Une interview de Mathieu Deous –

La sécurité informatique est de plus en plus présente dans les projets et l’écosystème IT, et cette tendance n’est pas prête de s’arrêter. Pourtant, de nombreux analystes estiment que d’ici à 2020, 1 à 2 millions d’emplois dans la cybersécurité resteront vacants. Mais quel est le rôle de ces experts, et qui sont-ils ? Pour répondre à cette question, Mathieu Deous nous présente son métier de Consultant en Sécurité chez NBS System.

  • Bonjour Mathieu ! Peux-tu nous parler de ton métier et en quoi il consiste ?

Je suis consultant en sécurité. Je réalise donc des tests d’intrusion, c’est à dire que je cherche des vulnérabilités sur les systèmes d’information et/ou les sites Web de nos clients en essayant de les « pirater ». Je fais également des missions de forensique, pour comprendre et retracer le déroulement d’une attaque déjà réussie.

Mais chez NBS System, l’auditeur sécurité a une mission plus large que cela : je fais également de la Recherche & Développement pour nos besoins internes, que ce soit pour nos équipes ou notre offre d’hébergement de haute sécurité CerberHost. Il y a également une dimension SecOps importante : l’équipe répond aux questions des collègues, et intervient sur les modifications d’infrastructures clientes lorsque leur sécurité peut être impactée.

  • De la variété, donc ! Comment ces différentes tâches s’articulent-elles au cours de ta journée ?

On s’organise plutôt par périodes. Chaque lundi, un membre de l’équipe est désigné SecOps pour la semaine : c’est le point de contact unique des autres équipes. Quand c’est le cas, je ne touche à rien d’autre, si ce n’est du développement lorsque le flux de demandes le permet. Sinon, je pars en mission pour des clients, et là aussi il faut rester concentré ! C’est le reste du temps qui est consacré à la recherche, à l’amélioration de nos outils, et à l’enrichissement de notre documentation.

  • Tu dis « partir en mission » : cela implique-t-il beaucoup de déplacements ?

Cela dépend du type de test réalisé. Les tests d’intrusion web et externes peuvent être réalisés depuis nos locaux, car les éléments testés sont accessibles depuis Internet.

Pour les tests d’intrusion internes en revanche, on se déplace dans les locaux du client pour accéder au réseau interne de l’entreprise. Sinon, on ne peut tout simplement pas réaliser le test, qui consiste à vérifier la sécurité du système d’information de l’entreprise vis-à-vis d’une menace interne ! On se déplace aussi quand les applications métier à tester sont uniquement accessibles depuis un réseau interne, mais c’est plus rare.

  • J’en déduis que tu n’es pas seul sur ces missions…

Effectivement, la quasi-totalité des missions pour les clients sont réalisées en binôme. C’est toujours mieux d’avoir un deuxième cerveau, cela permet d’avoir des points de vue différents et d’éviter de passer à côté de quelque chose… C’est très utile dans ces missions où le périmètre est parfois très large ! Et le reste de mes tâches s’inclut dans un travail collaboratif global avec l’ensemble de l’équipe.

J’ai aussi des interactions récurrentes avec certains autres services, comme le Support lorsque c’est à mon tour d’être SecOps, ou avec les commerciaux et l’avant-vente pour qualifier les projets et besoins des clients en sécurité.

  • As-tu beaucoup de contacts avec les clients ou restes-tu « dans l’ombre » ?

Dans le cadre des missions de sécurité, j’ai effectivement un contact avec les clients. En amont, on cadre la mission, se met d’accord sur le périmètre, les prérequis… et à la fin, je restitue le rapport. Parfois, on interagit aussi pendant la mission pour que le client soit tenu au courant. Ça me rappelle une de mes dernières missions auprès d’une école, il y avait une vraie collaboration avec le client qui était très enthousiaste et nous a bien aidés.

Mais ce n’est pas toujours le cas, au contraire… Certains clients sont très tatillons, et essaient de résoudre les problèmes en cours d’audit ! C’est contre-productif pour moi, qui ne peux pas faire mon travail correctement… mais aussi pour eux, puisque je risque de passer à côté de quelque chose, ce qui leur donnerait une fausse impression de sécurité.

