Le Breizh CTF est une compétition informatique qui débute ce vendredi à 20h. Nous avons interviewé SaxX et Kaluche, deux experts en sécurité des systèmes informatiques, membres d’une équipe de hackers, qui ont pensé et créé le Breizh CTF, un événement soutenu par BDI dont une des missions est d’animer la filière cybersécurité en Bretagne. Cette interview a été réalisée en novembre 2017, lors de l’événement 360 Possibles.
BDI : est-ce que vous pouvez vous présenter ?
Kaluche : je m’appelle Lucas, j’ai 29 ans. Dans la vie professionnelle, je suis pentester, c’est-à-dire que je réalise des tests d’intrusion sur un peu tout. Les missions vont des audits externes classiques aux audits internes, audits « redteam », campagnes de phishing, etc. Je fais également partie de la team de CTF « Hexpresso ».
SaxX : je m’appelle Clément, j’ai 27 ans. Je suis plus connu sous le pseudo de SaxX au sein de la communauté. Je travaille chez un gros industriel en France dans le domaine de l’armement. Je fais aussi partie de la team Hexpresso avec laquelle nous faisons des compétitions de sécurité informatique. Il y a 4 ans j’ai eu l’idée de créer le Breizh CTF en proposant l’idée à Kaluche et à Tiphaine.
BDI : Comment jugez-vous la culture cybersécurité des entreprises ?
SaxX : elle est faible, pour ne pas dire très faible. Contrairement à certains pays d’Europe comme l’Allemagne ou l’Angleterre, le retard me semble vraiment important en France.
BDI : Et au niveau des entreprises bretonnes ?
Kaluche : la culture est plutôt bonne en Bretagne grâce à ce qui a été fait ces dernières années. Cependant, la culture est là, mais des faiblesses persistent. Il y a des entreprises conscientes du risque mais qui ne croient pas en sa concrétisation. La sécurité passe souvent au second plan et les budgets alloués ne sont pas suffisants.
BDI : à quoi servent des événements comme le Breizh CTF, pourquoi y participer ?
SaxX : Premièrement, ça sert à faire de la vulgarisation. Il faut expliquer au grand public ce qu’est la cybersécurité et les domaines qui y sont rattachés. Cela nous tient assez à cœur (sans mauvais jeu de mots). Il s’agit aussi de rendre à la communauté ce qu’elle nous a donnée. On a appris sur le tas : on souhaite faire découvrir à d’autres ce qu’on a appris dans les différents domaines (cryptographie, sécurité sur Internet, apprendre comment s’introduire dans une cible). Tout cela, on le fait au travers de ce que l’on appelle le CTF pour Capture The Flag, une compétition de sécurité informatique. C’est pour cette raison que l’on a créé le Breizh CTF, il y a 4 ans.
BDI : quel est le sens de votre engagement ? Si je comprends bien, vous agissez dans le cadre de la légalité ?
SaxX : il y a un terme qui résume notre engagement : l’éthique. C’est une ligne qui existe dans notre tête. On va se poser la question : à quel moment les actions que j’entreprends peuvent porter préjudice à ma personne ou à d’autres ? Si on est bien « câblé », on sait vite ce qu’on peut faire ou les limites à ne pas franchir.
Kaluche : l’éthique passe aussi par des choses beaucoup plus simples. Par exemple, nous avons pu auditer tel et tel client mais nous ne pouvons pas le nommer car cela pourrait nuire à sa réputation. Cela peut paraître évident, mais l’éthique, c’est quelque chose de vital.
BDI : que peut-on dire à des jeunes qui ont des talents ?
Kaluche : ces jeunes-là doivent pouvoir trouver un travail qui les confortent. Le message à leur transmettre c’est de dire : « on va exploiter et faire quelque chose de bien avec ton talent ». Si on laisse ces jeunes à la dérive, qu’ils ne sont pas recrutés parce qu’ils n’ont pas BAC + 5 ou le bon diplôme, on ne prend pas la bonne direction. Il faut savoir s’ouvrir. Les recruteurs ne doivent pas être effrayés par des gens qui n’ont pas de diplôme. Que demande-t-on à un auditeur ? On lui demande de chercher, de trouver et de rapporter. Il faudra éventuellement le former sur le reporting… Mais c’est plus simple d’apprendre à quelqu’un de faire un rapport qu’un test d’intrusion ?.
SaxX : On se rend compte que les mœurs changent. Il y a 5 ans, si on ne sortait pas de telle école avec un BAC + 5, on ne nous regardait même pas. La donne change. On essaie de recruter des profils plus atypiques. Il y a énormément de postes à pourvoir et très peu de personnes qualifiées. On manque d’ingénieurs en cybersécurité.
Kaluche : Recruter des passionnés, c’est essentiel ! Selon moi, pour faire de la cybersécurité, il faut aimer ça. Les passionnés iront toujours plus loin.
