S'il doit jouer le rôle d'un attaquant, il est par conséquent nécessaire pour
l'expert en test d'intrusion de parfaitement connaître les différentes techniques
d'attaque et de savoir les reproduire. Il ne pourra donc se satisfaire d'être
simplement un expert des réseaux. Les vulnérabilités pour être débusquées nécessitent
souvent de maîtriser plusieurs domaines.
"Persévérance,
rigueur, curiosité, imagination... Toutes ces qualités sont nécessaires"
|
Le spécialiste du test d'intrusion sera donc à la fois polyvalent en informatique,
à l'aise dans deux à trois grands domaines, et aussi naturellement un technicien
de haut niveau de la sécurité. Il saura ainsi monter et descendre au sein de l'ensemble
des couches du modèle OSI (application, présentation, session, transport, réseau,
liaison, physique). Un portrait qui en termes de compétences équivaut pour Frédéric
Charpentier à "un mixte entre la fonction d'administrateur systèmes et de développeur".
Parce qu'il est difficilement envisageable d'être un spécialiste dans l'ensemble
des domaines, les experts du test d'intrusion exercent généralement en binôme.
Chaque consultant s'appuie sur une compétence multidisciplinaire, tout en étant
aussi spécialisé dans un ou plusieurs autres domaines spécifiques. Un fonctionnement
en équipe permet donc de combiner les expertises nécessaires pour couvrir l'ensemble
du spectre requis par la mission, mais aussi d'associer les visions et idées pour
pénétrer un système.
|
|
Frédéric Charpentier (Xmco Partners)
|
|
Mais outre ses qualités techniques, l'expert en test d'intrusion devra justifier
de certaines qualités humaines. "Ce que l'on attend également de lui, c'est une
capacité d'adaptation rapide à différents systèmes. Au cours d'une mission, il
est souvent amené à être confronté à des systèmes non connus dont il devra pourtant
évaluer la sécurité. Cette capacité d'adaptation est généralement le fruit de
l'habitude et de l'exploration. L'expert va souvent toucher à tous les domaines
: réseau, applicatif, Web, informatique embarquée, etc.", ajoute ainsi Paulo Pinto,
directeur technique du cabinet de sécurité Sysdream, amené à recruter des spécialistes
du test d'intrusion.
"Persévérance, rigueur, curiosité, imagination... Toutes ces qualités sont
nécessaires et complémentent l'expérience qui s'acquiert avec la pratique", énumère
Benjamin Arnault de HSC. La curiosité sera notamment indispensable pour s'intéresser
au métier du client audité afin d'en évaluer les aspects sensibles en définissant
des scénarios d'attaque pertinents. Outre une éthique, le pen-testeur ayant connaissance
d'informations confidentielles, il peut se prévaloir de compétences de communicant,
et parfois même de diplomate.
"La finalité du test d'intrusion est avant tout d'aider à sécuriser et non
de mettre en porte-à-faux des personnes dans l'entreprise. L'expert doit donc
être capable de traduire ses résultats et de les présenter à différents profils
de personnes. La présentation servira notamment à faire comprendre aux équipes
quels sont les problèmes et comment les corriger, sans pour autant déclencher
de conflits", fait quant à lui savoir Frédéric Charpentier de Xmco Partners.