Pentest : Interview métier de François Rottier

NBS SYSTEM > Publications > Interview collaborateur > Pentest : Interview métier de François Rottier
interview-collab-fro-4

Interview collaborateur

Le pôle sécurité informatique de l’entreprise offre un large choix de prestations, comme du pentest, des forensic ou encore du DevSecOps.

Ils permettent d’évaluer le niveau de sécurité de vos locaux, sites ou applications. C’est ce dont nous parle François, Pentester pour NBS System. Découvrez son métier !

Pentest… Qu’est-ce que c’est ?

Je suis Pentester. J’effectue principalement des tests de sécurité, des missions au niveau interne, externe ou applicatif. Donc mon objectif est d’évaluer le niveau de sécurité de ce que le client demande.

  • En externe, j’analyse l’infrastructure client afin de voir les services exposés. Le but est de lui présenter l’image de sa sécurité vue par un attaquant opportuniste extérieur via internet.
  • En interne, j’effectue ce qu’on appelle « le test du stagiaire » directement chez le client. C’est un pentest effectué via un simple câble réseau. En réalité, je fais le tour des actifs présents sur le réseau pour les exploiter et essayer d’obtenir un niveau de droit plus élevé et ça en boucle jusqu’à l’admin du domaine (pour un environnement Active Directory par exemple).
  • Au niveau applicatif, je vérifie sur un site ou une application, ce que je peux faire à partir d’un compte utilisateur. Par exemple, est-ce que je peux accéder aux infos des autres utilisateurs ? Ou puis-je piéger un utilisateur ? Il y a parfois des données critiques qui ne doivent pas être accessibles. C’est ce que j’examine.

Comment es-tu devenu Pentester ? Depuis combien de temps exerces-tu ce métier ?

J’ai un diplôme de technicien supérieur de support en informatique. Afin de valider celui-ci j’ai effectué un stage en entreprise. Je suis donc rentré chez Oceanet Technology dans l’équipe CSC (Centre Support Client).

Quand j’étais à l’école, le pentest ça me plaisait bien. Cependant je pensais avoir la possibilité d’en faire après 20 ans d’expérience, étant donné que c’est compliqué. Mais en définitive, j’ai toujours voulu en faire. Au cours de mon évolution chez Oceanet Technology, je suis arrivé au pôle expertise Linux (niveau 2). Finalement, suite au rachat de NBS System, j’ai eu l’opportunité de rejoindre l’équipe sécurité. Je suis Pentester depuis 2 ans et ça me plait beaucoup !

Qu’est-ce qu’une journée type pour toi ?

Déjà quand j’arrive ; café ! Après il n’y a pas de journée type.

Soit je suis sur une mission : je travaille en binôme. Chacun fait ses tests sécurité puis nous faisons le rapport qui est l’étape la plus importante. C’est via celui-ci que le client va voir notre expertise et le travail effectué durant la mission.

Soit je peux être amené à aider les commerciaux à la vente de prestations.

L’objectif est d’identifier le(s) besoin(s) du client et de proposer une solution en expliquant pourquoi. Ainsi qu’en quoi cette offre correspond à sa demande. En effet dans l’activité pentest, il y a un aspect très technique que les commerciaux n’ont pas forcément.

Ça fait partie du travail de pentest, il y a un vrai contact avec le client. J’avais ce côté-là au support mais l’approche était différente. Ici on est plus dans la résolution d’un simple problème, on est vraiment dans l’apport d’une expertise élevée où le client est venu te chercher. C’est cool.

Globalement j’arrive, je trouve des vulnérabilités !! Tu as un côté enfant qui « casse » un jouet. Finalement tu dois trouver comment il fonctionne pour détourner l’objet de son utilité première. Lui faire exécuter une action qu’il n’est pas censé faire et donc ici, pour un système informatique.

Qu’est-ce qui te plaît le plus dans le pentest ?

Globalement c’est trouver des vulnérabilités ! Mais plus sérieusement, la phase de recherche. Il faut être pragmatique et penser en dehors des sentiers battus pour trouver la petite miette qui te permettra de compromettre la cible. C’est le côté le plus distrayant du boulot. Bien sûr, il y a malheureusement des aspects moins drôles. Il y a toute une phase de mise en place, de préparation qui est moins « fun » mais nécessaire pour la suite.

Quelle est ta part d’initiative et d’autonomie dans ton métier ?

Je suis très autonome et ça tombe bien. Pour chaque mission nous sommes en binôme même si chacun fait sa part librement dans son coin, nous devons faire le rapport en commun. En effet, c’est trop important pour qu’une personne le réalise seule.

Quel est le profil attendu pour exercer ton métier ?

Il faut aimer ça. En effet, si je n’appréciais pas le travail, je ne le ferais pas. Cela demande de l’investissement personnel ! Ce n’est pas juste un job alimentaire.

De plus, l’apprentissage est très ludique, il se fait un peu sous forme de jeu même s’il n’y a pas que ça. Natas, Websec & Rootme par exemple sont des plateformes d’apprentissage accessibles gratuitement sur internet qui sont vraiment récréatives. Elles proposent des challenges pour tester et améliorer son niveau en terme de sécurité. Donc pour moi, il faut vraiment aimer ce job pour le faire, en avoir réellement envie.

Portrait Chinois

  • Si tu étais un type d’attaque ? SE, Social Engineering. Ce n’est que de la stratégie et de la connaissance humaine (sociologie).
  • Si tu étais une mesure de sécurité ? Un firewall applicatif (waf) open source. Pas au hasard, je dirais Naxsi.
  • Si tu étais une distribution ? Debian.

Plus personnellement, qu’aimes-tu ?

La moto et tout son monde m’intéressent beaucoup. Un peu la voiture mais si j’ai le choix ce sera moto GP plutôt que Formule 1 !

Contactez-nous !