L’interview sécurité : bonnes pratiques et outils du pentest avec Gabrielle Botbol
Après la revue de presse sécurité Revolve Job Zero, nous vous proposons un nouveau format régulier sur la sécurité Cloud. Dans cette série d’interviews, nous allons à la rencontre de spécialistes sécurité qui travaillent sur le Cloud pour faire un état des lieux des tendances et des pratiques : boîte à outils sécurité dans le Cloud, évolutions de fond, impacts de la crise sanitaire, transformation du métier de la sécurité…
Nous recevons aujourd’hui Gabrielle Botbol, ethical hacker et pentesteuse. Gabrielle est également bloggueuse, speaker, formatrice et milite pour la cyber-éducation pour toutes et tous.
Quel est votre parcours ? Comment êtes-vous devenue pentesteuse ?
Je suis actuellement pentesteuse chez Desjardins, le plus grand groupe financier coopératif au Canada. Je suis également blogueuse.
J’ai une formation littéraire. A cause de la pression familiale et sociale, je n’ai pas osé me lancer dans des études scientifiques, malgré un fort intérêt pour la création de sites internet. Et puis il y a 15 ans, je suis partie au Canada et j’ai eu l’opportunité de travailler sur un poste où l’outil informatique était très présent.
Je suis ensuite revenue en France et j’ai repris mes études pour passer un BTS et une licence professionnelle en développement d’applications. J’ai commencé à travailler comme développeuse, et comme je me posais beaucoup de questions sur la sécurité des applications que je livrais, j’ai entrepris des recherches sur le sujet. C’est comme ça que j’ai découvert le pentest. Le sujet m’a passionné et j’ai cherché à me former.
Comme j’ai eu des difficultés à trouver une formation prenant en compte mon background dans le développement, j’ai choisi de m’autoformer. J’ai organisé ma formation autour d’un concept issu des sciences de l’éducation, et développé par Philippe Carré : l’apprenance.
L’apprenance est «Un ensemble stable de dispositions affectives, cognitives et conatives, favorables à l’acte d’apprendre, dans toutes les situations formelles ou informelles, de façon expérientielle ou didactique, autodirigée ou non, intentionnelle ou fortuite».
J’ai organisé mon auto formation en 6 étapes :
- Capture the flag (CTF) pour apprendre par la pratique
- Des conférences pour découvrir différents points de vue et aborder la cybersécurité sous tous les angles
- Des mooc et des tutoriels pour appuyer la pratique par de la théorie
- Des summer school pour être en contact avec le monde universitaire et professionnel, et rencontrer des experts du domaine et apporter un aspect holistique
- Du bénévolat pour rencontrer d’autres passionnés de la cybersécurité
- Des stages pour mettre en pratique ce travail d’apprentissage
Mais quand on a une formation non traditionnelle, rechercher un emploi en France est un peu compliqué, et c’est en postulant sur un salon international que j’ai trouvé mon premier poste de pentesteuse, dans une entreprise de conseil au Canada.
Quels sont vos CTF préférés ?
Ce que je préfère, ce sont les plateformes de CTF comme Hack the box ou Try hack me.
Les plateformes sont disponibles en permanence, avec des box vulnérables, et c’est une bonne façon d’améliorer son niveau. On peut gérer son profil complet de pentest, avoir un suivi, et garder son profil tout au long de sa carrière.
A lire également au sujet des CTF, l’interview de Franck Désert.
Qu’est ce que le pentest ? En quoi est-ce différent d’un audit de sécurité ?
Ce sont deux approches essentielles, mais avec des objectifs et des méthodologies très différentes.
Un pentest va évaluer de façon proactive la sécurité d’un système : on simule une attaque réelle, avec l’objectif de trouver les vulnérabilités et faiblesses du système, pour ensuite fournir des correctifs. En somme, trouver les failles avant qu’un cybercriminel ne puisse les exploiter. Le pentest est mené par des experts en sécurité, qui tentent de s’introduire dans le système et utilisent différentes techniques qui seraient employées par les cybercriminels.
A la fin du pentest, on fournit un rapport détaillé sur les vulnérabilités relevées, et on explique comment les corriger. Le sommaire exécutif est très intéressant : il donne un aperçu de l’impact potentiel de l’intrusion. Ce document est accessible à tous les métiers, il n’est pas uniquement technique.
