Arbeta som pentester i Frankrike

Arbetet som etisk hackare lider fortfarande av många förutfattade meningar. För att måla upp en realistisk bild av en teknisk audits vardag har vi intervjuat Nadia*, som arbetat som pentester i tre år på Orange Cyberdefense.

I dag är allting anslutet till internet, allt från våra vardagsföremål (klockor, mobiler, lampor...) till de flesta av de tjänster vi använder (hälsovård, försäljningssidor, banker, e-post...). Alla dessa förbindelser måste skyddas. Mitt jobb är att sätta mig in i en hackares roll för att identifiera sårbarheter och hjälpa företag att förbättra säkerheten för sina produkter och IT-system.

Vårt ramverk definieras av lagen men också av våra kunder. Vi går aldrig längre än så.

En teknisk audit tar mellan en och två veckor. Vi börjar med generiska tester och utvecklas sedan mot allt mer precisa scenarier. Inom en begränsad tidsram identifierar vi så många sårbarheter som möjligt för att ge kunden en konkret uppfattning om säkerhetsnivån i den granskade omgivningen. I slutet av denna tekniska fas går vi över till att skriva audit-rapporten, som är den leverans som presenterar våra resultat för kunden. Den innehåller också information om hur en angripare skulle kunna dra nytta av de identifierade sårbarheterna, samt råd om hur man kan skydda sitt företag.

Det händer att vi inte hittar något, men det är sällsynt eftersom det kräver en mycket hög nivå av mognad när det gäller cybersäkerhetsfrågor.

Kunderna är faktiskt nöjda när vi hittar sårbarheter. Revisionsrapporten gör det möjligt för dem att förbättra säkerheten i sina produkter och informationssystem.

Laganda är grundläggande. Vi är sällan ensamma under en teknisk audit och arbetar oftast i par. Pentest är inte ett område där alla är isolerade. Vi utbyter ständigt information inom vårt team.

Pentest är ett område som ständigt utvecklas med ny teknik och nya tekniker. Det finns alltid något att lära sig, och det gillar jag. På de negativa aspekterna kan begränsningen av interventionsområden vara frustrerande. Ibland vet vi att vi kunde ha gått mycket längre när det gäller att utnyttja sårbarheter, men vi var tvungna att sluta.

Den första reaktionen är nyfikenhet. Personer frågar mig också ofta om jag kan hacka mig in på en väns Facebook-konto... På det hela taget är det fortfarande ganska positivt och roligt. Jag möter också ibland klichén om pentestern i huvtröja; folk förväntar sig inte en kvinna.

Med vår erfarenhet kan vi hantera auditen i sin helhet, från förförsäljning till återlämnande av auditen till kunden. Tjänsten omfattar sedan en del som är inriktad på projektledning. På Orange Cyberdefense är det också möjligt att gå vidare till tekniska eller ledningskompetenspositioner samt till andra yrken, på ett mer tvärfunktionellt sätt, inom cybersäkerhetsområdet.

När du är i början av din karriär kan du ha en tendens att förlita dig för mycket på automatiska program för att hitta sårbarheter. Detta ger intryck av att verktygen gör allt arbete, vilket är långt ifrån fallet. De måste användas klokt och kompletteras med riktade manuella tester.

Aldrig, tack och lov! I motsats till vad man skulle kunna tro har vi inte alls dessa frestelser. Våra kunder anförtror oss extremt värdefulla och känsliga uppgifter, vi kan inte tillåta några tvivel om vår integritet.

Tilläggg

*Förnamnet har ändrats.