Rechercher

Une histoire de talents - Fabien Spagnolo, directeur des activités Hacking éthique France

Tout au long du mois de la cybersécurité, nous vous présentons nos experts, ils vous parleront de ce qui les passionnent, de leurs expertises et comment ils contribuent à rendre la société numérique plus sûre. Voici le portrait de Fabien avec un zoom sur le métier de hacking éthique.

[ Dans la vidéo ] Passionné par le piratage éthique, Antoine Quevea, pentester reproduit le comportement d’un hackeur pour toujours avoir une longueur d’avance.  

Directeur des activités Hacking éthique France, Fabien Spagnolo, son manager nous raconte une journée type chez Orange Cyberdefense. 

Quel est votre métier ?

Nous faisons du piratage éthiquement. Le but du jeu, c’est de reproduire ce que font les véritables cybercriminels sur internet. Nous reproduisons des cyberattaques en condition réelle, en utilisant les mêmes techniques et les mêmes outils que les vrais hackers, à la demande de nos clients : des ministères, des banques, des groupes du CAC 40, mais aussi des PME. 

Vous utilisez le terme « hacker » qui est sujet à confusion…

Vous avez raison, il faut faire attention au vocabulaire.  

Le terme « hacker » renvoie historiquement aux « bidouilleurs » informatiques, des passionnés un peu libertaires, des génies bricoleurs. C’est au fil du temps qu’il a pris une connotation négative. Il est aujourd’hui souvent associé à des intentions malveillantes et donc à la cybercriminalité.  

Nous, les hackers éthiques, on nous appelle aussi pentesters. On parle aussi de « white hats », en opposition aux « black hats » que sont les cybercriminels.  

L’approche historique de la sécurité offensive, notamment via des pentests, ou tests d’intrusion, vise à détecter un maximum de vulnérabilités sur un périmètre bien défini, dans un temps restreint. Mais face aux attaques telles qu’elles existent aujourd’hui et aux systèmes de défense de plus en plus solides mis en place par les entreprises, il faut véritablement se mettre en situation. Cibler largement et réellement. Tous les coups sont permis. 

Déployer une « RedTeam » face à une « BlueTeam », c’est un vocabulaire qui vient du monde militaire et où il en question d’opposer une équipe offensive face à une équipe chargée de détecter et de bloquer les assauts.  

Votre mission, c’est donc d’agir avant d’être attaqué : « Act before getting hacked ». Peut-on parler de simulation ?

Non, ce n’est pas tout à fait exact de dire cela. On ne fait pas semblant. Nous procédons à une vraie cyberattaque, nous exfiltrons des données, nous pouvons aller jusqu’à volontairement perturber certains services si ce scenario est retenu par notre commanditaire. Le but est d’être au plus proche de la réalité pour identifier les faiblesses et les corriger. Il s’agit d’une simulation seulement dans le sens où nous ne servons pas des données et nous ne demandons pas de rançon, mais nous exploitons réellement les systèmes, les failles… 

Nous pouvons reproduire différents types d’attaques : simples exfiltrations, demandes de rançon, attaques étatiques avec des données très sensibles. Nous mettons en œuvre tous les vecteurs d’attaque possibles : passer par internet pour pirater le site Web et rebondir sur le réseau interne ; cibler les personnes via les e-mails et le phishing, là, la brèche est ouverte dès que l’on a cliqué sur le lien ; cela peut passer par un simple coup de téléphone. Nous faisons même des intrusions physiques, en rentrant dans le bâtiment et en réussissant à nous connecter sur le réseau interne. Là, il faut pousser des portes, cloner des badges, parfois même se faire passer pour un électricien… le principe est d’identifier toutes les défaillances.  

Ces attaques sont déclenchées à la demande du client, mais sait-il quand et comment vous attaquez ?

Cela dépend du type de prestation et du scénario. Cela peut être basique, simple, et prendre quelques jours d’expertise : nous allons simplement tenter de trouver un maximum de vulnérabilités dans un périmètre réduit, un site web par exemple.  

