Rechercher
Fermer ce champ de recherche.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

16/01/2024

Actualité

Immersion au sein de la BU Offensive Security Almond : Baptiste et Raphaël, auditeurs chez Amossys, témoignent

Auditeurs en cybersécurité chez AMOSSYS, Baptiste et Raphaël* ont passé les deux derniers mois de l’année au sein de la Business Unit Offensive Security chez Almond. Objectif : tisser des liens entre les équipes de Rennes et Sèvres à travers des projets techniques stimulants, favoriser les synergies et permettre un enrichissement mutuel des compétences. Une immersion qui dépasse néanmoins le simple échange de compétences car elle incarne avant tout la vision et l’ambition du projet de rapprochement entre Amossys et Almond. Baptiste et Raphaël* reviennent pour nous sur cette  expérience très positive qui leur a permis de mieux connaître leurs collègues ainsi que le groupe. Interview.

Baptiste

Après un cursus en école d’ingénieur informatique et une dernière année de spécialisation en sécurité informatique, il a effectué une première année dans le monde professionnel avant de rejoindre Amossys.

Raphaël*

Issu d’un parcours d’ingénieur et après une expérience en développement logiciel, il s’est spécialisé depuis trois ans en cybersécurité . Passionné par la technologie et l’envie d’en apprendre plus tous les jours, ce domaine lui permet de se challenger et de découvrir de nombreux concepts.

Depuis quand travaillez-vous chez Amossys ?

RAPHAËL* : Cela fait bientôt 2 ans que j’ai rejoint l’équipe d’Amossys en tant qu’auditeur.

 

BAPTISTE : Je travaille chez Amossys depuis 3 ans en tant qu’auditeur en sécurité informatique. Cela couvre des missions de tests d’intrusion, d’audit de code, de configuration et d’architecture.

Vous avez intégré durant plusieurs semaines l’équipe Offensive Security d’Almond, comment se sont déroulés vos premiers jours au sein de l’équipe ?

RAPHAËL* : Nous avons reçu un accueil très chaleureux et bienveillant. Nous travaillons toujours dans la bonne humeur et nous avons développé une bonne dynamique d’équipe. Rapidement après notre arrivée, j’ai été mis sur un projet de tests d’intrusion en binôme avec un collègue expérimenté.

 

BAPTISTE : Notre intégration s’est bien déroulée, l’équipe est accueillante et de bons conseils. Nous avons été rapidement en binômage avec des collègues de la Business Unit Offensive Security afin de retrouver nos marques. Les premiers jours ont été l’occasion de constater de nombreux points communs et quelques différences dans la réalisation des missions.

Comment se déroulaient les journées avec l’équipe ?

RAPHAEL* : Nous étions en mission sur une semaine complète, en général en collaboration avec une autre personne d’Almond. Ainsi, les différentes cibles à auditer étaient réparties sur le binôme. Les points identifiés étaient ensuite remontés pour établir le rapport en fin de semaine. En dehors des périodes de travail, nous avons partagé de nombreux moments de convivialité lors du déjeuner ou des autres temps informels qui sont organisés chez Almond (tennis de table, babyfoot, etc.).

 

BAPTISTE : De manière générale, les missions duraient une semaine. Comme le dit Raphaël*, le travail s’effectue principalement en binômage, ce qui est stimulant pour échanger sur des vulnérabilités. Le début de semaine était consacré à des tests sans utiliser de comptes (en boîte noire). Plus tard dans la semaine, avec les comptes fournis, nous effectuions des tests en étant authentifiés ; l’objectif étant de simuler un utilisateur malveillant interne ou un attaquant ayant obtenu un accès à l’application (en boîte grise). En parallèle, nous rédigions le rapport. En fonction des périmètres audités, il pouvait nous arriver de travailler sur les mêmes cibles ou de se répartir les tâches. Par exemple, quand l’un des deux pentesters avait trouvé un point d’attention, il nous arrivait de creuser ce point ensemble afin de vérifier, entre autres, s’il s’agissait d’une vulnérabilité.

Sur quels types de missions avez-vous travaillé  ? 

RAPHAEL* : Parmi les diverses missions qui nous ont été confiées, je retiens notamment une mission de tests d’intrusion externes chez un client privé. Celui-ci nous a fourni une liste de sites web et d’IP qui étaient à tester du point de vue d’un attaquant. Nous avons alors utilisé les ressources exposées depuis l’extérieur, les différentes techniques de contournements et outils d’analyse pour détecter les vulnérabilités. Celles-ci ont ensuite été envoyées au client dans un rapport, avec des recommandations pour qu’elles soient corrigées.

 

BAPTISTE : J’ai également effectué des tests d’intrusion externe pour un client privé en boîte noire. Cela consiste en effet à trouver des vulnérabilités, sans avoir de compte fourni par le client, afin de simuler un attaquant externe à l’entreprise qui n’a pas d’information sur cette dernière.

