Threat hunter

Ce métier consiste à rechercher des cybermenaces dissimulées dans les systèmes, et ce, avant qu’elles ne déclenchent d’alertes ou ne causent des dommages. Il cible particulièrement le « top 10 » des cybermenaces avancées, ces attaques sophistiquées qui représentent environ 20 % des menaces, mais échappent aux solutions standards.

Pour ses investigations, le threat hunter s’appuie sur une méthode très scientifique qui commence par la formulation des hypothèses basées sur sa connaissance des techniques d’attaque. Puis, le test avec des outils d’analyse avancés pour identifier les schémas anormaux qui signalent la présence d’adversaires.

La mission principale du threat hunter est de rechercher les menaces dissimulées avant qu’elles ne se manifestent. Détecter les signaux faibles et comportements anormaux qui échappent aux systèmes automatisés.

Il collecte également un maximum d’informations sur les comportements et méthodes des adversaires potentiels, comprenant leurs tactiques, techniques et procédures (TTP).

Il organise et analyse les données recueillies pour identifier des tendances significatives, qui établissent des corrélations entre différents des événements apparemment sans lien.

Enfin, il établit des prévisions pour anticiper les futures attaques et élimine les vulnérabilités existantes avant qu’elles ne soient exploitées.

Ce professionnel assume trois grandes responsabilités. La première est l’anticipation et l’innovation pour rester en avance sur les menaces émergentes. La deuxième concerne l’investigation et l’identification des menaces invisibles aux outils automatisés accompagné de la vulgarisation des découvertes. Quant à la dernière, il s’agit de l’identification précoce des menaces sophistiquées.

Le threat hunter doit maîtriser les environnements informatiques, tant Windows que Linux/Unix, pour savoir distinguer comportements normaux anormaux. Il doit aussi connaître les vecteurs d’attaque des logiciels malveillants et les tactiques des acteurs de la menace.

De plus, des compétences en criminalistique numérique et analyse de données sont indispensables. Il faut aussi une maîtrise de la sécurité des réseaux et des terminaux, et ce, avec une expertise des différents protocoles comme la pile TCP/IP.

Enfin, il est important de se doter de compétences en ingénierie inverse et en codage pour analyser les logiciels suspects et d’automatiser certaines tâches d’investigation.

Pour être efficace dans ce rôle, il faut développer une forte capacité d’analyse et de raisonnement déductif pour formuler et tester des hypothèses sur les intrusions potentielles.

La résistance au stress est aussi indispensable, car les enjeux sont parfois considérables et la pression intense.

En outre, une aptitude innée en matière de documentation et de communication est nécessaire pour transformer les observations techniques en informations exploitables pour différents interlocuteurs. La curiosité intellectuelle complète le profil, car il faut toujours apprendre pour être en avance.

Pour accéder à ce métier, d’abord, obtenir un diplôme de niveau Bac+5 en informatique, idéalement spécialisé en cybersécurité. Ensuite, décrocher des certifications professionnelles spécifiques comme OSCP, SANS GIAC (GCFA ou GNFA) ou CTI-P qui renforcent significativement le profil.

Ce n’est pas un métier pour débutants. Donc, une expérience préalable est indispensable (en tant qu’analyste SOC, spécialiste en réponse aux incidents ou expert en analyse forensique).

Le salaire de début est d’environ 4 166 € bruts par mois. Puis, cela évolue progressivement au fur et à mesure que l’on développe ses compétences, pour devenir threat hunter confirmé, payé à 12 500 € mensuel ou plus.

Ce métier offre plusieurs évolutions possibles : analyste en réponse aux incidents, « chasseur de primes » (bug bounty hunter) en cybersécurité, ou intégration de grandes entreprises spécialisées et de MSP d’envergure. Pour les profils les plus expérimentés, des positions de direction d’équipes de threat hunting ou de conseil stratégique en sécurité proactive sont possibles.

Plusieurs types d’organisations recrutent ce profil. On peut citer entre autres les grandes entreprises dans les secteurs sensibles comme la banque, l’assurance, la défense, l’énergie ou la santé, qui intègrent des threat hunters à leurs équipes internes.

En France, les Managed Service Providers (MSP) spécialisés en cybersécurité représentent un important volume de recrutement. Les éditeurs de solutions de cybersécurité emploient également ces experts pour améliorer leurs produits et services, notamment FireEye/Mandiant, CrowdStrike, IBM Security, Microsoft Security, Orange Cyberdefense ou Thales.

Dans ce métier, l’avantage est surtout la stimulation intellectuelle. De plus, l’impact du travail est significatif et concret : détecter une menace avancée peut sauver une organisation d’une crise importante. Par ailleurs, la rémunération est particulièrement attractive, parmi les plus élevées du secteur.

Cependant, la pression peut être considérable face à des adversaires hautement qualifiés, et l’échec à détecter une intrusion peut avoir des conséquences dramatiques sur sa carrière. Le métier peut paraître intellectuellement fatigant avec de longues périodes d’investigation minutieuse sans garantie de résultat immédiat.

L’accès à ce profil est conditionné par l’obtention d’un diplôme de niveau Bac+5 en informatique et cybersécurité, lequel est complété par des certifications spécialisées.

Mais avant de se spécialiser, faut-il encore une expérience significative dans d’autres rôles de cybersécurité. La maturité professionnelle requise peut être obtenue en s’habituant à la chasse aux menaces : participer à des formations avancées et pratiquer les techniques apprises dans le cadre professionnel.