
Micro Studio avec François GOUEY, pentesteur chez SNS SECURITY
Le rendez-vous confidentiel avec nos experts de la cybersécurité.
Pentest, test d’intrusion, ethical hacking : faisons le point.
Dans le cadre de ces nouvelles rencontres organisées avec nos experts SNS SECURITY, nous accueillons aujourd’hui notre pentesteur, François GOUEY. Il nous parle de l’ethical hacking, un hobby qui a démarré dans l’enfance et est rapidement devenu une passion pour lui, des raisons qui l’ont poussées plus tard à en faire son métier, de son intégration au sein de l’équipe technique et de son quotidien avec et pour ses clients et bien plus encore.

FRANÇOIS : Je m’appelle FRANÇOIS GOUEY et je suis pentesteur chez SNS SECURITY. Les nouvelles technologies me passionnent depuis mon plus jeune âge et c’est au lycée que j’ai choisi d’orienter mon parcours dans le milieu des télécommunications et des réseaux. Pour autant, passionné très tôt par la sécurité informatique, il m’a fallu attendre mon entrée à l’université pour me spécialiser en cybersécurité. J’ai d’ailleurs pu compléter la licence que j’avais obtenue ensuite en suivant un cursus dédié à l’EPSI, une école orientée 100% informatique et sécurité.
Je peux dire que j’ai appris exclusivement par moi-même, simplement éveillé par la curiosité et dans le but de relever les défis toujours plus complexes que mon père me posait. Et en allant aussi sur des forums de hack pour m’informer et me former.

FRANÇOIS : Comme je le disais précédemment, il s’agissait au début d’un jeu, bien plus que d’un refus de l’autorité parentale. C’était aussi un défi personnel que je me lançais et qui en même temps, créait de la connivence avec mon père.
Mon père a toujours été vigilant à me protéger et surtout lui qui était dans le milieu, connaissait bien les dangers de l’Internet. Il m’a donc très tôt sensibilisé et fixé des règles très strictes, la plus basique étant d’utiliser des pseudonymes. Je reconnais qu’il y a bien sûr une certaine forme de plaisir, une petite montée d’adrénaline lorsque l’on rentre dans l’ordinateur de quelqu’un et que l’on allume par exemple sa caméra. Pour autant, je n’ai jamais été attiré par le côté obscur du hacking, celui qui a pour finalité brute de s’immiscer, de voler ou de compromettre.

FRANÇOIS : Curiosité, patience, persévérance et abnégation sont à mon avis, les principales qualités attendues d’un pentesteur. L’ethical hacking, celui que pratiquent les chapeaux blancs dont je fais partie, implique de ne jamais baisser les bras. Voilà d’ailleurs ce qui nous différencie fondamentalement des blackhats. Même si nous utilisons les mêmes technologies, nos méthodes et nos objectifs sont à l’opposé : pour celles et ceux qui cherchent à voler des données, compromettre la réputation d’une entreprise ou qui demandent des rançons, la motivation est l’appât du gain et elles ou ils travaillent comme s’ils allaient à la pêche au chalut. Les choses doivent aller vite car il n’y a pas de temps à perdre.
Je ne parle évidemment pas des hackers du dimanche, ceux que l’on appelle entre nous, les chapeaux gris dont il est difficile de dresser un portrait. Ils se comportent davantage comme des enfants parce que leur finalité est de s’amuser et ils pratiquent en dilettante. Ce sont des opportunistes. Pour autant, ils constituent c’est important de le souligner, la grande majorité de la communauté de hackers aujourd’hui.
FRANÇOIS : Il y a plusieurs points. Tout d’abord il y a une phase importante de sensibilisation à passer et sur cette partie, je suis largement soutenu par les commerciaux et les consultants réseau et sécurité de SNS SECURITY avec qui nous formons une vraie équipe et qui m’aident dans ce premier travail d’approche. Cela peut parfois prendre du temps pour bien définir de commun accord avec le client, l’approche à suivre et pour ce faire, je m’appuie aussi sur les conseils de mon directeur technique. J’entre alors dans la phase de tests qui dure entre trois et dix jours en fonction du périmètre d’actions, du nombre d’applications, etc. Je communique ensuite mes recommandations, et c’est la partie la plus longue, sous la forme d’un rapport détaillé, exhaustif et entièrement personnalisé dans lequel j’intègre bien sûr la notion de bons usages (best practises).
FRANÇOIS : Chaque cas est unique mais tout le monde est concerné par le risque. On n’arrête pas de le dire mais les collaborateurs sont la première faille, j’en suis le premier témoin. Je le constate à chaque fois, même dans les services informatiques, il y a des réflexes qui ne sont pas acquis. Il faut faire un travail énorme de formation des collaborateurs et de sensibilisation des directions générales. La période de confinement liée à la crise sanitaire du covid-19 a été particulièrement propice au hacking parce que de chez soi, on est moins bien protégé et on est aussi moins attentif. Les entreprises ont pour la plupart pris des mesures d’urgence comme la mise en place de VPN à la va-vite, propices de ce fait au piratage. Les attaquants ont redoublé d’ingéniosité et de virulence.

