• Home

  • Documents

  • eric detoisien Audits et tests une véritable passion · 2009. 6. 30. · Eric Detoisien travaille...
2
6 CNIS Mag N°01 OCTOBRE 2008 CNIS Mag N°01 OCTOBRE 2008 7 arcours de RSSI P AUDITS ET TESTS une véritable passion CNIS Mag. Comment êtes-vous arrivé dans le milieu de la sécurité ? Etait-ce un choix personnel dès votre plus jeune âge ou simplement un hasard de par- cours professionnel ? E.D. Mon cursus scolaire est assez tra- ditionnel : j’ai obtenu un DESS avec une spécialité Réseaux et Télécoms à l’Université Paris VI. Ensuite j’ai parache- vé mes études avec un MBA effectué à l’IAE –Institut d’Administration des Entreprises- de la Sorbonne. J’ai ainsi poursuivi des études scientifiques du- rant lesquelles l’informatique était ce qui me plaisait le plus avec une affinité pour les réseaux. J’ai eu mon premier cours d’initiation à la sécurité pendant mon année de DESS entre 1999 et l’an 2000. Nous avons effleuré quelques aspects techniques et, quelques attaques. A cette époque, la sécurité en tant que voie « sco- laire » n’était pas encore très développée. Il existait certainement des filières mais plus confidentielles que directes. Ce n’est que depuis trois ou quatre ans que plu- sieurs universités proposent une filière sécurité. Ce fameux cours sur la sécurité pendant ma dernière année d’études n’a fait que confirmer ce que je ressentais confusément déjà depuis un an au moins : ma fascination pour ce domaine. En effet, grâce à Internet cela faisait quasiment 2 ans, que je me renseignais sur les aspects offensifs et notamment les techniques d’attaques en sécurité sans pour autant négliger la partie protection. A cette époque j’ai carrément monté mon propre laboratoire à la maison afin d’effectuer des tests et appréhender concrètement la sécurité sur le terrain. Parallèlement, je me suis également cultivé au travers des livres, des publications dédiées mais la majeure partie des informations ont été fournies par la toile. Seuls les aspects techniques me captivaient. Et là, j’ai donc décidé de continuer à vivre ma passion pour la sécurité au quotidien tout simple- ment dans un cadre professionnel. Déjà j’ai effectué mon DESS en alternance en travaillant au sein d’une société spéciali- sée dans l’interconnexion entre Internet et la téléphonie mobile via WapWAP. J’y ai bûché sur la sécurité de l’architecture de la plate-forme et ce pour le compte de Nokia. Parefeu, proxy, authentification utilisateur à l’aide de serveur radius, an- nuaire Ldap LDAP …étaient les éléments utilisés pour concevoir des infrastruc- tures sécurisées à base de DMZ. CNIS Mag. Quels ont été vos premiers pas dans le monde de la sécurité pro- fessionnelle ? E.D. La société de services au sein de laquelle j’ai fait mes premières armes, Solari Consulting, fut elle-même absor- bée par Ubizen Belgique. Très vite, nous avons donc fait partie intégrante de cet éditeur de solutions de sécurité, Ubizen France, proposant des services de con- sulting et d’intégration Un travail des plus classiques composé essentiellement de missions d’intégration de parefeu, solu- tion anti-virale … Pendant ce temps, à la maison, je continuais de travailler dans mon laboratoire de tests personnels, vivant ainsi ma passion de départ. Puis je finis par proposer à Ubizen France de monter une équipe d’audit