L’expert en tests d’intrusion fait partie des 24 000 emplois créés par la filière cybersécurité française, en plein essor ; 1 400 de plus sont prévus dans les trois prochaines années.

Pentester

 

Êtes-vous passionné d’informatique et de sécurité ? Si oui, le métier de pentester, ou expert en tests d’intrusion, est fait pour vous. Il consiste à « s’introduire dans les systèmes, réseaux et applications d’une entité (entreprise, organisation, administration, etc.), de la même manière que le ferait un pirate informatique… à la seule différence que nous sommes autorisés à le faire ! », explique René Neerdael (un pseudonyme), expert en tests d’intrusion à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). C’est pourquoi les pentesters sont aussi parfois appelés des « hackers éthiques ».

Curieux, proactif et inventif

Trouver les failles des systèmes avant que les pirates ne les découvrent et les exploitent, c’est une course contre la montre. Se tenir au courant des dernières innovations est donc fondamental. « La veille technologique doit être continuelle. Si on s’arrête, ne serait-ce qu’un mois pendant les vacances, on a déjà loupé plein de choses. C’est pourquoi il est important d’être vraiment passionné par la matière, sinon cela devient vite une contrainte », assure Franck Ebel, responsable pédagogique de la licence professionnelle CDAISI (Cyber Défense et Anti Intrusion des Systèmes d’Information) à l’université Polytechnique Hauts-de-France.

Hormis la passion et la motivation, Franck Ebel recherche une autre qualité lorsqu’il doit sélectionner une cinquantaine de dossiers parmi des centaines de candidatures : la curiosité. « Il ne faut pas hésiter à tester des choses hors des sentiers battus. C’est comme ça qu’on trouve les failles », explique-t-il. René Neerdael complète : « Il faut être proactif et imaginatif afin de trouver de nouvelles vulnérabilités et de nouveaux scénarios d’attaques lors des tests d’intrusion. » Cet expert souligne aussi l’importance des capacités d’analyse et de synthèse.

Quelles formations ?

« Les études et le diplôme peuvent varier énormément en fonction des pentesters », prévient René Neerdael. Généralement, il faut avoir étudié à la fois l’informatique et la sécurité, à l’image de cet expert qui est diplômé du CNAM en informatique et d’un master spécialisé dans la sécurité des systèmes d’information. Pour guider étudiants et entreprises, l’ANSSI a mis en place un programme de labellisation des formations en cybersécurité de l’enseignement supérieur, SecNumedu. La liste des formations labellisées est disponible sur le site de l’agence.

Un pirate qui vous veut du bien

Car le métier ne consiste pas seulement à réaliser des tests d’intrusion. Une mission comporte généralement plusieurs phases, ainsi que le détaille l’expert de l’ANSSI : la première consiste à effectuer une recherche d’informations sur les systèmes à attaquer ; la deuxième, à identifier les vulnérabilités, comme par exemple des mots de passe faibles, des systèmes mal configurés ou des failles connues, mais non corrigées. La troisième étape consiste à mener les tests d’intrusion en exploitant les failles identifiées. « Plusieurs scénarios d’attaque peuvent être joués », indique René Neerdael. Enfin, la dernière étape consiste à présenter les résultats des tests à l’entité auditée, avant d’écrire un rapport.

« On peut parfois être frustré car souvent, pour des raisons de coûts, l’entreprise ne comble que les failles les plus critiques », prévient Franck Ebel. Il observe que les mentalités n’ont réellement évolué que depuis « à peine deux ans » au sujet de l’importance de la cybersécurité. Avant, chaque entreprise avait tendance à penser que « ça n’arrive qu’aux autres ». Franck Ebel rappelle aussi que la grande majorité des failles ont des causes humaines, qu’elles soient intentionnelles ou pas. La licence CDAISI prévoit ainsi des cours d’ingénierie sociale, pour prévenir et combattre les pratiques visant à obtenir des informations en manipulant quelqu’un psychologiquement.

« Nous apprenons aussi à nos étudiants à travailler à plusieurs, ce qui n’est pas toujours évident pour des informaticiens », souligne Franck Ebel. « C’est un véritable travail d’équipe, confirme René Neerdael. Nous effectuons à plusieurs les missions chez les audités, afin d’être le plus exhaustif possible dans les recherches de vulnérabilités et complémentaires sur l›ensemble des domaines. » Aux aspirants pentesters, l’expert de l’ANSSI conseille de s’entraîner sur les plateformes comme root-me.org. « Il ne faut surtout pas s’attaquer à de vrais systèmes en production, car ce n’est bien sûr pas légal ! »

Pentester

Un risque en hausse pour les entreprises et les particuliers

L’année 2017 a été marquée par de nombreuses attaques informatiques, inédites par leur ampleur et leur sophistication. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a recensé plus de 2 400 évènements de sécurité numérique, c’est-à-dire d’évènements pouvant laisser penser qu’un incident de sécurité est survenu sur un système numérique.

Ont aussi eu lieu 20 incidents majeurs de sécurité, douze opérations de cyberdéfense et trois crises publiques (la menace sur les élections présidentielles françaises du 5 mai 2017, le logiciel de rançon WannaCry du 12 mai 2017 et l’attaque à des fins de sabotage NotPetya du 27 juin 2017). La cybersécurité est donc une filière en plein développement : elle représente plus de 24 000 emplois en France et devrait en créer 1 400 de plus dans les trois prochaines années, selon une étude du cabinet EY pour l’association Syntec Numérique.

Les métiers de la cybersécurité ont été structurés par l’ANSSI autour de 16 profils, dont l’expert en tests d’intrusion mais aussi l’intégrateur de sécurité système, l’architecte de sécurité, le spécialiste en gestion de crise cyber ou encore le juriste spécialisé en cybersécurité.