J’ai aussi de temps en temps des échanges avec nos clients en hébergement, mais en général tout passe par mes collègues du Support.

  • Utilises-tu des outils particuliers ?

Dans l’équipe, on utilise principalement Burp Suite, qui est un proxy web, et Metasploit, un framework fournissant entre autres des outillages pour exploiter certaines vulnérabilités. On a aussi de plus petits outils développés en interne, ainsi que des outils Open Source puisque mes collègues et moi-même sommes actifs dans la communauté.

  • Ton métier est très dépendant d’une évolution technologique… comment le gères-tu ?

Puisque NBS System est un hébergeur, on fait par défaut une veille sur les nouvelles vulnérabilités pour pouvoir protéger les sites des clients. Mais dans tous les cas, il est vital de faire de la veille, échanger avec d’autres membres de la communauté… Il faut rester à jour sur les mesures de protection, les outils qui peuvent faciliter le travail… Et pour la culture aussi !

  • Comment en es-tu arrivé là ? Depuis combien de temps exerces-tu ce métier ?

Après avoir arrêté l’école en seconde, j’ai fait plein de petits boulots en m’intéressant à l’informatique sur mon temps personnel. A force de travail, j’ai appris le développement et j’ai été freelance pendant 6 ans. Je me suis toujours intéressé à la sécu, et j’ai fini par créer des relations avec des experts, jusqu’à ce que l’un d’entre eux me propose un poste chez mon précédent employeur. C’était l’occasion de mettre le pied dans la porte ! Aujourd’hui je suis chez NBS System et ça fait 6 ans que je fais de la sécurité.

  • Vois-tu des différences dans la pratique de ton métier entre le moment où tu as commencé et maintenant ?

Avec le temps, je suis beaucoup plus sûr de mes compétences, plus confiant dans ce que je sais faire. L’expertise grandissante permet d’être plus assertif quand, par exemple, ma parole est mise en doute. C’est important devant des clients qui ont parfois du mal à accepter les résultats des audits.

  • Qu’est-ce qui te plaît dans ce métier ? Qu’est-ce qui t’ennuie ?

Ce qui me plaît, c’est le côté « casser les jouets des autres », trouver la petite porte (ou la fenêtre grande ouverte, dans certains cas) à laquelle personne n’a pensé. C’est un challenge de contourner les mécanismes de protection, trouver le cas d’usage qui n’a pas été prévu et qui permet un détournement de l’outil… Comme je le dis souvent, il faut gratter.

Si une chose me plaît moins, c’est que certaines missions sont moins excitantes que d’autres. La partie reporting, qui représente environ un quart du travail, est longue et fastidieuse. Mais c’est le cas dans tous les métiers et toutes les entreprises, il faut faire avec, et le reste vaut le coup !

  • Selon toi, quelles qualités sont nécessaires pour faire ton métier ?

Il faut être curieux et un minimum débrouillard. L’avantage dans ce métier, en tous cas chez NBS System, est que je suis très libre de mes mouvements, je peux tester ce que je veux comme je le veux, tant que ça ne casse pas les infrastructures des clients. Il n’y a pas de procédures à suivre, simplement une méthodologie générale. Il y a donc une grande part d’autonomie dans ce métier, ce qui implique de savoir chercher par soi-même et réfléchir en sortant des sentiers battus.

Bien sûr, il faut également savoir bien s’exprimer à l’oral comme à l’écrit pour bien communiquer avec les clients.

  • Est-il facile de trouver un emploi dans cette branche ? Quel conseil donnerais-tu à quelqu’un souhaitant suivre ta voie ?

Le marché est en plein boom, il y a beaucoup de demandes mais peu de profils sortant du lot. Pour se démarquer et devenir un vrai expert, il faut travailler sur son temps personnel, s’intéresser au sujet, monter en compétences sur ses points faibles comme sur ses points forts. L’auto-formation et l’entraînement sont de très bons vecteurs d’amélioration.

  • Merci Mathieu !
Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.