Pour vous, quels seraient les points forts de la méthode Almond sur les missions Offensive Security ? 

RAPHAEL* : Chez Almond, les types de missions, la clientèle et le niveau d’expertise sont source d’inspiration et de motivation. L’équipe possède également un outillage logiciel adapté aux missions et un soutien technique réactif qui constituent de belles forces.

 

BAPTISTE : Nos collègues d’Almond ont chacun une expertise acquise au fur et à mesure des années et des missions, ce qui leur permet de pouvoir s’aider sur des thématiques techniques précises. Grâce à cela, les missions réalisées permettent de vérifier en profondeur le niveau de sécurité des éléments audités.

Comment avez-vous vécu cette immersion à Sèvres ? Qu’en retenez-vous ? 

RAPHAEL* : Cette immersion a été une période de travail enrichissante, qui m’a permis de découvrir différentes méthodologies et une clientèle privée bien développée. Cela a également généré de nouveaux échanges entre les équipes Almond et Amossys que j’aurai plaisir à entretenir à l’avenir. Nous avons pu partager nos anecdotes, nos expériences et nous apercevoir de problématiques similaires dans le milieu du pentest. Beaucoup d’échanges techniques mais aussi informels ont eu lieu sur la messagerie interne ce qui a, là aussi, permis de renforcer la cohésion.  

 

BAPTISTE : Rencontrer et travailler avec des collègues qui réalisent des missions identiques aux nôtres a été une très belle expérience. L’immersion au sein de la BU Offensive Security a en effet été l’occasion d’échanger sur notre vision du métier, les missions réalisées, les méthodologies employées ainsi que les problématiques rencontrées et comment les traiter. 

* Par souci de confidentialité et à la demande de notre interviewé, nous avons choisi de préserver son anonymat en le désignant sous le pseudonyme « Raphaël » dans cette publication.

« Après l'annonce du rapprochement Almond / Amossys, notre priorité a été de créer du lien entre les équipes, pour créer des ponts, pour dépasser les incertitudes propres à toute nouvelle rencontre. Je remercie donc chaleureusement Raphaël* et Baptiste d’avoir osé pousser la porte de l’équipe Offensive Security Almond ! Notre passion partagée pour le hacking a été un terrain d'entente immédiat, et leur approche sympathique et proactive a largement contribué à l’esprit d'équipe. Ces quelques semaines passées ensemble ont non seulement renforcé notre cohésion, mais ont ouvert la voie à de nombreuses collaborations techniques entre les équipes Amossys et Almond sur notre métier Pentest ».

« Cette immersion dépasse le simple échange de compétences ; elle incarne la vision et l'ambition du projet de rapprochement entre Almond et Amossys. Avant toute autre considération, c'est un ADN d'expertise partagé et une passion commune pour les sujets techniques cyber qui nous rapprochent : en tissant ces liens à travers des projets techniques stimulants, nous favorisons non seulement une synergie accrue et un enrichissement mutuel des compétences, mais aussi un développement qui profite à chaque collaborateur, à notre entreprise et à nos clients ».

Voir les dernières actualités

21 juin 2023
Nous vous proposons cette fois-ci de partir à la découverte de Christine, qui après une riche carrière dans le domaine de la santé, a embrassé le métier de consultante en cybersécurité.
11 mai 2023
Découvrez notre témoignage concernant le recrutement de nouveaux talents en cybersécurité.
28 février 2023
Engagés depuis toujours dans le soutien et le développement de la filière Cybersécurité au travers de la formation, nous sommes particulièrement fiers aujourd’hui de parrainer les masters dédiés de l'Université de Rennes
28 février 2023
Comme tous les ans et conformément à la législation en vigueur, AMOSSYS calcule et publie son index d’égalité professionnelle hommes-femme.
23 février 2023
AMOSSYS vient d’adhérer à ADN Ouest, le plus grand réseau de professionnels du numérique de France.
25 janvier 2023
Découvrez le témoignage d’Émilie qui a choisi très tôt la cybersécurité dans son parcours de formation. En tant que femme, quelles raisons lui ont donné envie de s’orienter vers la cyber ?
6 janvier 2023
AMOSSYS vient d’obtenir le renouvellement pour 3 ans de son Visa de sécurité en tant que PASSI RGS-LPM délivré par l’Agence Nationale de la Sécurité des Systèmes d’information (ANSSI).
20 décembre 2022
AMOSSYS vient de rejoindre l’InterCERT-France (Première communauté de CERT (Computer Emergency Response Team) et de CSIRT (Computer Security Incident Response Team) en France) en tant qu’adhérent.
22 novembre 2022
Retour en quelques mots sur notre participation à la 7e édition de l'European Cyber Week qui s'est déroulée à Rennes du 15 au 17 novembre 2022.
22 octobre 2022
Découvrez le témoignage d’Alexis qui œuvrait il y a encore peu de temps dans le marketing et la communication et qui aujourd’hui a trouvé sa voie en tant qu’Auditeur en cybersécurité