CYBMohamed Assane Seck est un hacker éthique, aussi connu sous le nom de pentester : il pirate, oui… Mais seulement pour trouver les failles dans la sécurité d’un système d’information et aider à les réparer.
Mohamed Assane Seck , comment êtes-vous devenu pentester ?
Après un diplôme d’ingénieur en télécommunications et réseaux, j’ai fait du développement web, mais je n’utilisais que le développement, pas mes compétences en Linux, ni en réseau, ni en administration système. J’étais passionné par la cybersécurité, et plus particulièrement par la sécurité offensive et donc par les tests d’intrusion. Alors j’ai décidé de passer un mastère spécialisé en cybersécurité du numérique à l’INSA de Lyon, qui s’est terminé par un stage de pentester. J’ai été embauché par la suite.
En quoi consiste le métier ?
La mission consiste à éprouver un système d’information pour trouver le maximum de vulnérabilités, à mettre en place des scénarios d’attaque pour obtenir des accès privilégiés et des informations confidentielles. On essaie de le compromettre, mais dans un cadre légal. Je travaille dans une société de services, je suis donc consultant pour les clients qui nous demandent d’éprouver leur réseau interne, leur site web ou leur appli mobile par exemple. Ensuite, il s’agit de faire un rapport décrivant les vulnérabilités et les recommandations pour essayer d’y remédier.
Quels conseils donneriez-vous à de futurs pentesters ?
La motivation est le plus important. Ce n’est pas comme du développement, où on implémente des solutions telles qu’on les a apprises. En pentest, on peut avoir 7 pistes et ne découvrir qu’après des heures sur la première que ce n’est pas la bonne. Et sur un plan très pratique, passez des certifications, comme OSCP (Offensive security certified professional), qui est très reconnue.
Qu’est-ce qui vous plaît le plus et le moins dans votre métier ?
J’adore faire un métier qui entraîne de vrais changements. Quand à la suite d’un pentest on tombe sur les salaires du top management et qu’on les fait figurer sur le rapport de manière anonymisée, bizarrement, ensuite, il investit davantage dans la sécurité ! En revanche, on a tout le temps la tête dans le guidon. Quand je rentre chez moi, j’ai toujours l’esprit dans le pentest, ou je suis en train de faire de la veille. Les choses avancent très vite… Si vous m’assommez pour un mois, je serai quasi obsolète !
A votre avis, comment le métier va-t-il évoluer ?
Tout est de plus en plus automatisé. Cela signifie que les pentesters qui ne s’y connaissent pas en développement risquent d’être perdus ! Mais c’est un métier d’avenir car les cybermenaces augmentent de manière exponentielle.
Une expérience fun à partager ?
Pendant un audit d’une station de ski, on avait réussi à changer le message affiché sur les bornes d’achat, on pouvait stopper tout le réseau, activer le freinage, obtenir des pass de manière gratuite… Que des choses très critiques ! Bien sûr, on montre la faille, mais on ne l’exploite pas.
Un truc en plus ?
Pour se former en pentest, Hack The Box est une plateforme intéressante : il y a des cours, mais aussi des machines à hacker pour progresser. Et pour l’audit d’applications web, je recommande la WebSecurity Academy de PortSwigger.
Propos recueillis par Séverine Dégallaix
Pour en savoir plus sur le métier de Pentester, rendez-vous sur notre fiche métier !