et de tests d’intrusion identique à celle existante déjà chez Ubizen Belgique. Une aventure qui s’acheva par l’ouverture d’une cellule identique en France. Les premiers tests d’intrusion ont été vendus officiellement, durant l’été en 2000. Malencontreusement, l’expérience a tourné court car le rachat fut mal digéré. Une mauvaise gestion du rachat initial de Solari Consulting con- duisit à la concurrence des consultants dès la fin 2000. C’est à ce moment que j’ai rencontré une personne ayant créé sa propre structure, Global Secure, dont l’offre était uniquement basée sur de la sécurité pure : audits et tests d‘intrusion, conseils en architecture sécurisée, mise en oeuvre de politique sécurisée, forma- tion … Nous avons mis sur pied des au- dits d’applications web, fait plutôt rare à l’époque. Des formations techniques sur le hacking étaient également à l’ordre du jour. L’objectif était d’expliquer les attaques contre des systèmes Windows ou Unix, des réseaux ou encore des ap- plications web pour mieux s’en prémunir. A l’époque, ce genre de formation avait beaucoup de succès du fait de son aspect concret et des travaux pratiques. Pendant deux années consécutives, j’ai donc œu- vré totalement et uniquement dans le do- maine de la sécurité et ce, jusque 2003. CNIS Mag. Une fois entré de plain pied dans l’univers de la sécurité, poursui- viez-vous votre seconde mi-temps à la maison ? E.D. En parallèle, je poursuivais mes recherches personnelles sur le sujet. Notamment, depuis la sortie de MISC, un journal concurrent très technique, bien connu des aficionados de la sécurité ter- rain. J’ai contribué à ce support depuis son numéro zéro paru en 2001, puis aux deux suivants édités en 2002 et encore très régulièrement par la suite. Cette nouvelle activité m’a permis de rencon- trer beaucoup de personnes évoluant dans le même milieu. Pour chaque ar- ticle, j’effectuais des tests spécifiques et je n’hésitais pas à développer moi-même des outils quand ils n’existaient pas et qu’aucun test n’était disponible. Ainsi dès qu’une technologie apparaissait, je la passais à la moulinette en développant « exploits » et tests. J’examinais dans le détail tous les types d’attaques poten- tielles sur cette technologie. Ainsi je teste les environnements VoIP en termes de sécurité depuis près de trois ans. CNIS Mag. Comment avez-vous dé- barqué dans le monde bancaire ? E.D. Début 2003, la petite structure pour laquelle je travaillais a réorienté son activité. Et là, j’ai alors songé sérieuse- ment à vivre mon métier en l’abordant, cette fois, sous l’angle de l’utilisateur. En d’autres termes, j’ai envisagé d’intégrer une entreprise afin de vivre la problé- matique sécurité dès le départ tout au Eric Detoisien travaille dès le début 2000 sur les vulnérabilités des applications web. Ses outils de test, ses articles, ses conférences (Black Hat, JSSI, Sstic, Eurosec ...) le font connaître dans le monde sécurité Propos recueillis par Solange Belkhayat-Fuchs ERIC DETOISIEN ERIC DETOISIEN Marc Guillaumot Le cours sur la sécurité pendant ma dernière année d'études n'a fait que confirmer ce que je ressentais confusément déjà depuis un an au moins: une facination pour ce domaine, j'avais monté mon propre laboratoire à la maison afin d'effectuer des tests et appréhender concrètement la sécurité sur le terrain.

