Damien Leduc, Ancien de l’EPITA et spécialiste du hacking éthique !
Passé par la Majeure Système Réseau et Sécurité (SRS), Damien Leduc (EPITA promo 2008) a fait du hacking éthique son métier. Une histoire qui a débuté dès son stage de fin d’études et s’est très vite poursuive au sein du géant BT (ex-British Telecom) qu’il a rejoint dès 2011 et où il occupe désormais le poste de Responsable hacking éthique Europe. Pour l’EPITA, cet Ancien aborde cette approche qui redore l’image trop souvent négative du hacker tout en aidant un grand nombre d’entreprises à renforcer leur sécurité informatique.
Damien Leduc
Quelle est votre vision du hacking éthique ?
Damien Leduc : Le principe est d’évaluer le réseau informatique du client, du point de vue d’un attaquant. Cela revient à attaquer nos clients, comme un hacker malveillant le ferait, pour identifier les failles et ainsi aider à améliorer la sécurité du réseau. Chez BP, ce service est proposé à nos clients qui souhaitent justement améliorer leur sécurité informatique ou qui ont besoin de la prouver dans le cadre d’expertise de leur réseau. Les demandes peuvent venir des chefs de projets informatiques, qui souhaitent avoir un état des lieux de leurs projets, mais aussi des responsables informatiques, des équipes de sécurité informatique, des directions ou même des prospects qui souhaitent vérifier le système d’une entreprise avant de devenir leurs clients.
Quelles compétences sont requises pour « pratiquer » ce « hacking pour la bonne cause » ?
Il faut avoir de très bonnes bases techniques dans tous les domaines de l’informatique car on touche à toutes les technologies, y compris les plus récentes. Il faut aussi intellectuellement être capable de chercher dans le détail, pour trouver la petite faille, mais aussi de savoir opter pour une vision inverse, en se demandant « comment hacker le système » avant de se demander « comment le sécuriser ». Au fond, il s’agit d’être curieux, de toujours vouloir chercher à comprendre comment les choses fonctionnent et en quoi elles servent l’entreprise, sans les aborder d’un point de vue uniquement technique. Évidemment, il faut avoir aussi beaucoup de rigueur pour ne pas causer de dégâts dans les systèmes informatiques analysés.
À quoi ressemble la journée type d’un « Ethical Hacker » ?
Elle se divise en trois activités dont la principale étant de travailler sur une mission client, qui s’éteint sur une période de trois jours au minimum et trois mois au maximum. En parallèle, il s’assure aussi d’être en veille active pour anticiper les nouvelles technologies et être capable de les tester lorsqu’elles seront utilisées par les entreprises. Il œuvre également à faire de la R&D pour améliorer nos techniques et développer de nouveaux outils pour les prochains tests.
Comment s’articule une mission client justement ?
En début de mission, l’Ethical Hacker doit bien comprendre la finalité du besoin du client dans toutes ses dimensions et ainsi cibler ses attentes en termes de sécurité. Ensuite vient le déroulement d’une méthodologie pour la phase d’analyse : il effectue son test d’intrusion et, tous les deux jours, rend compte de ses tests et de ses découvertes en termes de vulnérabilité ou de faiblesses. Débutent alors de premières pistes de recommandations pour corriger les problèmes repérés. En fin de mission, il rédige un rapport recensant tous les tests effectués et listant l’ensemble des failles avec la preuve et les recommandations associées. S’en suit un debriefing avec le client ainsi qu’avec les équipes techniques, qui vont réaliser les corrections, et les responsables. En effet, l’Ethical Hacker ne se charge pas de corriger lui-même les vulnérabilités du client.
Quel est votre rôle aujourd’hui ?
En tant que responsable, la gestion des membres de mon équipe occupe une place importante. Cela passe par le management des personnes, l’organisation de projets, la mise en place de points réguliers, le fait d’entretenir la relation avec les clients, de présenter notre offre de services dans une approche commerciale d’avant-vente… Mais au-delà de ces aspects, mon quotidien consiste aussi à maintenir mes compétences à niveau, pour savoir de quoi est fait aujourd’hui et de quoi sera fait demain. C’est être en veille active, en permanence.
Qu’est-ce qui vous plaît le plus dans votre métier ?
J’exerce un métier passionnant ! Il faut bien admettre qu’il peut être assez fun de chercher des failles et de s’introduire dans des systèmes informatiques, cela en toute légalité et avec vigilance. C’est un métier très riche où l’on explore beaucoup de sujets différents, où l’on parle avec beaucoup de métiers et d’interlocuteurs différents, ce qui rend chaque mission unique. Par contre, dès que l’on occupe des fonctions davantage managériales, on perd rapidement la maîtrise de la technique. D’où l’intérêt de la veille continue !
Enfin, que retenez-vous de votre passage à l’EPITA ?
Beaucoup de choses ! D’abord, la Majeure SRS m’a apporté de très bonnes bases techniques, ce qui est essentiel pour être en mesure de parler avec tout type d’interlocuteur, mais aussi une vision générale des systèmes informatiques. L’école – et c’est sans doute le plus important – m’a également appris à apprendre, pour m’approprier des sujets et des technologies très vite. Enfin, je garde aussi un très bon souvenir de mon expérience en tant qu’assistant YAKA-ACU auprès des étudiantes et des étudiants des promotions inférieures à la mienne. Je conseille d’ailleurs à tous les étudiants de l’EPITA d’essayer de devenir assistant car cela présente énormément d’avantages. Non seulement cela permet d’apprendre beaucoup de choses et de travailler durant ses études, sur son propre campus, mais cela permet aussi de renforcer son niveau technique : d’une manière générale, on comprend mieux les choses une fois que l’on a eu à les enseigner. C’est aussi une belle aventure humaine que de transmettre aux étudiants de la promotion suivante et de travailler au sein d’un groupe composé d’une vingtaine d’assistants. C’est un vrai plus pour apprendre sur soi-même et acquérir toutes sortes de « soft skills », la notion de responsabilité, de collaboration, etc.