L’audit de sécurité a une visée plus large, plus générale, et se concentre sur la conformité aux politiques de sécurité, aux normes réglementaires. On évalue si les mesures en place sont adéquates et respectent les exigences légales et réglementaires. Les résultats d’un audit donnent une évaluation globale de la sécurité du système, et des recommandations sur la conformité et les contrôles de sécurité. Ce sont deux approches différentes mais tout à fait complémentaires.
Quel type d’entreprises évaluent leur sécurité avec des pentests ?
Il n’y pas de profil type, mais je constate que les gens sont de plus en plus conscients des risques cyber. On voit par contre de plus en plus de PME, et c’est une bonne chose car nous avons besoin des PME pour faire fonctionner l’économie, il est donc essentiel qu’elles soient bien protégées.
Quel est le bon moment pour effectuer un pentest ?
Dans le service de sécurité interne d’une entreprise, le moment opportun en général est lorsque le projet est au plus proche de sa maturité, si possible en production. De cette façon, on pourra détecter des vulnérabilités qui risquent de se trouver en live. Il n’est pas toujours possible de pentester en production, mais on essaie d’avoir les environnements le plus proches possibles de la production.
Le Devsecops permettant d’intégrer la sécurité au plus tôt dans le cycle de vie du projet, il est d’autant plus pertinent d’attendre la pré-production ou la production pour pentester.
Quelle est la différence entre test blackbox, greybox et whitebox ?
En blackbox, le testeur a le même niveau de connaissance qu’un cybercriminel : il n’a pas d’information sur le système d’information visé, uniquement les éléments qui sont disponibles publiquement. Ce mode est idéal pour déterminer les vulnérabilités du système qui pourraient être exploitées depuis l’extérieur.
En greybox, le pentesteur dispose d’un niveau d’accès, comme s’il était un utilisateur du système, potentiellement avec des privilèges. Le niveau d’accès est déterminé au moment du kickoff du pentest.
En whitebox, on a un accès complet à l’architecture, au code source, et à la documentation. L’ensemble de ces informations permet de mener un test approfondi qui couvre tous les aspects de la cible. C’est un test plus long, mais plus complet. Cela permet de tester des hypothèses, d’envisager différents scénarios et comment se protéger dans le cas du contournement d’une défense ou d’une panne. Par exemple, que peut-il se passer si un cybercriminel réussit à bypasser le WAF ? Dans le cas du whitebox, l’accès au code source permet aussi d’effectuer une revue de code.
Quelles sont vos méthodologies ou référentiels pour organiser vos démarches de pentests?
Le PTES est très intéressant pour les processus complets de pentest. Pour les tests web et mobiles, j’utilise OWASP. Pour le network, Mittre Att&ck que je trouve vraiment complet et intéressant. C’est basé sur des attaques réelles, on a toute la chaîne d’attaque, soit toutes les phases d’un pentest.
Un outil qui n’existe pas (encore), et qui vous serait utile ?
Je trouve qu’on dispose déjà de beaucoup d’outils.
La difficulté réside surtout dans le fait de maîtriser complètement les outils disponibles, ils sont si nombreux que la courbe d’apprentissage sur chacun est importante.
Un outil “historique” préféré ?
Nmap : c’est vraiment l’outil que j’utilise le plus et après toutes ces années, il est toujours aussi efficace et utile.
Est-ce que le pentest sur les environnements cloud utilise des méthodologies ou des outils différents ?
Le pentest d’environnements Cloud nécessite une compréhension approfondie des architectures Cloud, qui ont des configurations de sécurité très spécifiques. Ce qui pourrait différer dans la méthodologie, c’est la possibilité de faire de la revue de configuration pour le cloud : est-ce que les accès sont bien distribués ? Est ce que c’est monitoré? Etc.
Mais les principes fondamentaux restent les mêmes : trouver des vulnérabilités et essayer de s’introduire dans le système.
Sur ce sujet, à lire sur le blog de Gabrielle : https://csbygb.gitbook.io/pentips/cloud-pentest/aws
Les environnements cloud sont-ils plus ou moins sécurisables, et sécurisés, que les environnements on premise ?
Cela dépend de plusieurs facteurs. On ne peut pas généraliser et dire que l’un ou l’autre est plus sécurisé, cela dépend de la façon dont les environnements sont conçus, configurés et gérés.
Cela dépend de la gestion des risques, de la conformité aux bonnes pratiques, et de la vigilance apportée dans la détection et la remédiation des vulnérabilités.
