[Super People] Zakaria, Analyste VOC : le chasseur
Cyberdefender, quel est ton signe particulier ?
En tant qu’analyste VOC – Vulnerability Operations Center –, je traque les vulnérabilités des clients. C’est un métier qui demande une appétence technique, de l’esprit d’analyse et une bonne capacité à communiquer, à vulgariser. J’ai débuté en tant que Stagiaire en développement, chez Orange France, avec un bac +2. J’ai poursuivi mon cursus en école d’ingénieurs, en alternance en tant que Pentester. Pendant 3 ans, j’ai développé mon expertise en sécurité offensive, gestion des vulnérabilités et remédiation. Au cours des Security Job Days organisés par Orange, j’ai rencontré les RH et on m’a proposé un poste de TVM Expert (Threat and Vulnerability Management) chez Orange Cyberdefense. Concrètement, j’ai travaillé avec des analystes VOC pour qualifier les menaces. Les analystes me faisaient remonter les vulnérabilités que je devais prioriser en fonction du risque. Ce métier nécessite une forte capacité d’analyse et une bonne organisation, car on traite beaucoup de données. J’ai occupé ce poste pendant deux ans, et depuis le mois de juin, je monte des services VOC pour des clients : le service est créé, structuré, mais aussi managé par Orange Cyberdefense. C’est la suite logique de mon poste : j’ai fait ce qu’on appelle du « run » pendant deux ans, maintenant je fais du « build ».
Au quotidien, je commence toujours par me connecter, à la première heure, aux dashboards de mes clients, pour relever la météo sécurité du jour. Si des vulnérabilités qui méritent une attention particulière ont été détectées, j’informe le client, par téléphone, mail ou via un ticket. Puis, j’accompagne le client dans la remédiation, pour corriger cette vulnérabilité. Parmi les autres missions de tous les jours : diminuer le backlog général, pour qu’à long terme, le SI client soit le plus sécurisé possible. J’effectue le suivi des obsolescences, le suivi du Shadow IT (assets non identifiés). Enfin, je développe des programmes pour tester et exploiter des vulnérabilités, qu’on appelle des exploits.
Finalement, l’analyste VOC est la synthèse de deux métiers : celui de Pentester et celui de Data Analyst. On traite beaucoup de données, il faut non seulement être à l’aise avec Python, Excel, avec les outils de visualisation de données mais aussi savoir développer des exploits, les tester, les rejouer, les expliquer.
Ta mission la plus mémorable, au service d’une société numérique plus sûre ?
En fin d’année dernière, j’ai géré une grosse crise, avec un client très vulnérable. Nous avions repéré, sur des forums, que certains White Hats et Black Hats – des hackers aux intentions bienveillantes ou malveillantes – parlaient d’une vulnérabilité intéressante. Un exploit a même été diffusé. Nous l’avons récupéré immédiatement, avant qu’il ne soit supprimé par le modérateur. Et en effet, l’exploit fonctionnait. Nous avons fait notre analyse dans l’après-midi et avons informé le client qui a pris les mesures nécessaires. Le lendemain, toute la toile s’affolait à propos de cette vulnérabilité jugée critique. Notre client a été très satisfait de notre sens de l’anticipation.
Les vulnérabilités peuvent être publiées par un éditeur, comme Microsoft, Apple, Adobe, mais ces derniers ne vont jamais diffuser les exploits, car ça mettrait en péril ceux qui n’auraient pas pris de mesures correctives. Certains chercheurs peuvent diffuser leurs exploits en public, mais selon les enjeux, la modération peut les supprimer. Si on est suffisamment malin, il est donc possible de trouver des exploits pour certaines vulnérabilités. Les clients du VOC d’Orange Cyberdefense sont des grands comptes, c’est-à-dire des sociétés du CAC 40, des hôpitaux, des administrations publiques, etc. Ils sont des cibles de choix, d’où l’urgence, si un exploit est rendu public. D’autres organismes institutionnels, comme l’ANSSI pour la France ou le NIST pour les Etats-Unis, publient régulièrement des communiqués sur les nouvelles vulnérabilités en leur attribuant une note critique. Dans notre cas, nous avons été les premiers à travailler dessus, avant même les organismes officiels. Et ça... c’est un exploit !
Mais finalement, ma plus grande fierté, c’est de regarder en arrière et de voir qu’après 6 mois de VOC chez un client, sa courbe de vulnérabilités a été divisée par cinq. C’est très satisfaisant, car ça veut dire qu’on a fait du bon boulot.
Tu fais partie de la plus grande communauté européenne de super-héros cyber. Qu’est-ce que ça fait ?
Ce qui me parait le plus intéressant, c’est la multiplicité des missions. Les clients sont nombreux, les projets sont riches et divers. Un junior ou un confirmé peut monter en compétences tout en restant dans la même maison. Si je veux évoluer sur d’autres missions, c’est possible en me rapprochant de mon manager, contrairement à d’autres entreprises. Changer de poste est également envisageable. Si on a été Analyste VOC pendant trois ans et qu’on a fait le tour du sujet, il y a des perspectives en interne. L’autre grand atout, c’est la relation avec les clients : nous sommes en contact régulier avec eux, ce qui rend le métier, à la base très technique, encore plus enrichissant. Enfin, je travaille en interne avec les équipes projets, les Security Managers et les équipes du CERT qui nous envoient des bulletins d’actualité plusieurs fois par jour sur les types d’alerte, les menaces, le contexte cyber. Sans oublier nos homologues VOC dans d’autres pays, en Angleterre, en Suède, en Afrique du Sud : nous échangeons pour mutualiser nos connaissances, afin de toujours être à la pointe pour traquer les vulnérabilités. Et cultiver notre esprit de chasseur, toujours à l’affût !
Vous aussi vous avez un Super Power et vous souhaitez évoluer aux côtés de Super People ? Rejoignez-nous !