Focus sur le métier de pentester

Pas vraiment. J’ai obtenu un baccalauréat STI [sciences et technologies de l’information, NDLR]. Je n’avais, à l’époque, aucune idée de ce que je voulais faire comme métier. J’ai décidé d’intégrer une école d’ingénieurs et me suis peu à peu spécialisé dans l’informatique. C’est à Télécom Paris, grâce à mon cercle d’amis, des camarades qui revenaient de stages ou encore d’anciens élèves, que j’ai découvert la cybersécurité et plus particulièrement le métier de pentester.

J’ai été fasciné par l’idée même du test d’intrusion. Reproduire le comportement d’un hacker, mais légalement, c’est un concept original. J’ai aussi aimé l’idée de venir en aide à une entreprise, de lui apporter une expertise technique tout en gardant l’approche originale qu’est l’ethical hacking.

De très bons souvenirs. J’ai eu la chance de travailler sur des projets assez proches de ce qui se fait en entreprise. En troisième année, nous avons par exemple travaillé sur l’amélioration des processus de recrutement d’une entreprise, en proposant des tests techniques. Nous avons construit les challenges techniques proposés aux candidats.

Les deux premiers mois étaient consacrés à la formation. Ensuite, j’ai travaillé sur les tests d’intrusion en milieu industriel. C’était d’ailleurs mon sujet de mémoire. J’ai aidé l’équipe à créer des méthodologies, identifier des points de contrôles précis. Enfin, j’ai accompagné des pentesters seniors dans leurs missions. Cette dernière phase m’a permis de mettre en pratique au sein d’un contexte professionnel les connaissances acquises durant ce stage de fin d’études.

J’avais déjà quelques connaissances sur les automates de par mon baccalauréat. Aussi, la cybersécurité industrielle demande une approche particulière : la plupart des équipements sont vieillissants et peu résistants aux attaques et donc aux tests d’intrusion. Nos audits techniques sont en effet capables de mettre les machines hors d’état de fonctionner, ce qui n’est pas une option. Dans tous les cas, la production doit poursuivre. Il faut donc innover, trouver d’autres manières de faire.

Le secteur de l’industrie est en ce moment très porteur : de plus en plus de groupes industriels souhaitent améliorer leur niveau de sécurité et font appel à des entreprises comme Orange Cyberdefense pour les accompagner dans cette démarche. Les enjeux liés à la sécurisation des actifs industriels sont cruciaux : une « réelle » attaque sur une centrale nucléaire ou sur un barrage hydraulique peut avoir des conséquences dévastatrices.

Les récits qu’on m’a fait du métier étaient très proches de ce que je vis aujourd’hui, notamment sur l’aspect technique. Ce que j’avais moins anticipé, ce sont les tâches annexes : les rendez-vous d’avant-vente, les propositions commerciales…  Nous nous occupons de tout de ce qui se passe avant et après le test d’intrusion. Il faut que nos expertises aillent de pair avec les besoins de chaque client, qu’on puisse se rendre disponibles au bon moment. Une partie de notre métier relève donc aussi de la gestion de projet. J’apprécie aujourd’hui cette approche transverse sur toutes les étapes d’un test d’intrusion, de la qualification de besoin jusqu’à la restitution finale.

Aucune semaine ne se ressemble. Mes missions sont très diversifiées. Cela peut-être un test d’intrusion sur une application mobile, un site web commerçant, le réseau interne d’un client mais aussi des prestations un peu plus originales comme des campagnes de phishing éducatives ou bien des tentatives d’intrusion dans les locaux d’un client.

J’ai également une casquette de formateur en test d’intrusion. J’accompagne les jeunes profils (stagiaires, alternants) dans leur montée en compétences sur des sujets techniques. J’anime aussi des sessions de formation dédiées pour nos clients afin de les initier, par la pratique, aux joies du test d’intrusion.

Il n’y a pas réellement de missions que j’apprécie plus qu’une autre. J’aime surtout le fait de pouvoir varier, de passer de l’une à l’autre. Mes semaines ne se ressemblent pas et je suis attaché à cette pluralité.

J’apprécie particulièrement le partage de connaissances : que ce soit chez un client après l’avoir aidé à améliorer son niveau de sécurité ou bien en coachant les plus jeunes de mon service, j’adore discuter et transmettre sur des sujets techniques.

La culture est assez jeune : nous avons en majorité entre 25 et 30 ans. L’entente est très bonne, ce qui est primordial, car nous travaillons énormément en collaboration. Le partage des connaissances a une grande place : c’est une des choses qui m’a le plus frappé à mon arrivée. A chaque fois qu’un pentester revient de mission, il transmet ce qu’il a appris, les nouvelles techniques qu’il a découvertes. Les missions se font très souvent en binôme, ce qui permet de monter en compétences sur des sujets nouveaux. Récemment, l’une d’entre elles m’a permis de m’initier à l’audit de code.

Il faut être persévérant, ne pas avoir peur de passer du temps à investiguer, chercher sans se décourager. Il y a peu, il m’a fallu trois jours pour exploiter une vulnérabilité. Je savais que je trouverais un moyen, je n’ai pas lâché. La motivation est primordiale car le pentest, c’est avant tout un métier de passionnés.

Aussi, il ne faut pas avoir peur de débuter avec un niveau technique modeste. Les stages permettent de monter rapidement en compétences, on baigne dans le pentest. Même sans s’en rendre compte, on apprend, juste au contact des autres.

Notes
*Le prénom a été modifié.

*Suite au rachat de Lexsi par Orange Cyberdefense en 2016.