eric detoisien Audits et tests une véritable passion · 2009. 6. 30. · Eric Detoisien travaille dès le début 2000 sur les vulnérabilités des applications web. Ses outils de

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: eric detoisien Audits et tests une véritable passion · 2009. 6. 30. · Eric Detoisien travaille dès le début 2000 sur les vulnérabilités des applications web. Ses outils de

6 ◆ CNIS Mag N°01 ◆ OCTOBRE 2008 CNIS Mag N°01 ◆ OCTOBRE 2008 ◆ 7

arcours de RSSIPAudits et tests une véritable passion

CNIS Mag. Comment êtes-vous arrivé dans le milieu de la sécurité ? Etait-ce un choix personnel dès votre plus jeune âge ou simplement un hasard de par-cours professionnel ?

E.D. Mon cursus scolaire est assez tra-ditionnel : j’ai obtenu un DESS avec une spécialité Réseaux et Télécoms à l’Université Paris VI. Ensuite j’ai parache-vé mes études avec un MBA effectué à l’IAE –Institut d’Administration des Entreprises- de la Sorbonne. J’ai ainsi poursuivi des études scientifiques du-

rant lesquelles l’informatique était ce qui me plaisait le plus avec une affinité pour les réseaux. J’ai eu mon premier cours d’initiation à la sécurité pendant mon année de DESS entre 1999 et l’an 2000. Nous avons effleuré quelques aspects

techniques et, quelques attaques. A cette époque, la sécurité en tant que voie « sco-laire » n’était pas encore très développée. Il existait certainement des filières mais plus confidentielles que directes. Ce n’est que depuis trois ou quatre ans que plu-sieurs universités proposent une filière sécurité. Ce fameux cours sur la sécurité pendant ma dernière année d’études n’a fait que confirmer ce que je ressentais confusément déjà depuis un an au moins : ma fascination pour ce domaine. En effet, grâce à Internet cela faisait quasiment 2

ans, que je me renseignais sur les aspects offensifs et notamment les techniques d’attaques en sécurité sans pour autant négliger la partie protection. A cette époque j’ai carrément monté mon propre laboratoire à la maison afin d’effectuer

des tests et appréhender concrètement la sécurité sur le terrain. Parallèlement, je me suis également cultivé au travers des livres, des publications dédiées mais la majeure partie des informations ont été fournies par la toile. Seuls les aspects techniques me captivaient. Et là, j’ai donc décidé de continuer à vivre ma passion pour la sécurité au quotidien tout simple-ment dans un cadre professionnel. Déjà j’ai effectué mon DESS en alternance en travaillant au sein d’une société spéciali-sée dans l’interconnexion entre Internet et la téléphonie mobile via WapWAP. J’y ai bûché sur la sécurité de l’architecture de la plate-forme et ce pour le compte de Nokia. Parefeu, proxy, authentification utilisateur à l’aide de serveur radius, an-nuaire Ldap LDAP …étaient les éléments utilisés pour concevoir des infrastruc-tures sécurisées à base de DMZ.

CNIS Mag. Quels ont été vos premiers pas dans le monde de la sécurité pro-fessionnelle ?

E.D. La société de services au sein de laquelle j’ai fait mes premières armes, Solari Consulting, fut elle-même absor-bée par Ubizen Belgique. Très vite, nous avons donc fait partie intégrante de cet éditeur de solutions de sécurité, Ubizen

France, proposant des services de con-sulting et d’intégration Un travail des plus classiques composé essentiellement de missions d’intégration de parefeu, solu-tion anti-virale … Pendant ce temps, à la maison, je continuais de travailler dans mon laboratoire de tests personnels, vivant ainsi ma passion de départ. Puis je finis par proposer à Ubizen France de monter une équipe d’audit et de tests d’intrusion identique à celle existante déjà chez Ubizen Belgique. Une aventure qui s’acheva par l’ouverture d’une cellule identique en France. Les premiers tests d’intrusion ont été vendus officiellement, durant l’été en 2000. Malencontreusement, l’expérience a tourné court car le rachat fut mal digéré. Une mauvaise gestion du rachat initial de Solari Consulting con-duisit à la concurrence des consultants dès la fin 2000. C’est à ce moment que j’ai rencontré une personne ayant créé sa propre structure, Global Secure, dont l’offre était uniquement basée sur de la sécurité pure : audits et tests d‘intrusion, conseils en architecture sécurisée, mise en oeuvre de politique sécurisée, forma-tion … Nous avons mis sur pied des au-dits d’applications web, fait plutôt rare à l’époque. Des formations techniques sur le hacking étaient également à l’ordre du jour. L’objectif était d’expliquer les attaques contre des systèmes Windows ou Unix, des réseaux ou encore des ap-plications web pour mieux s’en prémunir. A l’époque, ce genre de formation avait beaucoup de succès du fait de son aspect concret et des travaux pratiques. Pendant deux années consécutives, j’ai donc œu-vré totalement et uniquement dans le do-maine de la sécurité et ce, jusque 2003.

