Et si l’une des meilleures manières de tester le niveau de sécurité d’une entreprise était de réfléchir comme un pirate ? C’est justement ce que fait le pentester ou hacker éthique. En quoi consiste concrètement ce métier ? Éléments de réponse avec l’un d’entre eux, Julien Valiente.
« Le pentester est un hacker qui fait de sa passion un métier » : voici en quelques mots comment Julien Valiente, président du cabinet de hacking éthique Cyberwings et formateur ORSYS, résume ce métier pointu de la cybersécurité. Le pentester est donc un hacker professionnel spécialiste des tests d’intrusion (pentests). Sa mission ? Repérer les vulnérabilités dans les systèmes informatiques, les réseaux, les applications ou encore les sites web afin d’aider les entreprises à améliorer leur sécurité. Le métier requiert de solides compétences techniques et, de plus en plus recherchées, des compétences méthodologiques, associées à un certain état d’esprit.
Le pentester, un hacker professionnel
Vous avez dit hacker éthique ?
Si le terme « hacker » existe aux États-Unis depuis les années 1950, il a longtemps eu mauvaise presse en France. « En soi, le hacking n’est ni bien ni mal. Le hacker est avant tout un bidouilleur. Certains ont des intentions malveillantes, ce sont les pirates. D’autres, comme les pentesters, ont une « éthique » », explique Julien Valiente. En France, le mot « pentester » apparaît autour des années 2010 et désigne la pratique du hacking dans le cadre d’une activité professionnelle.
Quel est son quotidien ?
« Le pentester pratique le hacking à des fins éthiques à travers des tests d’intrusion », répète Julien Valiente. Il est en effet chargé de repérer les points faibles, les failles et les défauts en matière de sécurité. En se glissant dans la peau d’un attaquant, il identifie des scénarios d’attaques et des chemins que pourraient emprunter des pirates informatiques. L’objectif final de sa mission est d’aider les entreprises à mettre en place les mesures de protection appropriées.
Concrètement, les activités du pentester sont organisées au quotidien autour de trois grandes missions. La première consiste à réaliser des tests d’intrusion pour essayer de trouver des failles dans les systèmes de sécurité. La seconde porte sur l’écriture de rapports contenant des synthèses d’information et des corrélations de données. Le pentester y retranscrit les points faibles qu’il détecte en matière de sécurité. Enfin, il consacre le reste de son temps à réaliser des tests pour améliorer sa pratique.
Salarié ou freelance ?
Certaines grosses entreprises recrutent des pentesters salariés si leurs besoins le justifient. Les pentesters peuvent ainsi tester en interne et de manière systématique les nouveaux produits développés par l’entreprise.
Ces compétences étant actuellement très recherchées, le salaire des pentesters ne descend généralement pas en dessous de 40 000 € brut annuels pour des débutants. Quant aux profils plus expérimentés (8 à 10 ans de carrière), ils obtiennent des salaires autour de 70 000 à 85 000 € bruts annuels.
Par ailleurs, beaucoup de pentesters exercent en indépendant pour pouvoir choisir leurs missions en fonction de l’intérêt technique et du challenge qu’elles représentent. La personne chargée de définir les contours de la mission est en général le RSSI, le DSI (lorsque celui-ci veut tester la sécurité d’une nouvelle architecture) ou le chef de produit (dans le cadre du lancement d’un logiciel, par exemple). Vient ensuite la réalisation des tests d’intrusion à proprement parler.
Les tests d’intrusion en pratique : quelles méthodes, quelles compétences ?
Les différents types de pentests
Les différents types de pentests
Tous les pentests ne sont pas réalisés dans les mêmes conditions. On en distingue trois grands types :
- Le pentest externe, lors duquel le pentester essaye d’entrer dans le système d’information du client depuis Internet.
- Le pentest interne, réalisé en donnant un accès interne au pentester (accès qu’aurait pu se procurer un pirate).
- Le pentest de produit, qui porte par exemple sur un appareil, un dispositif électronique ou encore un logiciel spécifique.
À côté de cela, il existe également différents types de méthodologies, selon la quantité d’informations préalables dont dispose le pentester. On distingue ainsi le pentest en :
- « Black Box », sans information,
- « Grey Box » avec quelques informations comme un couple login et mot de passe ou une cartographie du système d’information,
- « White Box » avec toutes les informations.
Le pentesting est une activité très encadrée, notamment par la loi, des normes internationales comme ISO, des référentiels comme MITRE ATT&CK ou des certifications (OWASP, par exemple), dont la maîtrise atteste un savoir-faire et une probité.
Le déroulé type d’un pentest
Un pentest se déroule généralement en cinq grandes étapes :
- Reconnaissance : le pentester collecte des données sur sa cible, généralement à l’aide d’outils (Sublist3r, Nmap, Nessus, OpenVAS, Burp Suite, Wireshark, Aircrack-ng…).
- Recherche de vulnérabilités : le pentester identifie les points faibles en matière de sécurité.
- Exploitation de vulnérabilités : le pentester tente de s’introduire dans le système à partir des failles identifiées sur le périmètre.
- Persistance : le pentester essaye de trouver des mécanismes lui permettant d’élargir son contrôle et de rester durablement dans le système.
- Nettoyage : le pentester tente de supprimer ses traces pour effacer toute marque de son passage.
Le maître-mot de ces différentes étapes ? Le réalisme. Ces différentes étapes font tout simplement référence à la manière de procéder d’un cybercriminel.
Les spécialités du pentesting et les principales compétences requises
En tant que discipline, le pentesting est organisé en différentes spécialités. Chaque spécialité requiert un certain nombre de compétences techniques. Parmi les différents profils de pentesters, on distingue :
- Les spécialistes des attaques sur les réseaux de communication, dotés de solides compétences en réseau, protocoles et architectures de réseaux.
