| Audit de sécurité
PAROLE D’EXPERT : Tests d’intrusion, ingénierie sociale, Red Teaming… Découvrez Arzhel, expert en sécurité offensive !
Peux-tu te présenter en quelques lignes ? Peux-tu nous en dire plus sur ton rôle chez Synetis ?
Produit de la contre-culture Hacker des années 2000, autodidacte et passionné acharné, j’ai démarré ma carrière dans la sécurité il y a presque 8 ans. J’ai d’abord travaillé dans le domaine du développement logiciel, où j’ai rapidement eu l’occasion de mettre à l’épreuve mes compétences en programmation dans plusieurs langages pour créer différents outils de sécurité. Je me suis ensuite dirigé vers le secteur de l’audit, dans lequel j’ai pu me focaliser uniquement sur des missions de type offensif.
Mon rôle actuel chez Synetis est d’apporter mon expertise en matière de sécurité à nos clients par le biais de différentes campagnes d’audit, du simple test d’intrusion à l’ingénierie sociale, en passant par de complexes missions de « Red Team ».
Qu’est-ce que l’audit de Sécurité des Systèmes d’Information ?
Pourquoi avoir choisi cette carrière ? Quel est ton quotidien en tant qu’auditeur ?
Ce n’est clairement pas un choix ! C’est avant tout une passion, et elle m’a frappée de plein fouet lorsque j’étais enfant, vers l’âge de 11 ans. J’ai commencé le plus simplement du monde, en produisant des « Trainers » et « Cracks » de toutes sortes pour mes jeux vidéo favoris via diverses méthodes d’inspection par rétro-ingénierie. La décision de me professionnaliser dans ce domaine devint donc rapidement une évidence, et je n’ai jamais eu à me poser cette fameuse question qu’est celle du choix d’une carrière future.
Le quotidien d’un auditeur est très varié. Les nombreuses technologies présentes dans le paysage de la sécurité de l’information, ainsi que la grande variété des secteurs d’activité rencontrés en font un métier extrêmement diversifié et divertissant. C’est également une profession que je qualifierais de difficile, dans laquelle il est nécessaire d’être en constant apprentissage. La curiosité, la persévérance et une soif insatiable de connaissances sont des qualités indispensables au quotidien d’un auditeur.
Besoin de conseils pour sécuriser votre entreprise ?
Comment accompagnes-tu tes clients dans l’amélioration de la sécurisation de leur SI ? Comment appréhendes-tu un audit SSI ?
En premier lieu, une phase de cadrage se doit d’être mise en place avec le commanditaire et l’audité. Comme dans toute profession de service, il s’agit de correctement se comprendre ! En effet, un certain nombre de questions doivent trouver des réponses : Quelles sont les cibles à auditer ? Où commence et s’arrête le périmètre physique ou virtuel de ces cibles ? Quelle posture d’attaque l’auditeur doit-il adopter ? Une convention autorisant les auditeurs mandatés à attaquer l’infrastructure ciblée sans répercussion légale est également signée par les différents partis concernés durant ce processus. Il s’agit bien sûr du prestataire d’audit, du commanditaire et de l’audité, mais cette convention peut également concerner diverses entités additionnelles, tel que l’hébergeur de l’infrastructure ou tout autre prestataire de service.
Dans un second temps, les tests offensifs peuvent être réalisés en accord avec la politique préalablement définie. Lorsque que le périmètre a été entièrement couvert, une phase de rédaction des livrables attendus peut alors débuter. Toutes les vulnérabilités découvertes, leurs principes d’exploitation et preuves associées y sont consignés. Une réunion de restitution des résultats est ensuite organisée. Elle a pour objectif d’exposer de vive voix au commanditaire, ainsi qu’à l’audité, les découvertes faites par les auditeurs. Généralement, une restitution d’audit propose deux niveaux de lecture : une synthèse exécutive destinée aux acteurs non techniques est présentée, favorisant la compréhension des risques encourus sans entrer dans les détails ; puis, une démonstration technique de ces vulnérabilités ainsi qu’une exposition des recommandations sont alors exprimées. Ces dernières ont pour objectif d’accompagner les équipes défensives dans la résolution des problèmes de sécurité rencontrés sur les différentes cibles du périmètre.
Quels sont aujourd’hui les principaux risques d’intrusion ?
Sans surprise, les risques sont grands. Les attaquants opportunistes, les groupes cybercriminels organisés, ainsi que les différents Gouvernements ont tous leurs raisons de mener des campagnes offensives sur les différentes infrastructures accessibles ou non depuis Internet.
Les principaux risques sont, cependant, dus à des causes basiques et simples à éviter. Il s’agit principalement d’identifiants par défaut négligés par les développeurs, de mots de passe faibles, de vulnérabilités connues découvertes sur des composants considérés comme obsolètes, ou encore, de l’exposition publique de données critiques exfiltrées.
Pour toi, quel est le top 3 des conseils à donner à une entreprise pour le maintien de sa gouvernance et de sa conformité ?
Ne faites confiance à personne ! La sécurité des systèmes d’information passe avant tout par l’expression d’une vigilance accrue. Lorsque vous recrutez ou invitez quelqu’un au sein de vos locaux, que vous choisissez d’utiliser ou d’installer un produit développé par une entreprise externe, ou bien que vous commandez une prestation de service nécessitant la mise en place d’un accès à votre infrastructure, vous vous exposez à un danger potentiel. Il ne s’agit pas de paranoïa, mais bel et bien de la réalité du monde dans lequel vous évoluez.
Utilisez les mathématiques ! Un chiffrement éprouvé et correctement maîtrisé reste le meilleur des remparts face à tout type d’attaque. Effectivement, même si votre infrastructure venait à être sujette à compromission, l’utilisation de solutions et technologies cryptographiques permet d’empêcher ou de limiter l’accès aux données qu’elles contiennent.
Faites des audits réguliers dans l’objectif de nourrir votre cycle de cybersécurité ! C’est une évidence, mais c’est actuellement le seul moyen de mettre à l’épreuve votre système de défense, ainsi que votre organisation en cas de crise majeures. Pensez à Synetis !