CNIS Mag. Une fois entré de plain pied dans l’univers de la sécurité, poursui- viez-vous votre seconde mi-temps à la maison ?

E.D. En parallèle, je poursuivais mes recherches personnelles sur le sujet. Notamment, depuis la sortie de MISC, un journal concurrent très technique, bien connu des aficionados de la sécurité ter-rain. J’ai contribué à ce support depuis

son numéro zéro paru en 2001, puis aux deux suivants édités en 2002 et encore très régulièrement par la suite. Cette nouvelle activité m’a permis de rencon-trer beaucoup de personnes évoluant dans le même milieu. Pour chaque ar-ticle, j’effectuais des tests spécifiques et je n’hésitais pas à développer moi-même des outils quand ils n’existaient pas et qu’aucun test n’était disponible. Ainsi dès qu’une technologie apparaissait, je la passais à la moulinette en développant « exploits » et tests. J’examinais dans le détail tous les types d’attaques poten-

tielles sur cette technologie. Ainsi je teste les environnements VoIP en termes de sécurité depuis près de trois ans.

CNIS Mag. Comment avez-vous dé-barqué dans le monde bancaire ?E.D. Début 2003, la petite structure pour laquelle je travaillais a réorienté son activité. Et là, j’ai alors songé sérieuse-ment à vivre mon métier en l’abordant, cette fois, sous l’angle de l’utilisateur. En d’autres termes, j’ai envisagé d’intégrer une entreprise afin de vivre la problé-matique sécurité dès le départ tout au

Eric Detoisien travaille dès le début 2000 sur les vulnérabilités des applications web. Ses outils de test, ses articles, ses conférences (Black Hat, JSSI, Sstic,

Eurosec ...) le font connaître dans le monde sécurité Propos recueillis par Solange Belkhayat-Fuchs

eric detoisien

eric detoisien

Mar

c G

uilla

umot

Le cours sur la sécurité pendant ma dernière année d'études n'a fait que confirmer ce que je ressentais confusément déjà depuis un an au moins: une facination pour ce domaine, j'avais monté mon propre laboratoire à la maison afin d'effectuer des tests et appréhender concrètement la sécurité sur le terrain.

Page 2: eric detoisien Audits et tests une véritable passion · 2009. 6. 30. · Eric Detoisien travaille dès le début 2000 sur les vulnérabilités des applications web. Ses outils de

8 ◆ CNIS Mag N°01 ◆ OCTOBRE 2008

arcours de RSSIPlong de son cycle, le consulting stoppait le plus souvent la démarche sécurité car le désavantage d’être consultant est que souvent l’aventure s’arrête à l’étape de la remise du rapport. La phase de mise en œuvre était somme toute assez rare. C’est comme cela que je découvris le monde bancaire et ce, avec mon arrivée à la BRED Banque Populaire. A l’époque, l’institut financier recherchait un ingé-nieur sécurité pour réaliser les audits de sécurité en interne et assurer le suivi des préconisations et ce, jusqu’à leur mise en œuvre. J’ai donc intégré l’équipe informatique au sein de laquelle les ac-tions sécurité n’étaient pas fédérées au-tour d’un personnel dédié car il n’existait pas de pôle sécurité avec du personnel spécialisé.

CNIS Mag. Quelles ont été les pre-mières tâches à accomplir dans un contexte où la sécurité est un secteur indéniablement sensible ?