Comment voyez-vous le Devsecops ?
A mon sens, c’est une approche qui essaie d’intégrer la sécurité dès le démarrage d’un projet. Cela permet d’adopter une attitude proactive sur le détection de vulnérabilité et la correction.
Cette approche réduit les risques de vulnérabilité ou de compromission, et permet aussi d’avoir des cycles de développement plus efficaces en termes de sécurité. Intégrer la sécurité dès le début d’un projet réduit le risque de devoir faire un lourd refactoring de code plus tard dans la vie du projet. D’une certaine manière, cela permet d’accélérer le processus.
Est-ce que c’est une tendance qui se généralise ?
Les entreprises sont beaucoup plus sensibilisées au sujet, et on parle beaucoup plus de Devsecops, pour autant les méthodologies ne sont pas encore complètement ancrées.
Je salue tout de même l’effort pour aller dans ce sens, d’ailleurs les grandes entreprises disposent maintenant d’équipes dédiées à ce sujet.
Comment va évoluer le pentest dans les prochaines années ?
Les technologies émergentes comme l’IoT vont soulever de nouveaux défis.
Le Devsecops va également monter en puissance, et on verra plus de collaboration entre les développeurs et les pentesters pendant la phase de développement d’un projet..
L’IA va amener de nouveaux challenges, avec des attaques plus automatisées.
Enfin, le quantique va également jouer un rôle majeur, ce sera une nouvelle phase d’évolution du numérique, porteuse d’autant de progrès que de risques en termes de cyber. On doit se préparer dès maintenant au risque posé par des cybercriminels avec plus de ressources, et la capacité de casser des algorithmes plus rapidement.
En quoi l’IA pourrait aider le travail des pentesteurs ?
Beaucoup d’outils utilisent maintenant ChatGPT, par exemple l’extension d’un proxyweb.
Pour des raisons de confidentialité, je n’ai pas encore testé ce type d’outils, je ne suis pas encore à l’aise pour utiliser l’IA dans le cadre de mon travail. Néanmoins beaucoup d’outils me semblent intéressants, et je compte bientôt tester l’IA dans un environnement dédié à ce types de test pour voir en quoi cela diffère d’une approche classique.
Il y a peu de femmes dans le monde de la sécurité informatique, et encore moins dans celui des pentesteurs. Est-ce un problème ? Quelles sont les actions qui pourraient être menées pour faire évoluer la situation ?
C’est en effet un souci. La diversité est essentielle dans tous les domaines, y compris dans la sécurité. Quand les femmes sont sous représentées, on limite les perspectives, les idées, les expériences qui pourraient être apportés à un un domaine. La diversité favorise l’innovation, la créativité et la résolution de problèmes car elle permet d’avoir des approches différentes.
En excluant les femmes, on se prive aussi d’une partie des talents et des compétences disponibles, car il est indéniable que les femmes ont des compétences techniques et analytiques qui sont précieuses. Cela va limiter le potentiel de l’industrie à recruter de meilleurs professionnels.
Enfin, le manque de représentation dans la sécurité crée un environnement où les femmes se sentent exclues et peu soutenues, et cela peut les dissuader d’envisager une carrière dans ce domaine, ce qui contribuera à perpétuer le déséquilibre.
La sécurité est un secteur en pleine croissance et en forte demande, et si on ne peut pas attirer davantage de femmes, on limite leur accès à des opportunités de carrières intéressantes et bien rémunérées. Cela va aussi perpétuer des inégalités économiques déjà existantes.
Quelles solutions ? Plusieurs actions sont possibles :
- Au niveau des acteurs publics, élaborer et mettre en œuvre des politiques de diversité et inclusion, mettre en place de programmes de formation sur les biais inconscients, pour aider les employés à reconnaître leurs propres biais et les atténuer.
- Au niveau des acteurs privés, favoriser une culture d’entreprise tournée vers l’ouverture, le respect et l’inclusion. De la même façon, sensibiliser sur les biais inconscients.
- Au niveau individuel, chacun peut contribuer à créer une culture de travail plus inclusive en encourageant l’ouverture et le respect envers ses collègues, en interpellant des situations qui paraissent choquantes. Également, se former pour mieux comprendre ses biais et les préjugés, et remettre en question les stéréotypes afin de créer un environnement de travail plus inclusif.