Mon métier ? Hacker des entreprises !

Lou a 25 ans, elle vient d’Albi, travaille à Toulouse, et m’a envoyé son témoignage car elle est désespérée du manque de présence féminine dans son boulot !

Être ingénieure en cybersécurité

Quand on lit son témoignage, on dirait qu’elle est agent secret pour la CIA, mais non, elle est ingénieure en cybersécurité !

Et elle a essayé de vulgariser son job technique pour que nous, simples humaines, réussissions à comprendre son quotidien passionnant.

Avant d’attaquer sur ton travail, est-ce que tu as une passion ou un kif dans la vie (parce que c’est important de faire aussi autre chose) ?

J’ai plein de cactus de compagnie pour lesquels je fabrique des petits chapeaux et je collectionne les images gênantes de Shutterstock sur le mur de mes toilettes.

J’ai commencé également une formation de shiatsu cette année, et je participe à des cafés philo et sciences.

Enfin, dans le peu de temps libre qui me reste, je me demande comment ça se fait que je n’arrive pas à avoir plus de temps libre.

Et ton job alors, c’est quoi ?

Je suis ingénieure en cybersécurité. En général, c’est à ce moment-là qu’on arrête de me parler ou qu’on me demande de hacker le compte Facebook d’un ou une ex.

Si le monde de l’informatique est vaste, le milieu de la cybersécurité l’est tout autant. Il existe de multiples spécialités :

• Gestion des risques
• Protections des données (vous vous rappelez le mail de RGPD qui vous a floodé l’an dernier ? C’est nous)
• Renseignement
• Sécurité offensive
• Sécurité défensive
• Administration d’équipements informatiques (comme les antivirus)
• Programmation
• Cryptographie…

On peut avoir tellement de fonctions différentes, plus on apprend, plus on saisit que l’on ne sait absolument rien et on découvre toujours de nouveaux domaines à creuser.

Comment tu l’expliquerais à ta petite sœur hypothétique en quelques mots ?

Je vais revenir sur ce que j’ai pu expérimenter.

En premier, la sécurité offensive, que je trouvais très sexy. Je vais vulgariser (ne me tapez si y a des pros qui lisent ça) mais on y trouve notamment deux aspects :

• Le pentest (test de pénétration devenu test d’intrusion pour des raisons commerciales évidentes) qui consiste, dans un environnement restreint et encadré, à tester la sécurité d’une application, logiciel, site…

Le but est de voir si on peut exploiter une faille de sécurité présente dans la configuration ou le code pour avoir des accès à des données sensibles, modifier des fonctionnalités, y déposer un code malveillant, afficher des messages de propagandes, etc.

• La red team, où l’on est amenées à tester des périmètres plus grands avec beaucoup moins de restrictions, si ce n’est des restrictions légales.

Très souvent en équipe, nous sommes payés pour attaquer une société à sa demande. En gros, on arrive et on reçoit un ordre de mission :

« Coucou les Totally Spies, vous avez trois semaines pour vous faire un virement de l’entreprise sur votre compte. Voici votre couverture : les employés pensent que vous êtes venus changer les machines à café.

Tous les coups sont permis. Bonne chance. »

À partir de là, on peut allier différentes techniques de hacking plus ou moins pointues, mais souvent la meilleure et première source d’informations est de parler avec les employés.

Actuellement, je suis de l’autre côté du spectre, la sécurité défensive.

Généralement, cette partie se fait en grande équipe de plusieurs niveaux d’expertise dans des salles avec plein d’écrans partout. Le but est de prévenir au maximum les attaques et détecter tout comportement qui sortirait de la normale.

De nombreux outils sont à disposition mais l’instinct et la connaissance des techniques utilisées par les attaquants est un point crucial.

Il faut aussi connaître au maximum ce que l’on protège : les équipements, le rôle des personnes… Nous sommes une grande tour de contrôle.

Dans cette tour de contrôle, je suis surtout dans le forensique (le médecin légiste des équipements). On m’apporte des disques durs, des PC, des journaux de données et je dois trouver les preuves du crime et ce qui a été fait.

Ces manipulations peuvent entrer dans des enquêtes judiciaires, ce qui demande un travail très méticuleux

. Ne pas altérer les données, noter tout ce que l’on a touché, manipulé, faire des rapports détaillés et vulgarisés.

Je peux aussi être amenée à analyser du code malveillant pour comprendre son fonctionnement.

Les derniers évènements que j’ai traités étaient, à titre d’exemple, des rançongiciels (virus qui chiffre toutes les données d’une infrastructure et demande de l’argent pour les déchiffrer), et une tentative d’exfiltration de données classifiées.

Pourquoi tu as choisi de faire ce travail ?

Comme déjà dit, c’est un domaine où on apprend tous les jours en plus d’être très excitant et palpitant. Il faut penser différemment, se mettre à la place de l’adversaire, très peu de métiers ont encouragé mon côté excentrique (surtout dans l’informatique).

Puis j’adore la mentalité « hacker » : comprendre comment marche un système (informatique, social, logique) pour l’exploiter autrement !

Comment devenir ingénieure en cybersécurité ?

