Lutte contre les cybermenaces : le métier d’ethical hacker


Quelles sont les qualités requises pour devenir Ethical Hacker ?
Réponses avec Fabien Spagnolo, Head of Ethical Hacking and Technical Assessment chez Orange Cyberdefense.

Dans le film WarGames, David Lightman, un petit génie de l’informatique autodidacte, pirate occasionnellement des jeux vidéos. Alors qu’il pense être aux manettes d’un nouveau jeu virtuel, il vient en fait de s’introduire dans un ordinateur de l’armée américaine. Ainsi commence l’intrigue du film et notre rencontre avec Fabien Spagnolo, Head of Ethical Hacking and Technical Assessment chez Orange Cyberdefense.
Premier spectateur émerveillé de ce thriller sorti en 1983, Fabien est aussi un grand passionné de lutte contre les cybermenaces. Avec lui, nous avons discuté d’Ethical Hacking, de ce métier atypique et des qualités requises pour devenir un « White Hat ».

Partager l’article :

Explique-nous le Ethical Hacking.

Fabien Spagnolo – Notre métier consiste à contrôler le niveau de protection de nos clients face à des cybermenaces. Nous testons leur infrastructure pour voir si elle présente des vulnérabilités qui permettraient à un hackeur malveillant et motivé de pénétrer dans son système de défense. Pour ça, avec leur accord, nous les attaquons comme le ferait un hacker.
Notre méthode ? Comprendre ceux qui orchestrent cette malveillance et adopter leurs modes de fonctionnement. Nous répliquons les techniques et les moyens qu’ils pourraient mettraient en place pour atteindre l’écosystème de sécurité de notre client. Il existe de multiples façons d’attaquer une cible. Sites internet, réseau, applicatifs, mails mais également téléphones et badges d’accès à certains locaux…chez Orange Cyberdefense, nous maîtrisons tous les points d’intrusion vers les systèmes informatiques.

Les 60 hackeurs éthiques qui forment ton équipe sont-ils tous des Mrs or Mr Robot ?

La télévision véhicule beaucoup d’images sur les hackers. Bonnes ou mauvaises. Plus ou moins proches de la réalité. Il y a des similitudes entre la vie réelle et les scénarios des séries. Nous avons des profils brillants, comme les personnages de ces fictions, c’est indéniable.

Cependant, l’incarnation est parfois caricaturale.Nous ne vivons pas dans le noir, nous ne portons pas de capuches, nous sommes des êtres sociables et nous communiquons. D’ailleurs, sur ces deux derniers points, je suis assez exigeant. Autant avec les candidats qu’avec mes collaborateurs.

Pourquoi cette exigence ?

Parce qu’une partie de notre mission consiste à rassurer notre client et à lui restituer nos conclusions de manière intelligible. Il essentiel de faire preuve de pédagogie, de lui expliquer comment nous avons procédé, et comment corriger les vulnérabilités.

Ainsi, lorsque je reçois le C.V d’un hackeur éthique junior, en plus des compétences techniques, je regarde si le candidat a des compétences en communication, en relation client, etc.

La contribution à une junior entreprise, à un bureau des étudiants ou à des activités associatives est souvent appréciée car elle témoigne d’une capacité à être dans cette relation client.

A 9 – 10 ans, tu t’initiais tout seul à la programmation informatique. Tu pratiquais le reverse engineering. Est-ce qu’il faut forcément commencer tôt, s’exercer à la maison, et être autodidacte ?

Tout le monde n’a pas de révélation professionnelle si tôt et il n’est pas nécessaire de commencer dès le berceau. Mon histoire est surtout animée par la curiosité. Si cette curiosité se développe tôt, c’est un plus. Un bon hackeur éthique est quelqu’un de très curieux et d’ingénieux. Il creuse, il cherche à contourner les sécurités, il ne s’arrête pas dès la première barrière. S’il ne ressent pas l’envie d’approfondir, d’aller voir plus loin, d’accéder aux coulisses, et de persévérer, il faut se poser la question de l’adéquation au profil. Quant à s’exercer, cela montre la motivation du candidat et renforce notre adhésion lors du recrutement.

