où [Musique] bonjour à tous aujourd'hui nous nous retrouvons pour un nouvel épisode de saveur pop pour parler de compétition de hacking et pour cela nous avons le plaisir d'accueillir louise bautista regional sales manager chez eux gringo et sarah c'est l'os ingénieur au ministère des armées bonjour noémie bonjour à toutes et à tous rougeau louise sahara avec nous aujourd'hui pour ce nouvel épisode de cette enveloppe pour débuter du coup on va se poser la question de qu'est-ce qu'une compétition de hacking et pourquoi est-ce que c'est intéressant en cyber sécurité déjà pour démystifier le hacker encore trop souvent considéré comme le méchant en cyber sécurité alors qu'il s'agit en fait d'un expert capable de découvrir des failles de sécurité de les anticiper bien souvent ils sont indispensables avant la commercialisation d'un logiciel ou d'un produit informatique loide peux-tu nous parler du coût de la compétition de hacking de quoi s'agit-il et pourquoi est ce que c'est un exercice intéressante dans l'objectif de formation ou sensibilisation à la cybersécurité si tu devais le pitch et pour que les auditeurs et envie d'essayer que dirais-tu alors pour démystifier la compétition de hacking déjà on appelle ça en capture the flag donc ce qui pourrait se traduire par capturer le drapeau et donc il s'agit de trouver des failles ou de résoudre des challenge pour gagner donc cette compétition c'est quelque chose qui va permettre aux hackers donc finalement chercheurs de fagnes de monter en compétence et il ya un aspect aussi ludique en fait de jeu qui va permettre de prendre du plaisir déjà à participer à la compétition mais aussi tout ce qu'il y associer donc c'est à dire la renommée les cadeaux tout ce qui en fait fait partie on va dire de l'univers des compétitions le capture the flag donc en fait c'est un type de compétition qui qui existe sur dans le monde entier on a des compétitions en france mais en europe en asie depuis on va dire beaucoup d'années maintenant et c'est quelque chose d'assez incontournable dans la montée en compétence c'est à dire que bon en ce moment avec la situation du coup vide on est sur des décombres pétition virtuelle uniquement mais en temps normal c'est ce sont des rassemblements du coup deux experts en cybersécurité qu'ils peuvent échanger sur les nouvelles les nouvelles techniques de hacking les deux nouveaux types de failles donc c'est quelque chose qui va être essentiel finalement pour une mise à jour du savoir des expertises en cybersécurité l'avantagent des compétitions de cybersécurité et donc des cdf d'ondés capture the flag après nous dans notre contexte du kawaii vicié donc d'une eau bouillie challenge que l'on a organisé avec le sepsis kaspersky you gauche à l'enjeu était pour nous d'attirer plus de femmes dans ces compétitions puisque aujourd'hui donc il ya généralement peu de femmes qui travaillent dans la cybersécurité mais un des métiers puisqu'il y en a vraiment beaucoup dans la cybersécurité là où elles sont le moins présentes c'est ce sont justement ces métiers là deux chercheurs de file donc qui pourrait se traduire sur un intitulé poste comme donc pas un testeur la version va dire anglaise mais qui est usuellement utilisée en france ou ceux qui pratiquent de tests d'intrusion donc on va globalement les appelait les experts en cybersécurité mais ce qu'ils vont faire ces deux tests d'intrusion c'est louise comme tu l'as dit à juste titre donc excepté les manques organisé à que cette 6e ghoshal kaspersky s'est déroulée en mars 2021 l'idée c'était si je me trompe pas quand tu l'a précisé c'était de réussir les objectifs a incité des femmes à ne participer aux rencontres et qu'il n'y avait pas vraiment de prérequis genre et pour réussir ses mines démission lors de cette f est ce que je peux revenir juste là dessus qu un petit peu plus de détails sur le cloud ici mais comment l'idée est elle venue un peu sur la jeunesse du projet et comment est-ce que ça s'est passé globalement donc c'était vraiment une volonté commune d'organiser cette compétition 9 un constat que moi je faisais puisqu'à l'époque je travaillais pour une plateforme de blogs pompiers et souillac et donc je sillonnais les ctf ans ne voit pour recruter des hackers et je me rendais compte qu'il n'y avait pratiquement aucune femme dans ces compétitions là ou alors vraiment très peu donc c'est un constat que j'ai partagée avec le cf 6 le cf ci s'était penché sur la question et dans nos rangs effectivement on a beaucoup de femmes sur plusieurs métiers de la cybersécurité mais sur cette partie là très spécifique de tests d'intrusion nous en avons très peu donc c'est quelque chose qui a pris a été portée au niveau de l'association et puis ensuite c'est en fait une affaire de rencontres et de volonté commune avec vraiment une gauche à qui voulait s'engager pour avoir plus de femmes au sein de leur plateforme de bug bounty et donc pour en avoir plus et des moins qu'il y ait plus de femmes dans la ctf et puis kaspersky qui du coup a très vite voulu s'associer au projet qui a vraiment été force de proposition et qui du coup est devenu un partenaire à part entière au cours de l'organisation de la