Ingénieur en cyberdéfense, un métier en plein essor

 

 

Clément CHESNEAU et Esteban BOUILLARD

 

Pouvez-vous nous présenter vos parcours au sein de Sopra Steria ?

 

Esteban BOUILLARD : Je suis entré chez Sopra Steria en tant que prestataire dans le vertical télécom, média et jeux en septembre 2017. Début 2018, j’ai choisi d’intégrer le Groupe au sein de l’agence Cyberdéfense. Depuis 2018, je travaille sur un projet de développement logiciel pour le ministère des armées. Sur ce projet, je suis passé de concepteur à développeur, et j’interviens aujourd’hui comme Product Owner et référent sécurité.

 

Le métier de Product Owner vous intéresse ? Thomas Pottier vous en dit plus !

 

Clément CHESNEAU : Je suis arrivé à Sopra Steria dans l’agence Cyberdéfense et Renseignement en août 2018 en tant qu’alternant pour y effectuer mes deux années de master MSSI (Manager de la sécurité des systèmes d’information). Suite à ces deux années, Sopra Steria m’a proposé de poursuivre ma mission en CDI. Aujourd’hui, je suis consultant cyberdéfense spécialisé dans la supervision de sécurité (SIEM).

 

Que signifie pour vous le renseignement de sources ouvertes ?

 

Le renseignement d’origine sources ouvertes (ROSO) ou open source intelligence (OSINT) en anglais, c’est l’ensemble des techniques qui permettent d’obtenir une information de manière passive, sans qu’il n’y ait besoin d’interagir avec une personne, et sans qu’il n’y ait besoin de contourner des mécanismes de protection de l’information. C’est aussi une compétence d’analyse de l’information. Le but est de récupérer des informations accessibles publiquement (un compte Facebook ouvert à tous, des photos publiées sur internet etc…) afin d’obtenir de précieux renseignements sur une entité (entreprise, personne…).

Les intérêts ici sont multiples mais quelques exemples peuvent être présentés. Premièrement, il permet de protéger les entreprises en les accompagnant dans la protection de leur identité sur internet (appelée identité numérique) et de leur e-réputation.

Deuxièmement, et dans un contexte plus personnel, il peut être utilisé dans les affaires de personnes disparues afin d’aider les forces de l’ordre dans leurs recherches. Pour ces recherches, il est nécessaire d’avoir un panel de compétences et d’outils assez large, allant de la simple recherche Google à l’analyse d’un profil psychologique en passant par la décomposition de vidéos image par image.

 

Comment est née votre passion pour l’OSINT ?

 

Disons qu’on fait de l’OSINT depuis des années sans le savoir. Lorsqu’on cherche simplement des avis sur un restaurant, un hôtel, on participe à une analyse de l’information publique : on fait de l’OSINT. On a réussi à poser un nom sur notre passion en 2019, au travers d’un challenge, avec une première épreuve au cours de laquelle l’objectif est de réunir un maximum d’informations sur une entreprise fictive. Cette épreuve nous a ainsi permis de développer nos compétences en OSINT et se rendre compte des applications possibles pour aider à la protection des entreprises et de la population.

Depuis, nous avons appris à utiliser de nombreux outils, mais également rencontré des personnes très compétentes. Il nous reste tout de même beaucoup de choses à apprendre !

 

Comment développez-vous cette passion et à quelle fréquence ?

 

Nous participons régulièrement à des challenges virtuels, appelés CTF autour d’un sujet fictif mettant en scène des personnes à retrouver, des entreprises à pister afin de nous entrainer et progresser dans l’utilisation d’outils, de méthodes de recherches.

De manière régulière, nous participons aux événements « OSINT Search Party CTF », organisées par l’ONG Tracelabs. L’objectif de ces sessions, sous forme de concours, est de rechercher des personnes disparues. On travaille sur de vrais cas pour essayer d’aider les forces de l’ordre Canadiennes et Australiennes dans la recherche de ces personnes. Le cadre est très strict : interdiction d’entrer en contact avec les personnes disparues ou leur entourage, interdiction d’envoyer des demandes de connexion sur les réseaux sociaux… Outrepasser une de ces règles vaut une disqualification immédiate.

Nous organisons aussi régulièrement des ateliers à destination des collaborateurs du Groupe Sopra Steria pour les sensibiliser à l’OSINT et les faire monter en compétences sur le sujet. En fonction du public, on essaye de démontrer l’intérêt et les enjeux d’une maitrise de l’information (pour le recrutement, mieux cibler les profils recherchés – pour les développeurs, assurer une veille technologique – pour les services de communication, maîtriser l’e-reputation de sa société…).

 

En quoi cette passion pour l’OSINT vous aide dans votre travail au sein de Sopra Steria ?

 

Au sein de notre l’agence Cyberdéfense et renseignement, nous analysons quotidiennement des vulnérabilités dans le cadre d’une activité de maintien en condition de sécurité. Cette activité nécessite de récupérer un maximum d’informations en sources ouvertes afin de comprendre et de conseiller sur le traitement de la faille. L’OSINT s’impose ici comme un atout majeur dans la qualité du travail.

Plus globalement, faire de l’OSINT apporte une méthodologie intéressante dans le sens où nous cherchons toujours à aller plus loin et à s’intéresser à tous les détails.

 

Et du coup, avez-vous fait des émules au sein des équipes Sopra Steria ?

 

Nous espérons ! *rires*

Plus sérieusement, nos ateliers comptent de plus en plus de participants à chaque session, c’est plutôt positif pour nous, et la diversité de public qui nous suit prouve que le sujet peut intéresser tous les corps de métier présents dans le groupe (Devs, RH, comm…).

Notre plus grosse intervention sur le sujet est un tech talk (présentation ouverte au public extérieur au groupe – équivalent d’un TEDx) qui a eu lieu fin février pour le bassin Rennais. Parmi les 150 personnes qui ont assisté à l’événement, les retours ont été très positifs et les échanges qui ont fait suite à cette présentation montrent que le sujet est plus que jamais au cœur de tous les métiers.