17.12.2020
| TÉMOIGNAGES

Micro Studio avec François GOUEY, pentesteur chez SNS SECURITY

Le rendez-vous confidentiel avec nos experts de la cybersécurité.

Pentest, test d’intrusion, ethical hacking : faisons le point.

Dans le cadre de ces nouvelles rencontres organisées avec nos experts SNS SECURITY, nous accueillons aujourd’hui notre pentesteur, François GOUEY. Il nous parle de l’ethical hacking, un hobby qui a démarré dans l’enfance et est rapidement devenu une passion pour lui, des raisons qui l’ont poussées plus tard à en faire son métier, de son intégration au sein de l’équipe technique et de son quotidien avec et pour ses clients et bien plus encore.

photographie hacker ethical hacking rooftop
SNS SECURITY : Bonjour François. Peux-tu te présenter en quelques mots ?

FRANÇOIS : Je m’appelle FRANÇOIS GOUEY et je suis pentesteur chez SNS SECURITY. Les nouvelles technologies me passionnent depuis mon plus jeune âge et c’est au lycée que j’ai choisi d’orienter mon parcours dans le milieu des télécommunications et des réseaux. Pour autant, passionné très tôt par la sécurité informatique, il m’a fallu attendre mon entrée à l’université pour me spécialiser en cybersécurité. J’ai d’ailleurs pu compléter la licence que j’avais obtenue ensuite en suivant un cursus dédié à l’EPSI, une école orientée 100% informatique et sécurité.

SNS SECURITY : Le métier de pentesteur n’est pas encore très répandu en France. Peux-tu nous dire plus précisément ce qui t’a amené à vouloir exercer ce métier ?
FRANÇOIS : J’ai baigné tout petit dans le monde de l’informatique avec un père qui travaillait comme administrateur système chez IBM. C’est lui aussi qui sans vraiment le vouloir, simplement par le biais du contrôle parental, m’a donné le goût pour le hacking. Pour jouer plus librement sur mon ordinateur, j’ai vite compris qu’il me faudrait casser les limites de temps d’écran et contourner les interdits de navigation qui m’étaient imposés. J’ai donc commencé à faire des tests, simplement pour voir. Puis très vite, mon père a été confronté à l’obligation de devoir revoir en permanence sa stratégie de sécurité que je m’évertuais systématiquement, à déjouer.
Je peux dire que j’ai appris exclusivement par moi-même, simplement éveillé par la curiosité et dans le but de relever les défis toujours plus complexes que mon père me posait. Et en allant aussi sur des forums de hack pour m’informer et me former.
franchissement haie apprentissage obstacle
SNS SECURITY : Au-delà du défi à dépasser certaines limites, qu’est-ce qui te plait dans ce job et quelles sont précisément les limites que tu te fixes ?

FRANÇOIS : Comme je le disais précédemment, il s’agissait au début d’un jeu, bien plus que d’un refus de l’autorité parentale. C’était aussi un défi personnel que je me lançais et qui en même temps, créait de la connivence avec mon père.
Mon père a toujours été vigilant à me protéger et surtout lui qui était dans le milieu, connaissait bien les dangers de l’Internet. Il m’a donc très tôt sensibilisé et fixé des règles très strictes, la plus basique étant d’utiliser des pseudonymes. Je reconnais qu’il y a bien sûr une certaine forme de plaisir, une petite montée d’adrénaline lorsque l’on rentre dans l’ordinateur de quelqu’un et que l’on allume par exemple sa caméra. Pour autant, je n’ai jamais été attiré par le côté obscur du hacking, celui qui a pour finalité brute de s’immiscer, de voler ou de compromettre.

Ce qui me passionne moi, c’est de contourner la sécurité et d’en faire une force au service de quelqu’un ou de quelque chose, en l’occurrence des entreprises. Les valeurs humaines et morales que je défends, que j’ai reçues par ailleurs de l’éducation de mes parents m’interdiront toujours, ca ne fait aucun doute, de basculer.
protection données personnelles data pseudonyme
SNS SECURITY : Quelles sont les principales qualités d’un pentesteur ?