E.D. Je suis entré tout d’un coup dans un monde plus vaste où beaucoup de technologies différentes se côtoient, systèmes Windows et Unix, Mainframe, interconnexions réseaux, applications propriétaires, bases de données, VoIP … Ce qui laisse un champ d’action assez large. Mon premier rôle aura été d’établir un état des lieux de la sécurité au travers d’audits techniques et d’entretiens en consultant les équipes. Puis il a fallu et de déterminer les directions à suivre tout en donnant des directives, puis effectuer le suivi et la vérification de la mise en œu-vre des recommandations. Enfin, la veille sécuritaire était également à ma charge. De 2003 à 2005, je poursuis mon travail à la BRED tout en participant activement à des conférences nationales et interna-

tionales comme, les Sticc ou, la Blackhat Amsterdam … et en poursuivant mes coo-pérations au sein de MISC en publiant toujours des articles techniques. Dans le même temps, j’ai lancé des campagnes de sensibilisation en partantd’abord au niveau de la Direction Informatique puis en englobant toutes les personnes à tous les niveaux en visant une cible plus large et ce, afin de démystifier la sécurité dans les esprits de tout un chacun.

CNIS Mag. En quoi consiste votre rôle actuel ?E.D. Je suis devenu officiellement RSI en 2006, il y a de cela un an exactement. Le poste de RSI est rattaché directement au DSI et dispose de budgets dédiés pour la mise en œuvre de la sécurité du sys-tème d’information. Mon rôle consiste justement faire évoluer la sécurité du SI en fonction des risques auxquels il est soumis. Le soutien de la DSI est alors pri-mordial et ce rattachement direct me per-

met d’avoir une latitude suffisante pour opérer efficacement.

Ma première réaction a été de mettre en place non pas une usine à gaz en se lançant dans de grands plans ambitieux, mais en attaquant les problèmes à bras le corps de façon concrète, pragmatique et ce, grâce à de bonnes connaissance et compréhension des attaques poten-tielles sur le SI. En connaissantce du niveau exact de sécurité de l’entreprise et de la valeur de ses actifs, je sais quels en sont ses points faibles. Et donc, en 2007, j’ai établi un plan d’action de sé-curité avec des axes bien spécifiques en fonction de ce qu’il me paraît indispens-able de couvrir. Plan qui me permettra également d’obtenir un niveau de sécu-rité homogène. ❏

Mettre en place non pas une usine à gaz, mais en attaquant les problèmes à bras le corps de façon pragmatique, grâce à une bonne connaissance des attaques potentielles du système d’information

BiogrAphie d’eric detoisien

◗ cursus scolaire Il a obtenu un DESS, spé-cialité Réseaux et Télécoms à l’Université de Paris VI. Puis il poursuivi avec un MBA effectué à l’IAE -Ins-titut d’Administration des Entreprises- à la Sorbonne

◗ cursus professionnelIl a débuté sa carrière chez Solari Consulting, une so-ciété absorbée par la suite par Ubizen Belgique. Après un passage chez Ubizen France, il débarque chez Global Secure. Aujourd’hui, il est RSI à la BRED Banque Populaire

Mar

c G

uilla

umot


Retour d'expérience sur les outils d'audit d'applications ... · > Sécurité des réseaux > Audits de sécurité > Recherche de vulnérabilités Rôle opérationnel (Orange Portails)

Retour d'expérience sur les outils d'audit d'applications ... · > Sécurité des réseaux > Audits de sécurité > Recherche de vulnérabilités Rôle opérationnel (Orange Portails)

Documents
Audits Publics

Audits Publics

Documents
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web

Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web

Technology
L’OBSERVATOIRE DES VULNÉRABILITÉS

L’OBSERVATOIRE DES VULNÉRABILITÉS

Documents
Evaluation Participative des Vulnérabilités et des Capacités

Evaluation Participative des Vulnérabilités et des Capacités

Documents
Sécuriser ses serveurs avec les tests de vulnérabilités

Sécuriser ses serveurs avec les tests de vulnérabilités

Documents
Vulnérabilités et réponses urbaines au SIDA en

Vulnérabilités et réponses urbaines au SIDA en

Documents
audits énergétiques en entreprise

audits énergétiques en entreprise

Documents
AUDITS ÉNERGÉTIQUES ET SYSTÈMES DE MANAGEMENT DE …media.salon-energie.com/Presentation/afnor_competences_catalogu… · Formations Audits énergétiques et systèmes de management

