1. Insights
  2. Blog
  3. Ethical Hacking
  4. Focus sur le métier de pentester avec Ahmad

Focus sur le métier de pentester avec Ahmad

Ahmad Abbes est pentester chez Orange Cyberdefense. Passionné par son métier, il s’est peu à peu spécialisé dans les tests d’intrusion en secteur industriel, où tout est encore à construire. Rencontre.

As-tu toujours voulu devenir pentester ?

Pas vraiment. J’ai obtenu un baccalauréat STI [sciences et technologies de l’information, NDLR]. Je n’avais, à l’époque, aucune idée de ce que je voulais faire comme métier. J’ai décidé d’intégrer une école d’ingénieurs et me suis peu à peu spécialisé dans l’informatique. C’est à Télécom Paris, grâce à mon cercle d’amis, des camarades qui revenaient de stages ou encore d’anciens élèves, que j’ai découvert la cybersécurité et plus particulièrement le métier de pentester.

Dans leurs récits, qu’est-ce qui t’a interpellé ?

J’ai été fasciné par l’idée même du test d’intrusion. Reproduire le comportement d’un hacker, mais légalement, c’est un concept original. J’ai aussi aimé l’idée de venir en aide à une entreprise, de lui apporter une expertise technique tout en gardant l’approche originale qu’est l’ethical hacking.

Quel souvenir gardes-tu de tes études ?

De très bons souvenirs. J’ai eu la chance de travailler sur des projets assez proches de ce qui se fait en entreprise. En troisième année, nous avons par exemple travaillé sur l’amélioration des processus de recrutement d’une entreprise, en proposant des tests techniques. Nous avons construit les challenges techniques proposés aux candidats.

Tu intègres Orange Cyberdefense* en 2016 en stage de fin d’étude. Quelles étaient tes missions à l’époque ?

Les deux premiers mois étaient consacrés à la formation. Ensuite, j’ai travaillé sur les tests d’intrusion en milieu industriel. C’était d’ailleurs mon sujet de mémoire. J’ai aidé l’équipe à créer des méthodologies, identifier des points de contrôles précis. Enfin, j’ai accompagné des pentesters seniors dans leurs missions. Cette dernière phase m’a permis de mettre en pratique au sein d’un contexte professionnel les connaissances acquises durant ce stage de fin d’études.

Pourquoi t’être spécialisé dans la cybersécurité industrielle ?

J’avais déjà quelques connaissances sur les automates de par mon baccalauréat. Aussi, la cybersécurité industrielle demande une approche particulière : la plupart des équipements sont vieillissants et peu résistants aux attaques et donc aux tests d’intrusion. Nos audits techniques sont en effet capables de mettre les machines hors d’état de fonctionner, ce qui n’est pas une option. Dans tous les cas, la production doit poursuivre. Il faut donc innover, trouver d’autres manières de faire.

Le secteur de l’industrie est en ce moment très porteur : de plus en plus de groupes industriels souhaitent améliorer leur niveau de sécurité et font appel à des entreprises comme Orange Cyberdefense pour les accompagner dans cette démarche. Les enjeux liés à la sécurisation des actifs industriels sont cruciaux : une « réelle » attaque sur une centrale nucléaire ou sur un barrage hydraulique peut avoir des conséquences dévastatrices.

L’image que tu te faisais du métier de pentester à l’époque correspondait-elle à ce que tu vis aujourd’hui ?

Les récits qu’on m’a fait du métier étaient très proches de ce que je vis aujourd’hui, notamment sur l’aspect technique. Ce que j’avais moins anticipé, ce sont les tâches annexes : les rendez-vous d’avant-vente, les propositions commerciales…  Nous nous occupons de tout de ce qui se passe avant et après le test d’intrusion. Il faut que nos expertises aillent de pair avec les besoins de chaque client, qu’on puisse se rendre disponibles au bon moment. Une partie de notre métier relève donc aussi de la gestion de projet. J’apprécie aujourd’hui cette approche transverse sur toutes les étapes d’un test d’intrusion, de la qualification de besoin jusqu’à la restitution finale.

Aujourd’hui, à quoi ressemble ton quotidien ?

Aucune semaine ne se ressemble. Mes missions sont très diversifiées. Cela peut-être un test d’intrusion sur une application mobile, un site web commerçant, le réseau interne d’un client mais aussi des prestations un peu plus originales comme des campagnes de phishing éducatives ou bien des tentatives d’intrusion dans les locaux d’un client.

J’ai également une casquette de formateur en test d’intrusion. J’accompagne les jeunes profils (stagiaires, alternants) dans leur montée en compétences sur des sujets techniques. J’anime aussi des sessions de formation dédiées pour nos clients afin de les initier, par la pratique, aux joies du test d’intrusion.

Qu’est-ce que tu aimes le plus dans ton métier ?

Il n’y a pas réellement de missions que j’apprécie plus qu’une autre. J’aime surtout le fait de pouvoir varier, de passer de l’une à l’autre. Mes semaines ne se ressemblent pas et je suis attaché à cette pluralité.

J’apprécie particulièrement le partage de connaissances : que ce soit chez un client après l’avoir aidé à améliorer son niveau de sécurité ou bien en coachant les plus jeunes de mon service, j’adore discuter et transmettre sur des sujets techniques.

Si tu devais décrire la culture au sein de ton service, que dirais-tu ?

La culture est assez jeune : nous avons en majorité entre 25 et 30 ans. L’entente est très bonne, ce qui est primordial, car nous travaillons énormément en collaboration. Le partage des connaissances a une grande place : c’est une des choses qui m’a le plus frappé à mon arrivée. A chaque fois qu’un pentester revient de mission, il transmet ce qu’il a appris, les nouvelles techniques qu’il a découvertes. Les missions se font très souvent en binôme, ce qui permet de monter en compétences sur des sujets nouveaux. Récemment, l’une d’entre elles m’a permis de m’initier à l’audit de code.

Quels conseils donnerais-tu à quelqu’un qui souhaite devenir pentester ?

Il faut être persévérant, ne pas avoir peur de passer du temps à investiguer, chercher sans se décourager. Il y a peu, il m’a fallu trois jours pour exploiter une vulnérabilité. Je savais que je trouverais un moyen, je n’ai pas lâché. La motivation est primordiale car le pentest, c’est avant tout un métier de passionnés.

Aussi, il ne faut pas avoir peur de débuter avec un niveau technique modeste. Les stages permettent de monter rapidement en compétences, on baigne dans le pentest. Même sans s’en rendre compte, on apprend, juste au contact des autres.

Notes

*suite au rachat de Lexsi par Orange Cyberdefense en 2016

Partager l'article