FRANÇOIS : Curiosité, patience, persévérance et abnégation sont à mon avis, les principales qualités attendues d’un pentesteur. L’ethical hacking, celui que pratiquent les chapeaux blancs dont je fais partie, implique de ne jamais baisser les bras. Voilà d’ailleurs ce qui nous différencie fondamentalement des blackhats. Même si nous utilisons les mêmes technologies, nos méthodes et nos objectifs sont à l’opposé : pour celles et ceux qui cherchent à voler des données, compromettre la réputation d’une entreprise ou qui demandent des rançons, la motivation est l’appât du gain et elles ou ils travaillent comme s’ils allaient à la pêche au chalut. Les choses doivent aller vite car il n’y a pas de temps à perdre.
Je ne parle évidemment pas des hackers du dimanche, ceux que l’on appelle entre nous, les chapeaux gris dont il est difficile de dresser un portrait. Ils se comportent davantage comme des enfants parce que leur finalité est de s’amuser et ils pratiquent en dilettante. Ce sont des opportunistes. Pour autant, ils constituent c’est important de le souligner, la grande majorité de la communauté de hackers aujourd’hui.

SNS SECURITY : En quoi consiste ton travail ?

FRANÇOIS : Il y a plusieurs points. Tout d’abord il y a une phase importante de sensibilisation à passer et sur cette partie, je suis largement soutenu par les commerciaux et les consultants réseau et sécurité de SNS SECURITY avec qui nous formons une vraie équipe et qui m’aident dans ce premier travail d’approche. Cela peut parfois prendre du temps pour bien définir de commun accord avec le client, l’approche à suivre et pour ce faire, je m’appuie aussi sur les conseils de mon directeur technique. J’entre alors dans la phase de tests qui dure entre trois et dix jours en fonction du périmètre d’actions, du nombre d’applications, etc. Je communique ensuite mes recommandations, et c’est la partie la plus longue, sous la forme d’un rapport détaillé, exhaustif et entièrement personnalisé dans lequel j’intègre bien sûr la notion de bons usages (best practises).

Pour vous donner un ordre d’idée, sur les sept derniers clients avec qui nous avons signé un contrat, tous avaient des failles critiques. Ils ont été surpris de la facilité et de la rapidité avec laquelle nous avons pu pénétrer leurs systèmes. C’est aussi pour cette raison que l’accompagnement doit être conçu de bout en bout.
SNS SECURITY : À quel niveau évalues-tu la protection de nos entreprises en France contre les cybermenaces ?

FRANÇOIS : Chaque cas est unique mais tout le monde est concerné par le risque. On n’arrête pas de le dire mais les collaborateurs sont la première faille, j’en suis le premier témoin. Je le constate à chaque fois, même dans les services informatiques, il y a des réflexes qui ne sont pas acquis. Il faut faire un travail énorme de formation des collaborateurs et de sensibilisation des directions générales. La période de confinement liée à la crise sanitaire du covid-19 a été particulièrement propice au hacking parce que de chez soi, on est moins bien protégé et on est aussi moins attentif. Les entreprises ont pour la plupart pris des mesures d’urgence comme la mise en place de VPN à la va-vite, propices de ce fait au piratage. Les attaquants ont redoublé d’ingéniosité et de virulence.

vpn vitre buée
SNS SECURITY : Penses-tu que ton travail puisse aider à la prise de conscience sur le risque cyber ?

FRANÇOIS : Je travaille avec l’équipe d’experts dont je fais partie intégrante mais j’échange aussi quotidiennement avec le service commercial et le marketing. Il y a aujourd’hui un important travail à faire de discussion avec les clients mais je constate que les grandes entreprises et les ETI sont conscientes des avantages de faire appel au pentest. C’est moins évident au sein des PME qui ont parfois des freins par manque de connaissance du métier voire parce qu’elles ne sentent pas à tort, tout à fait concernées.
Dans tous les cas, on est encore au stade de la techno-évangélisation car les entreprises ont besoin de comprendre l’outil. J’explique ce que nous faisons et pourquoi nous le faisons et pourquoi il est nécessaire de le refaire de façon régulière, idéalement tous les ans.

