Et vous, connaissez-vous vraiment le métier de pentester ?


La profession d’ethical hacker souffre encore de nombreux clichés. Pour dépeindre une image réaliste du quotidien d’un auditeur technique, nous avons interviewé Nadia*, pentesteuse depuis 3 ans chez Orange Cyberdefense.

Si tu devais expliquer ton métier à tes grands-parents, que dirais-tu ?

Aujourd’hui, tout est connecté à internet, de nos objets du quotidien (montres, smartphones, lampes…) à la plupart des services que nous utilisons (santé, impôts, sites de vente, banques, emails…). Tous ces éléments doivent être protégés. Mon travail consiste à me mettre dans la peau d’un pirate informatique pour identifier des vulnérabilités et permettre aux entreprises d’améliorer la sécurité de leurs produits et de leurs systèmes informatiques.

Pour rester éthique, quelles sont les limites à ne pas franchir ?

Notre cadre d’intervention est d’abord défini par la loi mais aussi par nos clients. Nous n’allons jamais au-delà.

A quoi ressemble ton quotidien ?

Un audit technique dure entre une et deux semaines. Nous commençons par des tests génériques pour évoluer vers des scénarios de plus en plus précis. Nous répertorions ainsi en un temps restreint un maximum de vulnérabilités pour donner au client une idée concrète du niveau de sécurité du périmètre audité. A la fin de cette phase très technique, nous passons à la rédaction du rapport d’audit qui est le livrable qui présente les résultats au client. Il contient également des informations sur la manière dont un attaquant pourrait tirer parti des failles identifiées, ainsi que des conseils sur les solutions à mettre en place pour se protéger.

Parviens-tu toujours à trouver des vulnérabilités pour les entreprises qui te mandatent de le faire ?

Il arrive que nous ne trouvions rien, mais cela reste rare car cela suppose une très grande maturité de l’entreprise sur les questions de cybersécurité.

Annoncer à un client que tu as réussi à trouver des failles sur le périmètre audité peut être délicat. Comment gères-tu cette partie du travail ?

Les clients sont en réalité satisfaits quand nous trouvons des vulnérabilités. Le rapport d’audit leur permet de les corriger et d’améliorer la sécurité de leurs produits ou de leur système d’information.

L’esprit d’équipe est-il important dans ton métier ?

L’esprit d’équipe est fondamental. Nous sommes rarement seuls lors d’un audit technique et travaillons la plupart du temps en binôme. Le pentest n’est pas un domaine au sein duquel chacun reste isolé. Nous échangeons constamment au sein de notre équipe.

Que préfères-tu dans ton métier ? Quelle est la partie la plus difficile ?

Le pentest est un domaine en évolution permanente. Nous faisons constamment face à de nouvelles technologies et techniques. Il y a toujours quelque chose à apprendre, et ça me plaît. Concernant les aspects négatifs, les périmètres d’intervention très limités peuvent être frustrants. Parfois, nous savons que nous pourrions aller bien plus loin dans l’exploitation des vulnérabilités, mais nous devons nous arrêter.

Comment les gens réagissent-ils quand ils apprennent que tu es hacker ?

La première réaction est la curiosité. On me demande aussi souvent si je peux hacker le compte Facebook d’un copain… Dans l’ensemble, ça reste assez positif et drôle. Je fais aussi parfois face au cliché du pentester au sweat à capuche, les gens ne s’attendent pas à une femme.

Quelles peuvent être les évolutions de carrière d’un auditeur technique ?

Avec l’expérience, nous sommes amenés à gérer les audits dans leur intégralité, de l’avant-vente jusqu’à la restitution de l’audit au client. Le poste inclut alors une partie axée sur la gestion de projet. Chez Orange Cyberdefense, il est également possible d’évoluer vers des postes d’expertise technique ou de management ainsi que vers d’autres métiers, de manière plus transverse, dans le domaine de la cybersécurité.

Quelles erreurs « bêtes » peut-on faire en début de carrière ?

Quand on commence le pentest, on peut avoir tendance à trop s’appuyer sur les logiciels automatiques de recherche de failles. Cela donne l’impression que les outils font tout le travail, ce qui est loin d’être le cas. Il faut les utiliser à bon escient et savoir les compléter avec des tests manuels ciblés.

Quelle est la maturité du domaine en France ?

Le domaine est mature avec beaucoup de compétences. Cependant, nous faisons face à un manque de candidats : trop peu de personnes possèdent aujourd’hui l’expertise technique nécessaire et nous sommes constamment à la recherche de nouveaux profils.

As-tu déjà été sollicitée pour basculer du « côté obscur de la force » ?

Jamais et heureusement ! Contrairement à ce que l’on pourrait imaginer, nous n’avons pas du tout ces tentations-là. Nos clients nous confient des données extrêmement précieuses et sensibles, nous ne pouvons pas laisser planer le moindre doute sur notre intégrité. Et c’est bien normal.

Notes

*Le prénom a été changé.