FRANÇOIS : Je travaille avec l’équipe d’experts dont je fais partie intégrante mais j’échange aussi quotidiennement avec le service commercial et le marketing. Il y a aujourd’hui un important travail à faire de discussion avec les clients mais je constate que les grandes entreprises et les ETI sont conscientes des avantages de faire appel au pentest. C’est moins évident au sein des PME qui ont parfois des freins par manque de connaissance du métier voire parce qu’elles ne sentent pas à tort, tout à fait concernées.
Dans tous les cas, on est encore au stade de la techno-évangélisation car les entreprises ont besoin de comprendre l’outil. J’explique ce que nous faisons et pourquoi nous le faisons et pourquoi il est nécessaire de le refaire de façon régulière, idéalement tous les ans.
Pour ma part, mes choix techniques et ma méthodologie sont donc toujours accompagnés d’explications claires et documentées : l’objectif est un, comme je le disais, de rassurer le client et deux, de faire comprendre en quoi le test d’intrusion est très efficace et pourquoi il a toute sa place dans une stratégie de sécurisation. C’est une aide précieuse également pour les responsables informatiques pour évaluer leur niveau de sécurité de manière objective, pour identifier les améliorations à apporter mais aussi pour justifier l’attribution éventuelle de budgets complémentaires.
Ce que je constate c’est qu’il y a beaucoup de curiosité ; les entreprises sont vraiment intéressées par le concept. Pour celles qui ont dû faire face à une attaque, les choses vont forcément dans le bon sens.

FRANÇOIS : J’ai démarré ma vie professionnelle en tant qu’administrateur réseau et système mais dans les faits, j’avais une triple casquette puisque je donnais à la fois des cours de pentest à des étudiants et je pratiquais en plus, de manière occasionnelle, le pentest. Comme je le disais déjà, si le hacking m’a intéressé dès tout petit, le métier était encore trop peu connu et répandu et c’est donc plus tard, au cours de mes études en BTS, que j’ai su que j’en ferai un jour mon métier. J’attendais simplement de pouvoir saisir l’occasion.
Les choses se sont enchainées rapidement à partir du moment où mon projet a été clairement posé et quand au même moment finalement, SNS SECURITY m’a contacté : s’ils souhaitaient ajouter une nouvelle corde à leur arc, ils voulaient également mettre en avant cette compétence spécifique pour pouvoir donner une nouvelle dimension à l’entreprise.

FRANÇOIS : Je suis désormais totalement intégré à l’équipe technique et à ce titre, je rapporte donc à Ludovic RANCOUL, directeur technique SNS SECURITY. Nous partageons le même espace de travail au sein de l’open-space ; cette proximité facilite considérablement nos échanges : avec d’un côté l’équipe rouge (les attaquants) dont je fais partie et l’équipe bleue (les défendants) qui est chargée de mettre en œuvre les meilleures solutions. C’est une très bonne chose pour nous tous car au départ, nous avons fait l’erreur de considérer cette compétence à part. Cela ne fonctionnait pas bien. Au demeurant, j’apprécie particulièrement chez SNS SECURITY, l’écoute et l’agilité dont sait faire preuve l’équipe de management.
Aujourd’hui j’apporte un support additionnel aux experts sécurité et réseau en identifiant les failles de sécurité, ce qui leur permet d’ajuster en conséquence, leur stratégie. Ou au contraire ils me font part d’un problème qu’ils rencontrent et j’agis en conséquence…
