Audit de configuration, d’architecture, de code, tests d’intrusion… nos équipes accompagnent au quotidien une grande diversité d’entreprises pour identifier les vulnérabilités et établir un état des lieux de la sécurité de leurs systèmes d’information. Chez AMOSSYS, c’est le pôle audit qui prend en charge ce type de missions.
Mais en quoi consiste exactement le métier d’Auditeur ?
Pour en savoir plus à ce sujet, nous avons rencontré Mickaël, Auditeur en cybersécurité chez AMOSSYS. Interview.
Tu travailles chez AMOSSYS comme auditeur en cybersécurité. Peux-tu nous décrire en quoi consiste ton poste et tes missions ?
Mon travail en tant qu’auditeur en cybersécurité consiste à réaliser des missions d’audit auprès des divers clients d’AMOSSYS. J’interviens sur plusieurs activités d’audit afin d’identifier les faiblesses (ou vulnérabilités) d’un système d’information pour ensuite proposer des correctifs adaptés au contexte du client audité. Les audits sur lesquels j’interviens sont principalement des audits de configuration, d’architecture, de code ou des tests d’intrusion. Ces derniers ont généralement pour objectif d’expliciter les impacts métiers des faiblesses découvertes, notamment en adoptant le comportement offensif d’un attaquant réel. En d’autres mots, j’enfile pendant quelques jours une casquette d’attaquant afin de montrer ce qu’un individu avec des intentions réellement malveillantes peut faire au sein d’un système d’information.
Pour guider ces audits, je me base sur les bonnes pratiques de sécurité, parfois appelées « état de l’art », mais aussi sur des guides et référentiels connus et éprouvés : ceux de l’OWASP[1], de l’ANSSI[2] ou du CIS[3]. Il ne s’agit pas, bien évidemment, de se limiter à ces derniers, mais de pouvoir s’en servir comme base de travail pour guider les grandes lignes de l’audit.
[1] Open Web Application Security Project
[2] Agence nationale de la sécurité des systèmes d’information
[3] Center for Internet Security
Qu’est-ce qui te plaît le plus dans ton métier au quotidien ?
Le challenge que représente la mise en situation d’un attaquant réel reste le plus stimulant, notamment quand l’objectif final est d’aider une équipe que l’on côtoie pendant quelques semaines à améliorer la situation actuelle en matière de cybersécurité.
Par ailleurs, la diversité technique et métier des situations auxquelles je suis confronté est peu commune comparée à un grand nombre de métiers. Je peux en effet intervenir dans des entreprises de taille et de nature diverses, ce qui fait que les semaines se ressemblent rarement. Entre télétravail, mission chez le client et quelques jours passés au bureau… j’ai l’impression d’être sans cesse en mouvement, ce qui évite de se créer une zone de confort trop étroite.
Quelles sont, selon toi, les compétences essentielles à avoir pour devenir auditeur en cybersécurité ?
La première qualité nécessaire est selon moi le fait de savoir adopter plusieurs points de vue différents sur une même problématique. Lors de l’exécution d’un audit, il faut savoir se mettre dans la position à la fois d’un défenseur, d’un attaquant, d’un utilisateur métier ou bien d’un administrateur n’ayant pas toujours les ressources nécessaires. Avoir une vue de ces différents contextes permet souvent de mettre en avant des impacts métiers au-delà de l’aspect purement technique d’une vulnérabilité, mais aussi d’adapter les recommandations émises au contexte de l’audit. Il faut également être capable de penser d’une manière différente pour pouvoir débloquer une situation, car c’est à ce moment-là que l’on découvre des scénarios d’attaque ou des vecteurs d’intrusion que personne au sein d’une organisation n’avait envisagé.
Une autre qualité qu’il me semble indispensable à avoir est celle de la vulgarisation et de la pédagogie. Il arrive souvent en effet que l’on doive exposer une vulnérabilité complexe à un auditoire ayant une expertise dans d’autres sujets que ceux de la sécurité informatique, voire même de l’informatique en général. Savoir simplifier une situation pour qu’un directeur d’entreprise tout comme un administrateur système la comprenne est primordial pour que l’audit soit utile et les recommandations appliquées. Enfin, lors de nos audits nous intervenons sur des systèmes importants, voire vitaux pour les entreprises qui nous appellent. Il est important de garder en tête l’éthique qui va avec notre métier et la juste maitrise de nos actions.
Pour finir, pourquoi as-tu choisi de venir travailler chez AMOSSYS et pas ailleurs ? Qu’est-ce que tu apprécies le plus au sein de l’entreprise ?
Le panel large et divers des clients avec lesquels AMOSSYS travaille est un vrai plus je trouve. Cela permet en effet de parcourir un éventail très différent de contextes techniques et métiers tout au long de l’année et cela contribue à se forger une solide expérience. La taille de l’entreprise permet également si on le souhaite d’intervenir sur toutes les activités annexes d’un audit : avant-vente, gestion de projet et relation client, réalisation des audits techniques, entretiens d’architecture, jusqu’à la réunion de restitution voire le suivi client. Comparé aux grandes sociétés dans lesquelles les activités sont plus cloisonnées, c’est un réel avantage. Enfin, la situation géographique est un vrai plus comparé à la région parisienne. On peut avoir une journée intense et se faire un restaurant au bord de la mer le soir même (Saint-Malo notamment).