16/01/2024
Actualité
Immersion au sein de la BU Offensive Security Almond : Baptiste et Raphaël, auditeurs chez Amossys, témoignent
Baptiste
Après un cursus en école d’ingénieur informatique et une dernière année de spécialisation en sécurité informatique, il a effectué une première année dans le monde professionnel avant de rejoindre Amossys.
Raphaël*
Issu d’un parcours d’ingénieur et après une expérience en développement logiciel, il s’est spécialisé depuis trois ans en cybersécurité . Passionné par la technologie et l’envie d’en apprendre plus tous les jours, ce domaine lui permet de se challenger et de découvrir de nombreux concepts.
Depuis quand travaillez-vous chez Amossys ?
RAPHAËL* : Cela fait bientôt 2 ans que j’ai rejoint l’équipe d’Amossys en tant qu’auditeur.
BAPTISTE : Je travaille chez Amossys depuis 3 ans en tant qu’auditeur en sécurité informatique. Cela couvre des missions de tests d’intrusion, d’audit de code, de configuration et d’architecture.
Vous avez intégré durant plusieurs semaines l’équipe Offensive Security d’Almond, comment se sont déroulés vos premiers jours au sein de l’équipe ?
RAPHAËL* : Nous avons reçu un accueil très chaleureux et bienveillant. Nous travaillons toujours dans la bonne humeur et nous avons développé une bonne dynamique d’équipe. Rapidement après notre arrivée, j’ai été mis sur un projet de tests d’intrusion en binôme avec un collègue expérimenté.
BAPTISTE : Notre intégration s’est bien déroulée, l’équipe est accueillante et de bons conseils. Nous avons été rapidement en binômage avec des collègues de la Business Unit Offensive Security afin de retrouver nos marques. Les premiers jours ont été l’occasion de constater de nombreux points communs et quelques différences dans la réalisation des missions.
Comment se déroulaient les journées avec l’équipe ?
RAPHAEL* : Nous étions en mission sur une semaine complète, en général en collaboration avec une autre personne d’Almond. Ainsi, les différentes cibles à auditer étaient réparties sur le binôme. Les points identifiés étaient ensuite remontés pour établir le rapport en fin de semaine. En dehors des périodes de travail, nous avons partagé de nombreux moments de convivialité lors du déjeuner ou des autres temps informels qui sont organisés chez Almond (tennis de table, babyfoot, etc.).
BAPTISTE : De manière générale, les missions duraient une semaine. Comme le dit Raphaël*, le travail s’effectue principalement en binômage, ce qui est stimulant pour échanger sur des vulnérabilités. Le début de semaine était consacré à des tests sans utiliser de comptes (en boîte noire). Plus tard dans la semaine, avec les comptes fournis, nous effectuions des tests en étant authentifiés ; l’objectif étant de simuler un utilisateur malveillant interne ou un attaquant ayant obtenu un accès à l’application (en boîte grise). En parallèle, nous rédigions le rapport. En fonction des périmètres audités, il pouvait nous arriver de travailler sur les mêmes cibles ou de se répartir les tâches. Par exemple, quand l’un des deux pentesters avait trouvé un point d’attention, il nous arrivait de creuser ce point ensemble afin de vérifier, entre autres, s’il s’agissait d’une vulnérabilité.
Sur quels types de missions avez-vous travaillé ?
RAPHAEL* : Parmi les diverses missions qui nous ont été confiées, je retiens notamment une mission de tests d’intrusion externes chez un client privé. Celui-ci nous a fourni une liste de sites web et d’IP qui étaient à tester du point de vue d’un attaquant. Nous avons alors utilisé les ressources exposées depuis l’extérieur, les différentes techniques de contournements et outils d’analyse pour détecter les vulnérabilités. Celles-ci ont ensuite été envoyées au client dans un rapport, avec des recommandations pour qu’elles soient corrigées.
BAPTISTE : J’ai également effectué des tests d’intrusion externe pour un client privé en boîte noire. Cela consiste en effet à trouver des vulnérabilités, sans avoir de compte fourni par le client, afin de simuler un attaquant externe à l’entreprise qui n’a pas d’information sur cette dernière.
Pour vous, quels seraient les points forts de la méthode Almond sur les missions Offensive Security ?
RAPHAEL* : Chez Almond, les types de missions, la clientèle et le niveau d’expertise sont source d’inspiration et de motivation. L’équipe possède également un outillage logiciel adapté aux missions et un soutien technique réactif qui constituent de belles forces.
BAPTISTE : Nos collègues d’Almond ont chacun une expertise acquise au fur et à mesure des années et des missions, ce qui leur permet de pouvoir s’aider sur des thématiques techniques précises. Grâce à cela, les missions réalisées permettent de vérifier en profondeur le niveau de sécurité des éléments audités.
Comment avez-vous vécu cette immersion à Sèvres ? Qu’en retenez-vous ?
RAPHAEL* : Cette immersion a été une période de travail enrichissante, qui m’a permis de découvrir différentes méthodologies et une clientèle privée bien développée. Cela a également généré de nouveaux échanges entre les équipes Almond et Amossys que j’aurai plaisir à entretenir à l’avenir. Nous avons pu partager nos anecdotes, nos expériences et nous apercevoir de problématiques similaires dans le milieu du pentest. Beaucoup d’échanges techniques mais aussi informels ont eu lieu sur la messagerie interne ce qui a, là aussi, permis de renforcer la cohésion.
BAPTISTE : Rencontrer et travailler avec des collègues qui réalisent des missions identiques aux nôtres a été une très belle expérience. L’immersion au sein de la BU Offensive Security a en effet été l’occasion d’échanger sur notre vision du métier, les missions réalisées, les méthodologies employées ainsi que les problématiques rencontrées et comment les traiter.
* Par souci de confidentialité et à la demande de notre interviewé, nous avons choisi de préserver son anonymat en le désignant sous le pseudonyme « Raphaël » dans cette publication.
« Après l'annonce du rapprochement Almond / Amossys, notre priorité a été de créer du lien entre les équipes, pour créer des ponts, pour dépasser les incertitudes propres à toute nouvelle rencontre. Je remercie donc chaleureusement Raphaël* et Baptiste d’avoir osé pousser la porte de l’équipe Offensive Security Almond ! Notre passion partagée pour le hacking a été un terrain d'entente immédiat, et leur approche sympathique et proactive a largement contribué à l’esprit d'équipe. Ces quelques semaines passées ensemble ont non seulement renforcé notre cohésion, mais ont ouvert la voie à de nombreuses collaborations techniques entre les équipes Amossys et Almond sur notre métier Pentest ».
« Cette immersion dépasse le simple échange de compétences ; elle incarne la vision et l'ambition du projet de rapprochement entre Almond et Amossys. Avant toute autre considération, c'est un ADN d'expertise partagé et une passion commune pour les sujets techniques cyber qui nous rapprochent : en tissant ces liens à travers des projets techniques stimulants, nous favorisons non seulement une synergie accrue et un enrichissement mutuel des compétences, mais aussi un développement qui profite à chaque collaborateur, à notre entreprise et à nos clients ».
