Cabinet de conseil en maîtrise des risques numériques, DBM Partners propose une expertise pointue en cybersécurité. Nous sommes spécialisés dans les quatre domaines suivants : Cybersécurité, Sécurité Offensive, Gouvernance Risque et Conformité et enfin Pilotage et Accompagnement.
Et pour tout savoir sur notre cabinet (sans même avoir à le demander), nous allons tout vous dire (ou presque) sur nos départements et ceux qui les dirigent. Pour ce nouvel épisode, Roland BONNAUD nous ouvre grand les portes de son département Sécurité Offensive, inauguré en mai 2023.
Mais qui êtes-vous Roland ?
Je suis le responsable du département Sécurité Offensive de DBM Partners créé en mai 2023, et pentester (auditeur en système de sécurité) depuis 2016. Auparavant j’ai travaillé au sein du service informatique de l’APHP comme développeur. Il faut préciser que lorsque j’ai commencé à faire du développement informatique, les tests d’intrusions n’étaient pas aussi répandus qu’aujourd’hui, le cadre législatif de l’époque n’étant alors pas favorable à ce type d’activité. Je me suis donc intéressé au pentest en parallèle de mon travail « classique » dans l’informatique. Cet intérêt est né à la fin des années 90 avec le développement rapide d’Internet et la lecture de magazines spécialisés dans le hacking éthique, notamment Hackerz Voice. Je me suis perfectionné dans ce domaine avec le temps mais je ne le mettais pas en avant au niveau professionnel, cette activité ayant longtemps été perçue comme « dangereuse ». C’est bien plus tard que le risque cyber a été pris plus au sérieux par le gouvernement et les entreprises, ce qui a amené un « assouplissement » de la législation. J’ai alors décidé de quitter l’APHP pour commencer à faire du pentest dans des cabinets de conseil, jusqu’à DBM Partners.
« Pendant longtemps je ne mettais pas en avant mes compétences de pentester, cette activité ayant été perçue comme dangereuse. »
Pouvez-vous nous expliquer ce que fait votre département ?
Notre activité consiste à effectuer des audits de sécurité applicative, principalement pour les applications web, mais également des tests d’intrusion sur Active Directory par exemple, des audits de code et de la recherche de vulnérabilités. Nous pouvons proposer des opérations « red team », pour attaquer (dans le sens éprouver) un système, sur une durée plus ou moins longue. Nous avons alors un devoir de discrétion sur les actions menées, mais également sur les résultats obtenus. Avec une approche red team, nous prenons le temps de chercher toutes les vulnérabilités, y compris celles qui n’ont jamais été identifiées (une « 0 Day ») et d’être au plus proche du mode opératoire d’un attaquant malveillant.
Mais le plus souvent, notre département vise essentiellement à rechercher les écarts de conformité qu’il peut y avoir chez nos clients. Ces derniers opèrent dans des domaines d’activité très variés : secteur bancaire, audit financier, secteur public hospitalier, édition de logiciels ou de streaming vidéo, etc. Et qui dit secteurs d’activités différents, dit besoins différents et logiquement technologies différentes. Le département Sécurité Offensive requiert donc un apprentissage continue, une acquisition de connaissances constante, pour toujours réussir à trouver des vulnérabilités sur telle ou telle application ou service web.
Quels sont les enjeux, présents et futurs, de votre département ?
Le principal enjeu du département à court et moyen terme est le recrutement. Et les pentesters ne courent pas les rues ! Nous recherchons des profils curieux techniquement, qui ont l’envie d’apprendre et qui n’ont pas d’appréhension pour rédiger, car les qualités rédactionnelles sont aussi importantes que les qualités techniques pour ce type de poste. Nous ne demandons pas de prérequis spécifique, si ce n’est d’être à l’aise avec le domaine informatique mais c’est une évidence. Il faut avoir le goût de la programmation, mais également la volonté d’affronter des technologies non maîtrisées afin de les « désosser » rapidement pour trouver des vulnérabilités et les rapporter au client.
Ce qui n’est pas si rare, car lorsqu’on fait du test d’intrusion, les défis techniques sont fréquents : demandes clientes très spécifiques ou découverte de technologies inconnues par exemple. Il faut donc prendre le temps d’analyser, de chercher, de comprendre… et si une mission propose de « pentester » dans un contexte pour lequel un consultant n’a pas encore beaucoup d’expérience, DBM Partners peut accompagner ce dernier avec des formations spécifiques. C’est un métier qui s’adresse donc à des passionnés, qui ne doivent pas passer leur temps à apprendre pour hacker, mais hacker pour apprendre.
Pouvez-vous nous donner un cliché qui vous irrite sur la cybersécurité véhiculé au cinéma ?
Depuis les années 80, et notamment avec le film Wargames (sorti en 1983 aux Etats Unis) le cinéma nous abreuve d’images de texte vert sur fond noir qui défilent de plus en plus vite, jusqu’à une vitesse folle comme dans Matrix. Mais en faisant un arrêt sur image pour regarder ce qu’il y a d’écrit, entre le type de programme utilisé et le type de langage affiché, il n’y a souvent aucun rapport avec le contexte, exception faite de la série Mr Robot. Par exemple dans Wargames, dans un contexte de guerre nucléaire global, le langage affiché était de type Basic ou Pascal et le code affiché demandait… de tirer un nombre au hasard. Autre exemple avec une série plus proche nommée Real Humans (qui se passe dans un futur proche). On voit dans un épisode l’analyse du firmware d’un robot, qui se trouve être du langage Python…Pour un firmware du futur… Bref, ce qui définit le domaine de la cybersécurité au cinéma, c’est surtout la couleur du texte à l’écran (texte vert sur fond noir donc) avec des personnes qui tapent très très vite sur des terminaux, qui n’utilisent jamais de souris mais beaucoup d’écrans pour afficher du texte, et tout doit aller très vite. Ce qui est très faux !