Sommaire
ToggleÉpisode 1 – Être Pentester chez Metsys
Avec la croissance des attaques, une profession a émergé dans la cybersécurité ces dix dernières années, celle de pentester. Ce métier est devenu l’un des plus recherchés par les entreprises, en particulier dans le secteur des services numériques.
Pentester, quand le hacking est au service des entreprises
Le mot de pentester vient de la contraction de deux termes anglais : « Penetration Testing ». Il désigne un expert cybersécurité dont la mission consiste à prendre le costume d’un attaquant et d’éprouver les défenses d’un système d’information sur un périmètre défini (base de données, applications, site web, serveur…).
Le pentester détecte les éventuelles failles de sécurité (humaines ou logistiques) qui sont ensuite remontées aux équipes informatiques dédiées à la sécurité informatique du client, celles-ci sont alors en mesure de mieux appréhender les menaces. Même s’il est amené lors de sa mission, à faire appel à des méthodes jugées illégales, le pentester intervient dans un cadre précis et toujours dans le respect de la loi et des règles fixées avec l’entreprise. Il a bien entendu un devoir de confidentialité.
Mais en pratique comment cela se passe-t-il quand on travaille dans une ESN comme Metsys ? Rodrigue*, pentester chez Metsys, nous en dit plus sur le sujet…
Depuis combien de temps travailles-tu chez Metsys en tant que pentester?
Je suis arrivé il y a deux ans, dans le cadre d’une alternance durant mes études d’informatique à l’Université Paul Sabatier de Toulouse, au cours desquelles j’ai fait une spécialisation en cybersécurité.
À ton arrivée chez Metsys, as-tu commencé comme pentester ou as-tu été d’abord démarré en tant consultant en cybersécurité ?
J’ai débuté au poste de consultant en cybersécurité, mais une des ambitions de Metsys étant d’ajouter un service de test d’intrusion à son offre cybersécurité, il m’a été proposé de mettre en place cette activité. Aujourd’hui, je gère à la fois des missions de pentesting et de consulting sur les technologies Microsoft Azure. J’aime pouvoir cumuler ces deux activités, elles me permettent de diversifier mes apprentissages et de relever, lors de chaque mission, de nouveaux challenges.
Quelles sont les qualités à avoir pour rejoindre l’équipe ?
Avec Internet, il est très facile de monter en compétences dans le milieu de la cybersécurité. Je pense donc qu’une curiosité sincère, couplée à une bonne motivation, permettent de répondre aux prérequis techniques nécessaires aux métiers techniques de la cybersécurité. Le métier de pentester s’apprend surtout sur le tas et demande de pratiquer en permanence des tests d’intrusion. Différentes plateformes, disponibles sur Internet, offrent l’occasion de s’entrainer via des challenges sécurité (PortSwigger, TryHackMe, Root Me). D’autres qualités sont également requises, telles que la rigueur, une bonne expression écrite et orale. Il est en effet primordial que le service rendu à nos clients soit irréprochable, et que ce dernier, s’il n’est pas technique, puisse être en mesure de comprendre nos rapports.
Sur quels types de missions travailles-tu ?
Ayant été intégré au programme MVP de Microsoft (dans la catégorie Azure), je travaille en grande partie sur les technologies Microsoft (audit, intégration de solutions, conseil et conception) toujours en rapport avec la cybersécurité de nos clients. Par exemple, ces derniers peuvent nous consulter dans le cadre d’un audit afin de valider la conformité de leurs outils vis-à-vis de la politique de sécurité. Je suis alors en charge de l’audit, de la rédaction des recommandations et dans certains cas, de leur mise en application. Côté pentesting, notre domaine d’expertise est celui d’un attaquant : nous devons être capables d’outrepasser les protections de n’importe quel système, qu’il s’agisse de technologies Microsoft ou non. Les missions peuvent donc être très variées, mais restent toujours un vrai challenge à relever !
Comment se déroule une mission ? À quoi ressemble une journée type ?
Une mission débute toujours par un échange avec le client afin de comprendre dans quelle direction ce dernier souhaite aller. Nous analysons ensuite le besoin exprimer pour le traduire de manière technique, qu’il s’agisse de la définition d’une architecture, de l’exploitation d’une vulnérabilité, de l’intégration d’une solution de sécurité, etc. Une fois la partie technique réalisée et validée, une réunion d’information est organisée pour délivrer les résultats de notre pentest. Lors de cet échange, nous nous assurons que les vulnérabilités remontées sont cohérentes par rapport aux attentes du client, et que le service rendu est bien celui qu’il attendait.
Avec la cybersécurité, les jours passent, mais se ressemblent rarement, c’est ce qui rend la cybersécurité passionnante. On ne sait jamais à quoi s’attendre : un jour tout va bien, et on en profite pour faire du durcissement Office 365 chez un client, et le lendemain une vulnérabilité critique est publiée et fait passer le monde de la cybersécurité en mode « crise ». Au-delà de cet aspect, une journée est très dépendante des missions en cours, et ces dernières étant variées, il est difficile de définir une journée type. Cette variété est pour moi un des avantages de travailler dans une ESN.
Comment se constitue l’équipe cybersécurité chez Metsys ?
Nous comptons des pentesters, des experts sécurité sur les technologies Microsoft et Azure, des analystes SOC (certifiés sur différentes solutions de nos partenaires, e.g. Varonis). Cette équipe est située à Tours. Quant aux autres équipes, elles sont réparties sur nos agences en région (Lyon, Aix-en-Provence, Lille, Strasbourg, Toulouse, Bordeaux, Rennes, Nantes & Brest). Malgré cette répartition géographique, nous avons une inertie très agréable et nous communiquons quotidiennement sur tous les sujets rattachés à la cybersécurité de manière générale
Travailles-tu seul ou en équipe ?
La plupart du temps, nous travaillons en équipe, car cela permet d’échanger, de remettre en question certaines décisions et d’apporter un regard critique et constructif sur notre travail. Cela s’inscrit dans une démarche d’amélioration continue.
Pourquoi avoir choisi Metsys plutôt qu’une autre ESN ou cabinet de conseil ?
Je vois trois raisons qui ont influencé mon choix. La première, c’est que Metsys est une ESN humaine, et cela s’illustre au travers de la communication interne mise en place. Par exemple, des réunions mensuelles, regroupant l’ensemble des collaborateurs, nous informent, sur l’activité de Metsys, les chantiers en cours, et ce, en toute transparence.
Les collaborateurs sont également sollicités pour prendre part à des projets en interne pour faire valoir leur savoir-faire, partager leurs expériences avec les autres collaborateurs, et in fine, l’objectif est de tirer chacune et chacun vers le haut.
La seconde raison réside dans la disponibilité des managers ; ils sont à notre écoute quel que soit le sujet, ce qui n’est pas forcément monnaie courante dans d’autres ESN. Et enfin la troisième, c’est qu’au travers des personnes passionnées de technologies qui la composent, Metsys a des ambitions et ne demande qu’à faire valoir notre expérience pour les réaliser : ce qui colle parfaitement à mon projet professionnel.
*Nom d’emprunt