Les Hackers sont des amateurs d’informatique et de nouvelles technologies qui créent, analysent et modifient des programmes informatiques (NDLR : ou des produits) pour les comprendre, les améliorer ou apporter de nouvelles fonctionnalités à l’utilisateur (ou à des fins moins vertueuses…). (1)
Un.e Ethical Hacker, ou pentester, fait la même chose, avec un mandat formel de la part d’une organisation, et une dose non négligeable de moralité et de transparence.
Après avoir introduit le pentest en tant que pratique, parlons maintenant de celles et ceux qui l’exercent, les pentesters.
Selon le panorama des métiers de la cybersécurité publié par l’ANSSI (2), le pentesting est du ressort d’un “Auditeur de sécurité technique”, un intitulé de poste également désigné sous les appellations :
Expert technique en audit sécurité, auditeur informatique, ou encore expert en tests d’intrusion en français
Ou encore Ethical Hacker, Vulnerability assessor, Pentester, Information Security Auditor, Penetration tester, Vulnerability assessment analyst, dans la langue de Shakespeare.
Toujours selon le référentiel de l’ANSSI, le Hacker Éthique « réalise des évaluations techniques de la sécurité d’environnements informatiques. Il identifie les vulnérabilités et propose des actions de remédiation. »
De par ses appétences et compétences, il contribue aux travaux de deux équipes bien colorées :
- La Red Team en simulant des attaques en grandeur réelle dans le but de tester les défenses de l’organisation”.
- La Purple Team, toujours en simulant des attaques, afin d’entraîner les équipes de détection des incidents de cybersécurité et de tester les mécanismes de défense en place.
👨💻 Se mettre dans la peau d’un hacker, quel état d’esprit ?
Les pentesters sont mus par un défi, celui de trouver la ou les failles qui vont leur permettre de se frayer un chemin vers les biens les plus sensibles que recèle un système d’information.
Ainsi, de fortes connaissances techniques s’entremêlent avec curiosité, ruse, ingénierie, humilité, frustration, passion, … C’est justement cet état d’esprit que cherchent à développer, à aiguiser, à jauger les défis de type CTF (pour Capture The Flag) qui pullulent sur Internet (3).
👩🎓 Pour devenir pentester, quelles études sont nécessaires ?
On accède généralement à ce métier après avoir fait une école d’ingénieurs ou suivi des études en informatique ou en cybersécurité, après avoir travaillé en tant qu’administrateur système ou réseau, ou après avoir suivi des formations spécialisées en hacking éthique.
Il n’y a pas de voie toute tracée pour devenir pentester !
Il existe aussi des voies moins traditionnelles. Nombre de pentesters n’ont pas de diplôme particulier, sont autodidactes ou ont suivi des formations spécialisées en pentesting.
Pléthore de formations et de certifications existent et permettent d’acquérir les rudiments du métier de pentester.
🌴 Quelles perspectives d’évolution pour un pentester ?
Le problème est bien là, et plus particulièrement en France, où les carrières dans les filières dites techniques ne sont pas du tout identifiées, ou même valorisées. Les pentesters, pour évoluer dans une organisation, se voient souvent orienté.e.s vers le management, ce qui naturellement les éloignent de ce qui les animent et les motivent, la technique, la technique et rien que la technique. D’autres ont tenté, avec plus ou moins de succès, de le positionner en tant que référent technique dans l’organisation, vers qui se tourneraient les profils les moins expérimentés, afin d’être techniquement guidés tout en veillant à la qualité des tests d’intrusion qu’ils effectuent.
Le freelancing pour plus d’autonomie et une meilleure rémunération, contre de nouvelles responsabilités
Face à cette absence de chemins de carrière pour les pentesters, plusieurs opèrent donc un virage vers l’auto-entrepreneuriat, ou freelancing. Ceci les contraint à acquérir d’autres compétences comme celles de gérer leur micro-entreprise, de contractualiser avec leurs clients, de minimiser les risques opérationnels inhérents à ce type de prestations, et donc, encore, à s’éloigner de leur cœur de métier technique.
🐑 Le pentester … un mouton à 5 pattes ?
Par ailleurs, à l’instar du test d’intrusion qui peut être de plusieurs types, le pentester va avoir des capacités différentes en fonction du type d’intervention. Certains pentesters sont très versés sur les aspects réseau, d’autres sur les aspects systèmes, et au sein même des ces systèmes, sur ceux d’un éditeur de logiciel particulier, d’autres sur des aspects applications Web ou applications mobiles, etc.
Moralité, transparence, confidentialité, probité
Certaines organisations rechignent encore aujourd’hui à faire appel à des hackers éthiques, mettant en doute leur moralité et craignant que les failles et/ou les informations découvertes au cours d’un test d’intrusion ne soient par ailleurs détournées à des fins douteuses ou malveillantes.
Il faut donc que la personne aspirant à ce type de métier soit au-dessus de tout soupçon, qu’elle fasse preuve à tout moment de discrétion, d’éthique et de déontologie, qu’elle soit elle-même en mesure de protéger avec les standards les plus élevés ses propres appareils numériques et espaces de stockage, … Ce n’est donc pas une mince affaire !
Un métier attractif pour de jeunes diplômés
« Aujourd’hui et parmi tous les métiers possibles en cybersécurité, celui-ci semble être le plus attractif lorsqu’on sonde des lycéen.ne.s ou de jeunes universitaires. On a donc tendance à préférer l’attaque à la défense. Il y aurait ici un côté plus ludique, plus créatif, plus proche du gaming… », selon Hadi El Khoury, enseignant en gestion des risques cyber à l’EPITA.
💰 Un métier bien rémunéré ?
Toujours selon Hadi, les prestations cyber sont de mieux en mieux vendues. Pour autant ce n’est pas un métier bien rémunéré, notamment en rapport avec ce que l’on a évoqué sur la faible valorisation des métiers techniques, particulièrement en France.
💪 Comment rester à jour et percutant ?
Le pentest c’est comme un sportif de haut niveau. Sans formation ou entraînement, sans partages et challenges, les muscles s’atrophient, les habitudes se perdent, et on se retrouve dépassé en un rien de temps. Il est donc évident que seule une passion dévorante peut être le carburant d’un.e pentester.
Sans des efforts continus et une charge mentale considérable, un.e pentester ne peut pas rester percutant.e.
Les pentesters sont donc incontournables, passionnés et rares… très rares… trop rares !
Dans un prochain billet, nous parlerons de leurs limites et frustrations, un sujet radieux 😎 D’ici-là vous pouvez nous retrouver sur LinkedIn et Twitter, stay tuned!
Hadi, pour Knock Knock.
🔗 Webographie :
- https://fr.wikipedia.org/wiki/Hacker
- https://www.ssi.gouv.fr/particulier/formations/panorama-des-metiers-de-la-cybersecurite/
- https://www.ssi.gouv.fr/agence/cybersecurite/participez-aux-competitions-de-cybersecurite-en-france-et-en-europe/
Envie d’en savoir plus ?
Contactez-nous !