Lutte contre les cybermenaces : le métier d’ethical hacker

Réponses avec Fabien Spagnolo, Head of Ethical Hacking and Technical Assessment chez Orange Cyberdefense.

Dans le film WarGames, David Lightman, un petit génie de l’informatique autodidacte, pirate occasionnellement des jeux vidéos. Alors qu’il pense être aux manettes d’un nouveau jeu virtuel, il vient en fait de s’introduire dans un ordinateur de l’armée américaine. Ainsi commence l’intrigue du film et notre rencontre avec Fabien Spagnolo, Head of Ethical Hacking and Technical Assessment chez Orange Cyberdefense.
Premier spectateur émerveillé de ce thriller sorti en 1983, Fabien est aussi un grand passionné de lutte contre les cybermenaces. Avec lui, nous avons discuté d’Ethical Hacking, de ce métier atypique et des qualités requises pour devenir un « White Hat ».

Fabien Spagnolo – Notre métier consiste à contrôler le niveau de protection de nos clients face à des cybermenaces. Nous testons leur infrastructure pour voir si elle présente des vulnérabilités qui permettraient à un hackeur malveillant et motivé de pénétrer dans son système de défense. Pour ça, avec leur accord, nous les attaquons comme le ferait un hacker.
Notre méthode ? Comprendre ceux qui orchestrent cette malveillance et adopter leurs modes de fonctionnement. Nous répliquons les techniques et les moyens qu’ils pourraient mettraient en place pour atteindre l’écosystème de sécurité de notre client. Il existe de multiples façons d’attaquer une cible. Sites internet, réseau, applicatifs, mails mais également téléphones et badges d’accès à certains locaux…chez Orange Cyberdefense, nous maîtrisons tous les points d’intrusion vers les systèmes informatiques.

La télévision véhicule beaucoup d’images sur les hackers. Bonnes ou mauvaises. Plus ou moins proches de la réalité. Il y a des similitudes entre la vie réelle et les scénarios des séries. Nous avons des profils brillants, comme les personnages de ces fictions, c’est indéniable.

Cependant, l’incarnation est parfois caricaturale.Nous ne vivons pas dans le noir, nous ne portons pas de capuches, nous sommes des êtres sociables et nous communiquons. D’ailleurs, sur ces deux derniers points, je suis assez exigeant. Autant avec les candidats qu’avec mes collaborateurs.

Parce qu’une partie de notre mission consiste à rassurer notre client et à lui restituer nos conclusions de manière intelligible. Il essentiel de faire preuve de pédagogie, de lui expliquer comment nous avons procédé, et comment corriger les vulnérabilités.

Ainsi, lorsque je reçois le C.V d’un hackeur éthique junior, en plus des compétences techniques, je regarde si le candidat a des compétences en communication, en relation client, etc.

La contribution à une junior entreprise, à un bureau des étudiants ou à des activités associatives est souvent appréciée car elle témoigne d’une capacité à être dans cette relation client.

Tout le monde n’a pas de révélation professionnelle si tôt et il n’est pas nécessaire de commencer dès le berceau. Mon histoire est surtout animée par la curiosité. Si cette curiosité se développe tôt, c’est un plus. Un bon hackeur éthique est quelqu’un de très curieux et d’ingénieux. Il creuse, il cherche à contourner les sécurités, il ne s’arrête pas dès la première barrière. S’il ne ressent pas l’envie d’approfondir, d’aller voir plus loin, d’accéder aux coulisses, et de persévérer, il faut se poser la question de l’adéquation au profil. Quant à s’exercer, cela montre la motivation du candidat et renforce notre adhésion lors du recrutement.

Bien entendu, cela doit être fait dans la légalité. Il existe pour ça des plateformes des challenges et des plateformes de hack légal. Les candidats peuvent se tester là-dessus, être notés et faire partie d’un classement. S’ils nous en parlent à l’entretien, on regarde ce classement. Je dirais qu’il faut être autodidacte, avoir cette curiosité, l’envie de participer à des projets de sécurité, de chercher et trouver par soi-même. Mais cela ne remplace pas un solide background technique appris sur les bancs de l’école. Cela l’enrichit.

Quand un jeune candidat vient nous voir, il doit déjà bien connaître le réseau, les systèmes (serveurs et postes de travail) et c’est mieux s’il sait déjà se servir de quelques outils du domaine (Nessus, Burp, Metasploit).
Nous ne fermons pas la porte aux profils atypiques du moment qu’ils possèdent déjà ces compétences-là.

Mais aujourd’hui parmi les candidats qui se présentent à nous, la majorité a suivi un parcours d’ingénieur en informatique complété pour certains, d’un master spécialisé en cybersécurité.

L’écosystème des professionnels, la communauté des hackeurs éthiques, est très pointue.

Le meilleur moyen de rester à l’écoute de la menace, et de fait à l’écoute des besoins de nos clients, c’est de participer à des conférences, comme Hack in Paris, ou la Black Hat pour n’en citer que deux.

Orange Cyberdefense y participe à la fois en tant qu’auditeur mais aussi en tant que contributeur. Ces conférences sont aussi des formidables occasions pour rencontrer les profils que nous cherchons à embaucher : des auditeurs, des pentesters, des chefs de projets.

En interne, nous organisons régulièrement le vendredi un « Tech Lunch ». Ce sont des moments d’équipe importants pendant lesquels nous échangeons des informations issues de notre propre veille pendant lesquels nous évoquons les événements auxquels nous avons assisté, comme la Toulouse Hacking Convention ou la Nuit du Hack. Nous partageons des problématiques et retours clients, et nous nous racontons ce que nous avons lu, entendu pendant la semaine ou au cours du mois.

La finalité de nos missions évolue déjà : celles-ci ne consistent plus seulement en un relevé exhaustif des vulnérabilités techniques. Elles vont au-delà et ont pour objet d’évaluer plus largement l’efficacité des dispositifs de détection et de réaction (SOC). Il nous faudra établir une proximité encore plus fine avec le contexte métier de nos clients. Enfin, l’évolution du métier suivra logiquement l’évolution des techniques de hacking. Ce qui inclut a priori une diversification et une sophistication accrues des vecteurs d’attaque.