AUDITS ÉNERGÉTIQUES ET SYSTÈMES DE MANAGEMENT DE …media.salon-energie.com/Presentation/afnor_competences_catalogu… · Formations Audits énergétiques et systèmes de management

Documents
Gestion des vulnérabilités dans le cas de Shellshock

Gestion des vulnérabilités dans le cas de Shellshock

Software
Audit de Vulnérabilités réseauofppt.info/wp-content/uploads/2014/08/Audit-de-Vulnérabilités... · de tester de manière ... fonctionnalités de mapping qui permet d'effectuer

Audit de Vulnérabilités réseauofppt.info/wp-content/uploads/2014/08/Audit-de-Vulnérabilités... · de tester de manière ... fonctionnalités de mapping qui permet d'effectuer

Documents
Gest Qual Audits

Gest Qual Audits

Documents
Gestion des vulnérabilités dans l'IoT

Gestion des vulnérabilités dans l'IoT

Technology
DIAPO N°1 : AUDITS

DIAPO N°1 : AUDITS

Documents
Methodologie de gestion des vulnérabilités

Methodologie de gestion des vulnérabilités

Documents
Guide Methodologique des Audits

Guide Methodologique des Audits

Documents
Les vulnérabilités dangereuses pour votre site

Les vulnérabilités dangereuses pour votre site

Technology
ÉTUDE PARTICIPATIVE DES RISQUES, VULNÉRABILITÉS ET

ÉTUDE PARTICIPATIVE DES RISQUES, VULNÉRABILITÉS ET

Documents
Risques liés aux changements climatiques, vulnérabilités

Risques liés aux changements climatiques, vulnérabilités

Documents
Réduire les vulnérabilités et les inégalités sociales

Réduire les vulnérabilités et les inégalités sociales

Documents
Enjeux de la sécurité informatique - Cours · Jean-Marc Robert, ETS Vulnérabilités logicielles - A16 2 Plan général Vulnérabilités –ce qu’on en disait Vulnérabilités

Enjeux de la sécurité informatique - Cours · Jean-Marc Robert, ETS Vulnérabilités logicielles - A16 2 Plan général Vulnérabilités –ce qu’on en disait Vulnérabilités

Documents
Analyse de vulnérabilités

Analyse de vulnérabilités

Documents
Démystifier la gestion des vulnérabilités

Démystifier la gestion des vulnérabilités

Technology
Audits sociaux - pdf.usaid.gov

Audits sociaux - pdf.usaid.gov

Documents
Evaluation Participative des Vulnérabilités et des Capacités

Evaluation Participative des Vulnérabilités et des Capacités

Documents
Autorité d’Audit – Audits des Systèmes, Opérations et Comptesec.europa.eu/.../informat/expert_training/audit_activities_fr.pdf · Autorité d’Audit – Audits des Systèmes,

Autorité d’Audit – Audits des Systèmes, Opérations et Comptesec.europa.eu/.../informat/expert_training/audit_activities_fr.pdf · Autorité d’Audit – Audits des Systèmes,

Documents
Vulnérabilités énergétiques et conséquences macroéconomiques en Indonésie

Vulnérabilités énergétiques et conséquences macroéconomiques en Indonésie

Documents
L'adolescent difficile et ses vulnérabilités

L'adolescent difficile et ses vulnérabilités

Documents
Memoire Sur Les Audits Bancaires

Memoire Sur Les Audits Bancaires

Documents
LES AUDITS D’INSTALLATION

LES AUDITS D’INSTALLATION

Documents