Bien entendu, cela doit être fait dans la légalité. Il existe pour ça des plateformes des challenges et des plateformes de hack légal. Les candidats peuvent se tester là-dessus, être notés et faire partie d’un classement. S’ils nous en parlent à l’entretien, on regarde ce classement. Je dirais qu’il faut être autodidacte, avoir cette curiosité, l’envie de participer à des projets de sécurité, de chercher et trouver par soi-même. Mais cela ne remplace pas un solide background technique appris sur les bancs de l’école. Cela l’enrichit.

Quand un jeune candidat vient nous voir, il doit déjà bien connaître le réseau, les systèmes (serveurs et postes de travail) et c’est mieux s’il sait déjà se servir de quelques outils du domaine (Nessus, Burp, Metasploit).
Nous ne fermons pas la porte aux profils atypiques du moment qu’ils possèdent déjà ces compétences-là.

Mais aujourd’hui parmi les candidats qui se présentent à nous, la majorité a suivi un parcours d’ingénieur en informatique complété pour certains, d’un master spécialisé en cybersécurité.

La menace se complexifie, elle est là où on ne l’attend pas. Comment rester en veille sur ce qui est insaisissable ?

L’écosystème des professionnels, la communauté des hackeurs éthiques, est très pointue.

Le meilleur moyen de rester à l’écoute de la menace, et de fait à l’écoute des besoins de nos clients, c’est de participer à des conférences, comme Hack in Paris, ou la Black Hat pour n’en citer que deux.

Orange Cyberdefense y participe à la fois en tant qu’auditeur mais aussi en tant que contributeur. Ces conférences sont aussi des formidables occasions pour rencontrer les profils que nous cherchons à embaucher : des auditeurs, des pentesters, des chefs de projets.

En interne, nous organisons régulièrement le vendredi un « Tech Lunch ». Ce sont des moments d’équipe importants pendant lesquels nous échangeons des informations issues de notre propre veille pendant lesquels nous évoquons les événements auxquels nous avons assisté, comme la Toulouse Hacking Convention ou la Nuit du Hack. Nous partageons des problématiques et retours clients, et nous nous racontons ce que nous avons lu, entendu pendant la semaine ou au cours du mois.

Comment imagines-tu l'évolution du métier de hacker éthique ?

La finalité de nos missions évolue déjà : celles-ci ne consistent plus seulement en un relevé exhaustif des vulnérabilités techniques. Elles vont au-delà et ont pour objet d’évaluer plus largement l’efficacité des dispositifs de détection et de réaction (SOC). Il nous faudra établir une proximité encore plus fine avec le contexte métier de nos clients. Enfin, l’évolution du métier suivra logiquement l’évolution des techniques de hacking. Ce qui inclut a priori une diversification et une sophistication accrues des vecteurs d’attaque.

Fabien Spagnolo, Head of Ethical Hacking and Technical Assessment chez Orange Cyberdefense

A propos du blogueur

Après un parcours à l’IUT Informatique de Lyon et un Bac +5 à Epitech Paris, Fabien Spagnolo rejoint un intégrateur de produits de sécurité. C’est lors de ce premier emploi qu’il commence à réaliser des tests d’intrusion pour les clients.

En 2009, il intègre Lexsi, un cabinet de services spécialisé en cybersécurité. En tant que chef de projets, il y pilote des campagnes de pentest. Tenu par cette volonté d’étendre toujours plus ses compétences, Fabien conduit parallèlement des missions d’audit, de conformité et de de gouvernance SSI (iso 27001).

Puis c’est la relation client qui l’intéresse. La compréhension et la résolution des problématiques RSSI. Il intègre alors le pôle Conseil de Lexsi et encadre 10 consultants. Ensemble, ils élaborent les politiques de sécurité de leurs clients, les benchmarks de solutions et les analyses de risque.

Depuis 2016, Fabien est à la tête des activités Ethical Hacking d’Orange Cyberdefense.
Il a aujourd’hui 16 années d’expérience en cybersécurité.