Le métier d’Auditeur de Code Source : « Accompagner les entreprises sur tout ce qui est lié à leur code »

Comme tous les métiers de la cybersécurité, celui d’auditeur de code source a de beaux jours devant lui : les entreprises en ont besoin pour assurer la sécurité de leurs applications et font appel à lui pour corriger des vulnérabilités. Joris Chrissachos en parle.

Comment êtes-vous devenu auditeur de code source ?A la base, je voulais être ingénieur en mécanique ! J’ai fait une école d’ingénieurs qui se voulait assez généraliste, mais avec une spécialisation en cybersécurité. De là, j’ai pu accéder à un stage en tant qu’analyste en cybersécurité et c’est comme ça que je suis entré dans ce domaine. Lorsque je suis remonté sur Paris, mon entreprise n’avait pas de poste de ce type ouvert, alors on m’a proposé celui d’auditeur de code source.

En quoi consiste le métier ?
L’idée est d’accompagner les entreprises sur tout ce qui est lié à leur code. On fait de l’avant-vente pour vendre le projet, puis on se met en relation avec les équipes, principalement les managers et quelquefois les développeurs. Ils nous envoient leur code et on le fait passer dans un logiciel qui l’analyse. On pose des questions en amont pour savoir sur quoi il faut se concentrer, ce qui est vraiment dangereux, car parfois les logiciels remontent de faux positifs, ils nomment des vulnérabilités qui n’en sont pas dans le contexte de l’application. Ensuite, on fait un retour au manager pour expliquer ce qu’on a trouvé, et on les aide à résoudre les éventuelles vulnérabilités. On essaie toujours d’obtenir quelque chose de propre, mais parfois, il y a un gros stock de vulnérabilités dû à des appli des années 90 qui sont toujours en activité et qu’il est difficile de remettre au goût du jour.

Quels conseils donneriez-vous à de futurs auditeurs de code source ?
Il faut se former, pas seulement d’un point de vue technique ou en décrochant des diplômes, mais aussi sur les méthodes de travail de type Agile par exemple, cela peut vraiment servir.

Qu’est-ce qui vous plait le plus et le moins dans votre métier ?
J’aime transmettre mon savoir aux autres, les former. Quand les personnes sont vraiment motivées, j’adore ! En revanche, quand elles n’ont pas la volonté de pousser les choses, c’est difficile de donner de sa personne sans avoir de retour.

A votre avis, comment le métier va-t-il évoluer ?
Les entreprises commencent à se rendre compte qu’il est obligatoire d’avoir quelqu’un formé à la sécurité pour pouvoir développer un modèle mature, elles ont vu qu’il y a énormément de risques. Si on arrive à toucher à leur intégrité, cela peut aller très loin. Elles forment souvent des personnes en interne, pas forcément du monde de la cybersécurité, mais des développeurs qui souhaitent avoir ce background.

Une expérience fun à partager ?
Quand on forme des gens et qu’ils disent « oui, oui », parfois, une semaine plus tard, on voit qu’en fait ils n’avaient pas compris et on doit réexpliquer la même chose. Tout le monde n’est pas fait pour la cybersécurité !

Un truc en plus ?
J’ai plusieurs sites à recommander : Try Hack Me, Root Me, Synopsys, Acunetix et Owasp.

Propos recueillis par Séverine Dégallaix

Pour en savoir plus sur le métier d’Auditeur de code source, rendez-vous sur notre fiche métier détaillée !