Hacker pour mieux sécuriser, découvrez le portrait d'Achraf !

Peux-tu nous expliquer en quoi consiste ton métier ?

A : En tant que DevSecOps Engineer, mon métier consiste à sécuriser l’ensemble du cycle de vie d’un logiciel, de sa planification à la production. L’essentiel étant de vérifier que l’aspect sécurité soit bien pris en compte à chaque étape par les différentes équipes. Je m’assure ensuite qu’il n’y ait aucune vulnérabilité dans le code et que l’infrastructure sur laquelle l’app est déployée soit parfaitement configurée et sécurisée. C’est pourquoi je réalise également des tests d’intrusion pour veiller à leur solidité et perméabilité (black et white pentests).

Te souviens-tu de ta première intrusion ?

A : Oui, c’était en 2014 je crois. Un truc d’ado, j’avais des doutes sur ma copine de l’époque, et j’ai voulu aller vérifier sur son facebook si elle me cachait des choses.
J’ai profité d’une faille qu’il y avait sur hotmail à ce moment là pour récupérer son mot de passe. Ce que j’y ai trouvé ne m’a évidemment pas plu… C’est à partir de ce moment-là que j’ai compris que ça pouvait faire du mal. Ce fut également le point de départ de ma passion pour le hacking éthique, qui vise à utiliser ces compétences à des fins vertueuses.

Pourquoi as-tu continué après cet épisode ?

A : Sur le moment, c’est assez satisfaisant d’avoir autant d’accès. Il y a un sentiment de puissance. J’aime bien la phrase de Spiderman “With great power comes great responsibility”. C’est exactement ça, d’un coup, on a beaucoup de responsabilités entre les mains.

Pourquoi avoir choisi d’en faire ton métier (DevSecOps Engineer / Hacker éthique) ?

A : C’est un métier de challenge, je suis mon propre adversaire.
Je mets en place un système de sécurité que je dois ensuite tenter de pénétrer.
Comme je l’ai dit précédemment, c’est beaucoup de responsabilités, mais c’est un enjeu qui me plait particulièrement.

D’ailleurs c’est un peu par hasard que j’ai commencé à en faire mon métier.
Quand j’étais étudiant, passionné par le pentest et le monde du hacking j’ai pris le contrôle du système d’information de mon école via une faille réseau. Ils m’ont ensuite proposé un travail rémunéré pour le sécuriser.
Ce fut ma première expérience “officielle”. Je me suis ensuite inscrit sur HackerOne. C’est une plateforme qui offre la possibilité de participer à des pentests bien définis au profit d’entreprises qui donnent accès à leurs environnements techniques dans le cadre de programmes Bug Bounty.

Donc tu t’es formé sur le tas ?

A : J’ai commencé par une école assez généraliste de Technologie de l’Information et de la Communication. La sécurité n’était pas du tout une spécialité, mais j’essayais de transposer ce que j’y apprenais en l’appliquant pour la cybersécurité. Je consultais également régulièrement des livres de hacking (“The Hacker PlayBook 1 et 2”, “Penetration Testing A Hands on Introduction to Hacking”, “Black hat python”…). J’ai également toujours essayé de me mettre en relation avec des personnes qui partagent la même passion et participé à des événements dédiés à la sécurité comme les CTF (Capture The Flag).

J’ai ensuite continué par une école d’ingénieur. Il n’y a pas vraiment d’école pour devenir DevSecOps ou Pentester, les choses que j’ai apprises et celles qui me servent le plus aujourd’hui, ce sont celles que j’ai intégrées de manière autodidacte.

En revanche, en parallèle j’ai passé pas mal de certifications. J’ai débuté par des certifications Réseau, Système (Linux, Microsoft…), puis Applicatives (Web, Base de données…). Depuis que je suis chez Algoan, j’ai aussi passé des certifications Cloud.

Pourquoi avoir choisi Algoan ?

A : Pour plusieurs raisons. J’étais assez réfractaire à rejoindre une grande entreprise. Je savais que la hiérarchie trop verticale ne me donnerait pas la possibilité de participer aux prises de décisions. Je ne souhaitais pas non plus être cantonné à une seule techno.
Chez Algoan, je me suis d’abord très bien entendu avec Fabrice, notre CTO, dont je partageais la vision. J’ai tout de suite senti que j’allais avoir l’opportunité de participer concrètement à la croissance d’un projet en ayant les libertés qui me permettraient de me développer. C’est cet esprit très startup qui m’a plu.

QUESTIONS BONUS

Quelle est l’intrusion dont tu es le plus fier ?

A : Pas celle dont je suis le plus fier mais en tout cas celle qui m’a le plus impressionné. J’ai pris le contrôle d’un opérateur téléphonique via une faille réseau. Sur le moment, j’ai pris peur face à l’importance de l’intrusion et ce qui était possible de faire. J’ai l’habitude de reporter les failles que je trouve aux équipes de sécurité. En général, elles sont assez ouvertes et offrent des récompenses.