faire de screenshots du résultat et il faut attendre 24h avant d’avoir le mail de confirmation ! Aucun moyen de revoir le résultat et on peut devenir parano « est-ce que j’ai bien lu le résultat ?? ».
Voilà pour mon expérience, il s’agit de ma toute première certification, et ce ne sera sûrement pas la dernière !