Le test d’intrusion porte en lui quelque chose de mystique et son image a malgré tout besoin encore d’être valorisée. Le métier subit les préjudices liés à la face obscure du hacking, cette dernière faisant plus régulièrement la une de l’actualité du secteur. Si le terme ethical hacking existe depuis longtemps, on commence seulement maintenant à en donner une définition précise.

Pour ma part, mes choix techniques et ma méthodologie sont donc toujours accompagnés d’explications claires et documentées : l’objectif est un, comme je le disais, de rassurer le client et deux, de faire comprendre en quoi le test d’intrusion est très efficace et pourquoi il a toute sa place dans une stratégie de sécurisation. C’est une aide précieuse également pour les responsables informatiques pour évaluer leur niveau de sécurité de manière objective, pour identifier les améliorations à apporter mais aussi pour justifier l’attribution éventuelle de budgets complémentaires.
Ce que je constate c’est qu’il y a beaucoup de curiosité ; les entreprises sont vraiment intéressées par le concept. Pour celles qui ont dû faire face à une attaque, les choses vont forcément dans le bon sens.

amelioration securisation performance
SNS SECURITY : Comment s’est passé ton arrivée chez SNS SECURITY ?

FRANÇOIS : J’ai démarré ma vie professionnelle en tant qu’administrateur réseau et système mais dans les faits, j’avais une triple casquette puisque je donnais à la fois des cours de pentest à des étudiants et je pratiquais en plus, de manière occasionnelle, le pentest. Comme je le disais déjà, si le hacking m’a intéressé dès tout petit, le métier était encore trop peu connu et répandu et c’est donc plus tard, au cours de mes études en BTS, que j’ai su que j’en ferai un jour mon métier. J’attendais simplement de pouvoir saisir l’occasion.
Les choses se sont enchainées rapidement à partir du moment où mon projet a été clairement posé et quand au même moment finalement, SNS SECURITY m’a contacté : s’ils souhaitaient ajouter une nouvelle corde à leur arc, ils voulaient également mettre en avant cette compétence spécifique pour pouvoir donner une nouvelle dimension à l’entreprise.

Je peux dire que je réalise aujourd’hui un rêve de gosse et que je suis ravi que cela se fasse avec les membres de l’équipe SNS SECURITY qui croient en moi et dans ce projet. Nous prévoyons aussi de renforcer très rapidement cette équipe afin de faire face à la demande.
photographie portrait francois gouey pentesteur
SNS SECURITY : Comment te positionnes-tu dans l’organigramme de SNS SECURITY ?

FRANÇOIS : Je suis désormais totalement intégré à l’équipe technique et à ce titre, je rapporte donc à Ludovic RANCOUL, directeur technique SNS SECURITY. Nous partageons le même espace de travail au sein de l’open-space ; cette proximité facilite considérablement nos échanges : avec d’un côté l’équipe rouge (les attaquants) dont je fais partie et l’équipe bleue (les défendants) qui est chargée de mettre en œuvre les meilleures solutions. C’est une très bonne chose pour nous tous car au départ, nous avons fait l’erreur de considérer cette compétence à part. Cela ne fonctionnait pas bien. Au demeurant, j’apprécie particulièrement chez SNS SECURITY, l’écoute et l’agilité dont sait faire preuve l’équipe de management.
Aujourd’hui j’apporte un support additionnel aux experts sécurité et réseau en identifiant les failles de sécurité, ce qui leur permet d’ajuster en conséquence, leur stratégie. Ou au contraire ils me font part d’un problème qu’ils rencontrent et j’agis en conséquence…

MICRO STUDIO est une idée et une production originales de SNS SECURITY dont le but est de vous faire découvrir régulièrement qui sont nos collaborateurs et quelles sont leurs compétences. Une thématique que nous aborderons systématiquement sous cette même forme mais en apportant de préférence un regard un peu différent sur la sécurité informatique. L’interview de François GOUEY a été réalisée en décembre 2020.
éclairage studio entretien interview cybersécurité