Qu’est-ce que tu as eu comme formation ? Est-ce que c’est le domaine que tu avais choisi dès le départ ou tu t’es retrouvée ici après une ou des réorientations ?

Telle une baguette de sorcier, j’ai plus l’impression que c’est ce métier qui m’a choisie et non l’inverse.

J’ai longtemps voulu être médecin légiste. Ce qui est amusant vu que je suis maintenant légiste geek : moins de fluides corporels, plus de bits (faut que j’en fasse un t-shirt).

Pourtant après une seconde STI arts appliqués pas très réussie et un bac ES en poche, je me suis orientée vers un DUT Métiers du Multimédia et de l’Internet en pensant faire carrière dans l’audiovisuel.

Je me suis retrouvée dans des cours d’algorithmes et de programmation et je me débrouillais bien. Cela me parlait pas mal !

Majorant dans ces matières, j’ai été approchée par l’école d’ingénieurs voisine, spécialisée dans l’informatique et la santé, et me voilà ingénieure informaticienne.

L’absence de cours de sécurité alors que l’on travaillait sur des données de santé m’a interpellée, d’autant plus que sur mon temps libre, j’avais commencé à me poser certaines questions comme :

Est ce que l’on peut avoir les codes wifi du voisin facilement ?

Comment tricher dans ce jeu vidéo ?

Bien sûr ce n’était que des questionnements hypothétiques, car sinon ça serait illégal.

J’ai aussi participé à des challenges et des compétitions de cybersécurité en ligne (appelés CTF « Capture The Flag »). À cette époque, les formations en sécurité n’existaient pas vraiment.

J’ai eu la chance de pouvoir suivre cette spécialité en dernière année par double master, car des chercheurs avaient ouvert une filière dans la région. J’en ai bavé niveau charge de boulot, mais je ne regrette rien.

Est-ce que tu as une journée type ?

Alors on va dire qu’une journée type est une journée sans incident majeur et donc forcément un peu ennuyeuse.

Parce que oui, toutes les activités de supervision sont composées de moments où tu tournes d’ennui sur ta chaise, et d’autres où tu te retrouves à louper le dernier métro parce que tu étais dans un flow intense.

Hors situation de crise et astreinte, j’ai des horaires de bureau. Je commence ma journée avec un café et je regarde tous les écrans et outils pour voir ce qui s’est passé et se passe.

Nous avons des alertes pour nous dire où chercher et quoi vérifier : des mails avec des pièces jointes étranges, un de nos sites Internet qui ne répond plus, un PC qui a des comportements suspects, etc.

À partir de là on crée des tickets d’incidents et on assure un suivi. On contacte les équipes ou personnes qui pourraient nous fournir des informations et on pousse les investigations jusqu’à ce que l’on puisse qualifier l’évènement.

Je fais également beaucoup de veille sur Twitter, Reddit et avec des partenaires dans le monde entier pour être au courant des dernières attaques, techniques employées, malwares à la mode, sites Internet compromis.

Ces informations me permettent de faire une base de connaissances pour améliorer en continu notre défense.

Comme tout boulot de bureau, j’ai beaucoup trop de réunions à mon goût où je participe à l’élaboration des stratégies de détections et des risques et où je fais des retours d’expériences sur des incidents passés à mon équipe et la hiérarchie.

Ton petit bonheur qui fait que tu kiffes ton boulot ?

TOUJOURS APPRENDRE. Voilà. Et fouiner.

La qualité indispensable pour s’épanouir dans ce job ?

Cela fait écho à mes mots plus haut mais tant pis : être curieux ou curieuse de tout, aimer comprendre comment fonctionnent les choses.

Savoir gérer la pression et être capable de pouvoir faire des pauses c’est essentiel pour ne pas finir en burn-out.

Néanmoins, le plus important, que je peine toujours à faire, est de faire un gros doigt au syndrome de l’imposteur. Parce que oui, je n’ai pas du tout baigné dans une culture informatique, si ce n’est que je jouais BEAUCOUP aux jeux vidéo.

Je n’avais pas de parents qui m’apprirent à coder à 3 ans sur Linux. J’ai fait mon premier programme informatique à 19 ans.

Je préfère le préciser, car j’ai été entourée de personnes qui ont écrit du code avant de parler, ce qui m’a créé un sérieux complexe, alors qu’avec le recul, ne me reposant pas sur des acquis, je me débrouillais aussi bien qu’eux.

Puis il faut reconnaître que les êtres humains se complètent. Je sais des choses que mes collègues ne maîtrisent pas et vice-versa. On s’enrichit mutuellement et il faut partager et échanger.

Et pour finir, en commençant, tu gagnais combien ? (Parce que c’est important de savoir à quoi s’attendre !)

Mon premier salaire annuel brut en province et dans le privé s’élevait à 34 000€.

J’espère que ce n’était pas trop laborieux à lire mais c’est une filière passionnante, qui recrute, qui paie bien et qui permet de mieux comprendre le monde qui nous entoure sur beaucoup d’aspects !

Bonne Toussaint !

À lire aussi : Je bosse au quotidien sur des chantiers, et je kiffe ma vie !

Écoutez l’Apéro des Daronnes, l’émission de Madmoizelle qui veut faire tomber les tabous autour de la parentalité.