Pour commencer, quel est ton poste au sein de NBS System et en quoi consiste-t-il ?
Je suis consultant sécurité chez NBS System, du groupe Oceanet Technology. C’est-à-dire que j’accompagne nos clients dans une amélioration de leur sécurité informatique, en leur apportant une expertise et une vision extérieure.
Je me suis principalement spécialisé sur des prestations dites offensives. Cela consiste à se mettre dans la peau d’un pirate informatique pour détecter des vulnérabilités sur des systèmes d’information, des applications, des terminaux. Je propose ensuite des recommandations adaptées avant qu’un attaquant ne puisse en tirer avantage.
Je suis aussi amené à effectuer des missions dites de Forensic. En effet, lorsqu’un client a subi une attaque, il fait appel à l’expertise de notre équipe afin de comprendre ce qui s’est passé. Dès lors, il s’agit pour nous de découvrir la cause, les conséquences et surtout de l’accompagner dans ses démarches post-intrusion et ses correctifs.
Enfin, des missions dites de SecOps me sont régulièrement confiées pour garantir la sécurité du système d’information NBS System.
Quel est ton parcours ? Depuis combien de temps exerces-tu ce métier de consultant sécurité ?
Tout d’abord, j’ai débuté par un BTS en informatique industrielle qui m’a permis d’avoir des bases solides. Puis je me suis spécialisé en sécurité des systèmes d’information via la Licence Professionnelle CDAISI. Cette licence était l’une des seules à l’époque dédiée au Hacking éthique. Ensuite j’ai finalisé mes études par un Master Sécurité Informatique à l’ESGI à Paris.
Cela fait presque 5 ans que je suis pentester comme François Rottier. Grâce à ce métier, j’aborde plusieurs types de clients (banque, télécom, retail, e-commerce…) avec des contraintes très spécifiques et des environnements très différents.
Qu’est-ce qu’une journée type pour toi ?
Cela va dépendre des missions vendues mais il n’y a pas de journée type à proprement parler. Étant affecté à la section Pentest et Consulting de NBS System, je vais surtout être amené à jouer les pirates informatiques. Cela consiste à réaliser des missions d’audits mais également à essayer de les « combattre » via la mise en place de mesures correctrices ou de réponses à incident.
Si je n’ai pas de missions ou que je suis affecté au SecOps (rôle tournant dans l’équipe), j’aide nos équipes internes à maintenir un niveau de sécurité optimal. En particulier sur nos plateformes haute sécurité : CerberHost, et certifiées (HDS).
Qu’est-ce qui te plaît le plus dans ce métier de consultant sécurité ?
Au-delà d’un métier, c’est une passion. Je vois ça comme un jeu, une sorte d’escape game informatique. Tu es enfermé dans une boîte et tu dois en sortir. Ce côté challengeant est très motivant pour moi et en adéquation avec le leitmotiv de tout hacker : « Try Harder » ou « Think out the Box ».
Au-delà du jeu c’est aussi un monde où on doit apprendre sans cesse, être curieux, creuser les sujets et ça me plaît !
Il y a aussi le côté humain. En effet on échange beaucoup avec nos clients, on les accompagne et il est gratifiant de se dire : « J’ai aidé telle ou telle société à améliorer sa sécurité ».
Avec quels autres services es-tu en relation ? Quelle est ta part d’initiative et d’autonomie dans ton métier ?
On travaille souvent avec l’équipe commerciale pour les accompagner à la vente de prestations mais aussi pour le développement de nouvelles offres et pour répondre aux interrogations du client.
Nous sommes aussi en collaboration avec les équipes support de la partie hébergement, notamment dans le cadre du SecOps ou du SOC interne groupe.
Dans mon métier, j’ai la chance d’être en totale autonomie et d’avoir plusieurs personnes autour de moi. On ne peut pas connaître tous les sujets, de ce fait, avoir une équipe avec des compétences diverses permet de se surpasser.
L’avantage est que je suis finalement assez libre d’apporter ma contribution à différentes choses telles que les nouvelles offres ou la mise en place d’outils.
Quel est le profil attendu pour exercer ton métier ?
Pour être pentester, il faut déjà avoir une base en informatique solide car ce domaine est transverse à tous les autres. Ensuite, il n’y a pas de parcours tout tracé et ce n’est pas nécessaire d’être à bac +12. Selon moi, il s’agit tout d’abord de personnes passionnées et ouvertes qui aiment s’aventurer hors des sentiers battus.
Qu’est-ce qui t’a donné envie de rejoindre NBS System ?
Je connais NBS System depuis que j’ai débuté dans la sécurité et plus encore depuis mon ancienne société qui opérait sur les mêmes secteurs d’activité. L’entreprise NBS System est reconnue dans la communauté de sécurité informatique pour avoir une équipe d’experts contribuant à l’open source (Naxsi, Radare2, etc.). De plus, un poste en full-remote était possible, je n’ai pas hésité longtemps avant de rejoindre l’aventure.
Portrait chinois professionnel :
Si tu étais une vulnérabilité ? Je serais une injection de commande bien sale et exécutée en root de préférence.
Si tu étais un risque informatique ? Je serais une APT.
Plus personnellement, qu’aimes-tu ?
En dehors de ce qui touche à l’informatique, j’aime beaucoup suivre le football et aussi profiter des bonnes choses. À savoir : bien manger, la bière et surtout voyager à travers le monde. Plus la destination est improbable ou aventurière, plus ça me plaît.