Mais la mission peut être beaucoup plus large. Récemment, une grande société dans le secteur industriel, qui a des usines partout dans le monde, nous a donné quelques semaines pour savoir si un hacker déterminé était capable d’exfiltrer les données des mails du Comité exécutif et prendre le contrôle des systèmes financiers. Dans ce cas, seul le CEO et quelques membres du Comité Exécutif étaient au courant. Il s’agissait aussi de tester la réaction des équipes qui elles, ne savaient rien. 

L’objectif, c’est donc d’identifier le maximum de points de vulnérabilité d’une structure…

Oui, qu’ils soient techniques, ou liés à l’organisation de l’entreprise où c’est l’humain qui est en cause, sa capacité à appliquer une procédure ou déclencher une alerte. L’utilisation des outils est aussi importante que les outils eux-mêmes.  

Nous arrivons en amont, mais parfois aussi en aval, une fois qu’un incident a déclenché une prise de conscience, pour une remédiation, rétablir les bonnes pratiques.  

Quel est le résultat ? Y’a-t-il une vraie prise de conscience et des ajustements, voire une refonte totale du système dans les entreprises qui sont ainsi testées ?

Nous avons deux cas d’usage en pratique. Comme je vous l’ai dit, nous allons du basique à des missions complexes et plus longues. Dans le premier cas, nous sommes souvent sollicités par des groupes, les banques par exemple, qui font ces tests à la chaîne. Pour eux, ce sont des procédures classiques et habituelles. 

Dans le deuxième cas, notamment lorsque nous animons des réunions de clôture où nous dévoilons tous les points de faiblesse identifiés à notre commanditaire. Parfois, il y a un vrai choc. Nous ne sommes plus dans la théorie, l’hypothèse du risque, dans le « si jamais ». Quand nous démontrons que nous avons pu récupérer le contenu des mails du CEO, la réaction n’est pas la même… Cela déclenche évidemment un plan d’action plus ou moins vaste en fonction des résultats et des risques identifiés. Cela suppose parfois de débloquer un budget pour traiter les urgences.  

Quelles sont les règles de confidentialité lors de vos missions ?

On ne communique jamais les noms des clients, même en interne, chez Orange Cyberdefense. Ils ne sont connus que de quelques personnes. Les rapports d’audit sont confidentiels et chiffrés, détruits après les missions lorsque notre commanditaire en fait la demande.  

Nous avons une charte du hacker éthique signée par chacun de nos hackers éthiques et qui  précise quelles sont les mesures de protection que nous devons suivre pour assurer la confidentialité des données de nos clients.

Nous devons rester très prudents pour garantir qu’un hacker éthique est vraiment éthique. Le recrutement par exemple, se fait donc très souvent sur la base du réseau, de la cooptation. En outre une partie de notre effectif est habilité Défense pour les prestations les plus sensibles. 

Considérez-vous que toutes les entreprises devraient se soumettre à ces tests, comme on va chez le médecin pour prévenir les maladies ?

C’est exactement cela. Tout le monde devrait le faire, à son échelle, y compris les PME. Il est important de savoir où l’on se situe, faire un diagnostic et décider du budget que l’on y alloue. On revient parfois au basique : faîtes vos sauvegardes ! 

Ces tests devraient être systématiques, et d’ailleurs le Gouvernement les encourage à travers le Plan France Relance. Cet accompagnement est utile pour les PME avec qui nous travaillons de plus en plus.  

Quelles qualités particulières requiert votre métier ?

Curiosité, persévérance, goût du challenge, capacité à réfléchir en dehors des cadres établis.

Et quelles sont les principales difficultés, les plus gros défis à surmonter ?

La cybersécurité est un domaine bouillonnant où les choses vont vite, tous les jours. Il faut être capable d’assimiler de nouvelles informations régulièrement, de rester à jour ce qui demande du temps et de l’organisation.  

La finalité de notre métier consiste à protéger nos clients vis-à-vis des cybermenaces, on doit s’adapter à leurs enjeux, à leur historique en la matière, à leur niveau de maturité. Cela a une incidence sur notre posture de conseil pour les aider à combler les faiblesses et dans la communication qu’on doit employer. On doit être didactiques, compréhensibles, pragmatiques et persuasifs.