- Les spécialistes en cryptographie, qui jouissent d’excellentes connaissances en algorithmie, en génie logiciel et en mathématiques.
- Les spécialistes des attaques sur le web, qui connaissent les principaux frameworks visés, les points forts et les points faibles des modules et des langages informatiques utilisés.
- Les spécialistes des attaques physiques sur du matériel, capables de crocheter une serrure, de désactiver une alarme ou encore de modifier les dispositifs de surveillance vidéo.
- Les spécialistes de l’humain, experts en ingénierie sociale et capables de compromettre des utilisateurs.
Les vulnérabilités les plus souvent recherchées par les pentesters portent sur les injections de code, de requêtes et de templates, et les contournements de moyens d’authentification. À noter : le pentester doit savoir coder (Python, C, Go, Ruby, LUA, assembleur, Perl), car il peut être amené à écrire ses propres programmes. Il doit également se former en continu pour maintenir ses compétences à jour.
Profondément épris de liberté, le pentester peut être un brin solitaire, mais ce trait de caractère est souvent compensé par une capacité à travailler en équipe et une réelle envie de partager ses acquis et ses expériences.
Des besoins accrus en matière de formation
Une offre de formation en pentesting qui se structure
Le secteur de la cybersécurité est marqué par une pénurie de talents : 3,5 millions d’emplois sont non pourvus dans le monde en 2023 d’après Cybersecurity Ventures. La demande en pentesters est donc actuellement très forte au niveau international. En France, certaines écoles d’ingénieurs en informatique proposent une section en dernière année permettant aux élèves de viser le pentesting. Il existe également des formations certifiantes. La certification anglo-saxonne Certified Ethical Hacker ou CEH est la plus connue.
Dans un métier qui fait une large place à la pratique et valorise avant tout l’expérience, les pentesters doivent améliorer leurs compétences en continu. S’ils se forment énormément par eux-mêmes, ils apprennent également beaucoup au contact de leurs pairs, via des communautés, mais aussi au sein d’organismes de formation. « Les systèmes se complexifient, les technologies évoluent. Les pentesters doivent se spécialiser », note Julien Valiente. L’offre de formation autour du pentesting est donc actuellement en pleine structuration, notamment la formation continue, dont l’offre est de plus en plus fournie.
Un besoin d’acculturation au pentesting
Les formations autour du pentesting n’intéressent d’ailleurs pas uniquement les pentesters. Les obligations en matière de sécurité imposent aux entreprises de contrôler régulièrement le bon fonctionnement de leur sécurité. Le pentesting est une manière de répondre à ces obligations, en complément des audits de sécurité et des scans de vulnérabilité, qui n’ont pas les mêmes finalités.
Le pentesting concerne donc également toute une catégorie de personnes qui exercent des responsabilités dans le domaine de la cybersécurité et ont besoin de faire évaluer leur système par des pentesters. En se formant au pentesting, RSSI, DSI et chefs d’entreprise cherchent, par exemple, à s’assurer que la prestation de pentesting qu’ils s’apprêtent à lancer sera bien cadrée. « Ils apprennent également à mieux faire face aux menaces en découvrant concrètement comment s’y prennent les attaquants », souligne Julien Valiente. En somme, ils cherchent à mieux comprendre comment raisonnent et procèdent les pirates.
Le pentesting : bien plus qu’un métier, un état d’esprit
Un « esprit hacking »
« On ne devient pas pentester, on découvre qu’on l’est ! », s’amuse Julien Valiente. Le pentesting étant issu de l’activité de hacking, il s’agit d’une pratique avant d’être un métier. « C’est une manière d’appréhender les choses, qui consiste à s’intéresser au fonctionnement de nouveaux outils et systèmes et à se demander comment les détourner pour en faire un meilleur usage, un usage imprévu, mais plus marrant, plus sécurisé ou encore plus respectueux de la protection des libertés et des données ». Le pentesting n’est pas une discipline neutre. On parle d’ailleurs d’un « esprit hacking », au sein duquel l’éthique, la morale et la liberté tiennent une place importante.
Liberté, émulation, progression permanente : les principaux attraits du métier
« Environ un tiers du temps du hacker est consacré à l’écriture de rapports. Cette composante du métier peut être parfois rebutante, mais il a plein d’autres attraits », rapporte Julien Valiente. Les pentesters sont en général très attachés à la notion de liberté et apprécient de travailler à leur rythme, sur la base de missions et d’objectifs. Ils sont généralement très actifs dans différentes communautés. Entraide, conférences et compétitions entretiennent une émulation permanente.
Encore méconnu, le métier de pentester est essentiel pour assurer la sécurité et l’intégrité des systèmes informatiques actuels. Face à la croissance exponentielle des menaces cyber et l’augmentation des enjeux liés à la protection des données, les entreprises et institutions sont de plus en plus conscientes de la nécessité d’investir dans ce type de compétences. La formation continue est primordiale dans ce domaine en constante évolution. Les professionnels doivent se tenir à jour sur les dernières techniques d’attaque et de défense, ainsi que sur les outils et les réglementations en vigueur. Les certifications reconnues internationalement, comme la CEH, OSCP et CISSP, sont autant de preuves de compétences qui facilitent l’intégration des pentesters sur le marché du travail et permettent d’asseoir leur crédibilité.
En outre, il est nécessaire de promouvoir l’éthique et la responsabilisation au sein de la profession, afin de garantir la légalité et la confiance entre les pentesters et leurs clients. Les centres de formation et les organismes de certification ont un rôle crucial à jouer dans cette démarche.
