20 août 2019
Aujourd’hui, tout est connecté à internet, de nos objets du quotidien (montres, smartphones, lampes…) à la plupart des services que nous utilisons (santé, impôts, sites de vente, banques, emails…). Tous ces éléments doivent être protégés. Mon travail consiste à me mettre dans la peau d’un pirate informatique pour identifier des vulnérabilités et permettre aux entreprises d’améliorer la sécurité de leurs produits et de leurs systèmes informatiques.
Notre cadre d’intervention est d’abord défini par la loi mais aussi par nos clients. Nous n’allons jamais au-delà.
Un audit technique dure entre une et deux semaines. Nous commençons par des tests génériques pour évoluer vers des scénarios de plus en plus précis. Nous répertorions ainsi en un temps restreint un maximum de vulnérabilités pour donner au client une idée concrète du niveau de sécurité du périmètre audité. A la fin de cette phase très technique, nous passons à la rédaction du rapport d’audit qui est le livrable qui présente les résultats au client. Il contient également des informations sur la manière dont un attaquant pourrait tirer parti des failles identifiées, ainsi que des conseils sur les solutions à mettre en place pour se protéger.
Il arrive que nous ne trouvions rien, mais cela reste rare car cela suppose une très grande maturité de l’entreprise sur les questions de cybersécurité.
Les clients sont en réalité satisfaits quand nous trouvons des vulnérabilités. Le rapport d’audit leur permet de les corriger et d’améliorer la sécurité de leurs produits ou de leur système d’information.
L’esprit d’équipe est fondamental. Nous sommes rarement seuls lors d’un audit technique et travaillons la plupart du temps en binôme. Le pentest n’est pas un domaine au sein duquel chacun reste isolé. Nous échangeons constamment au sein de notre équipe.
Le pentest est un domaine en évolution permanente. Nous faisons constamment face à de nouvelles technologies et techniques. Il y a toujours quelque chose à apprendre, et ça me plaît. Concernant les aspects négatifs, les périmètres d’intervention très limités peuvent être frustrants. Parfois, nous savons que nous pourrions aller bien plus loin dans l’exploitation des vulnérabilités, mais nous devons nous arrêter.
La première réaction est la curiosité. On me demande aussi souvent si je peux hacker le compte Facebook d’un copain… Dans l’ensemble, ça reste assez positif et drôle. Je fais aussi parfois face au cliché du pentester au sweat à capuche, les gens ne s’attendent pas à une femme.
Avec l’expérience, nous sommes amenés à gérer les audits dans leur intégralité, de l’avant-vente jusqu’à la restitution de l’audit au client. Le poste inclut alors une partie axée sur la gestion de projet. Chez Orange Cyberdefense, il est également possible d’évoluer vers des postes d’expertise technique ou de management ainsi que vers d’autres métiers, de manière plus transverse, dans le domaine de la cybersécurité.
Quand on commence le pentest, on peut avoir tendance à trop s’appuyer sur les logiciels automatiques de recherche de failles. Cela donne l’impression que les outils font tout le travail, ce qui est loin d’être le cas. Il faut les utiliser à bon escient et savoir les compléter avec des tests manuels ciblés.
Le domaine est mature avec beaucoup de compétences. Cependant, nous faisons face à un manque de candidats : trop peu de personnes possèdent aujourd’hui l’expertise technique nécessaire et nous sommes constamment à la recherche de nouveaux profils.
Jamais et heureusement ! Contrairement à ce que l’on pourrait imaginer, nous n’avons pas du tout ces tentations-là. Nos clients nous confient des données extrêmement précieuses et sensibles, nous ne pouvons pas laisser planer le moindre doute sur notre intégrité. Et c’est bien normal.
Notes
*Le prénom a été changé.