compétition donc c'était vraiment une synergie entre finalement plusieurs acteurs qui avait différents différentes visions et différents intérêts j'ai envie de dire sur cette question là qui en fait avait un intérêt pour le coup comme un cedao de voir plus de femmes alors rejoindre ces métiers là spécifique de la cybersécurité et du coup s'entraîner au sein de ctf merci oui oui rapidement pour revenir en effet si elle voit l'investissement notamment de kaspersky sur ce projet c'est vrai que le constat qu'on peut faire aussi en tant qu entreprise experte en cyber sécurité c'est que de manière générale il est vrai qu'il manque des femmes dans ce secteur-là mais le manque aussi des compétences et on souffre aujourd'hui d'un mois ou de connaissances d'iso des différents pans de la cyber sécurité et donc du coup s'associer à ce projet qui avait pour but à la fois d'attirer plus de femmes est à la fois du coup de former et de développer les compétences en cybersécurité c'est quelque chose qui nous paraissait évident et dupont s'est associé avec plaisir à hyogo chat est au service pour ce beau projet et justement par moody qui voulait peut être rebondir oui rebondir sur halak la question initiale sur le fait qu'il n'y avait pas de compétence genre et par rapport aux au ctfc du coup le fait de vouloir finalement attiré les femmes vers ces compétitions là c'est vraiment quelque chose qu'on a développés tout en amont du projet dire qu'il ya vraiment une réflexion et des débats sur différents groupes de hackers dans différentes de différentes nationalités et du coup on s'est rendu compte vraiment dans constat qui n'était pas forcément évident au départ quand on voit que justement il ya peu de femmes dans la cybersécurité et surtout dans les cdf c'est que vraiment il y avait une bienveillance assez notable au niveau masculin d'accueillir plus de femmes dans ces compétitions et dans ces professions et du coup un l'idée de faire une compétition mixte pour justement qu'ils aient un esprit dans très de groupes et de mixité s'est très vite imposé au sein des règles du jeu c'est à dire qu'on avait plusieurs façons de le faire et ça n'a pas du tout été un choix innocent ça a été un choix vraiment éclairé de part toute discussion qu'on avait eu en amont de faire quelque chose qui rassemble les hommes et parce que totalement s'il n'ya pas de femme assise là c'est vraiment une histoire d'éducation et de sensibilité sur l'attractivité de ces métiers là mais pas du tout le fait qu'on soit par exemple dans un milieu qu'ils soient réfractaires aux femmes au contraire c'est vraiment un milieu plutôt très bienveillants pour les femmes et du coup l'idée c'était vraiment de montrer aux femmes qu elles l avaient toute leur place dans les cdf et de leur donner l'occasion d'oser et d'essayer donc c'est vraiment une question un peu d'éducation entre guillemets est vraiment un territoire qu'il faut de manière appropriée parce que je suis exactement du coup on a également la chance d'avoir ça rire avec nous qui a participé qu elle même fait partie du top 10 des gagnants de cette élève félicitations quand oui merci prestation encore ça parce que tu peux revenir un peu de son expérience concernant cet événement puisque ton à penser en tant que candidate même s'il ya des enseignements particuliers précise souhaiteraient partager avec nous oui alors donc déjà parce que j'aime à dire avant on parlait directement du du ctf en lui-même c'est c'est de dire pourquoi moi je j'ai fait du hacking en fait il faut bien voir que moi mon métier c'est pas peine testeuses je suis pas du tout fan testeuses à la base et en dehors du fait que c'est un domaine qui est non seulement qui peut attirer les femmes il peut attirer n'importe qui à quel que soit son moment de carrière c'est à dire que c'est par nous mêmes qu'on doit s'interdire de faire parce qu'on est trop vieux qu'on a passé l'âge etc ça c'est un message qui est très important donc en fait moi je travaille dans un centre qui s'appelle le cathode je suis militaire j'interviens auprès du ministère des armées et le cas tonnes en fait a pour rôle de préparer de faire la préparation capacitaires et de l'emploi des systèmes d'armes et de force donc concrètement on cherche à préparer nos futurs défense et c'est pour ça qu'on s'intéresse entre autres aux futures menaces alors évidemment parmi les menaces qui vont intéresser le ministère des armées il ya la menace sidère mais en fait justement je me suis aperçu que pour comprendre la menace cyber bas il fallait il fallait il fallait se mettre dans la peau de l'attaquant et pour se mettre dans la peau de l'attaquant ben il faut faire du lac inya et c'est comme ça que je me suis mise à faire du hacking c'est comme ça que je me suis entraîné dans des plateformes d'apprentissage comme roux tenir comme disait louise et j'ai même monter un club de hacking sur mon lieu de travail pour qu'on se réunissent ensemble tous les mercredis pour pour partager notre connaissance dans le domaine cyber et j'ai commencé à faire des ces termes individuel mais en groupe avec mes camarades hackers qui viennent de différents horizons et donc pour revenir à ce ctf c'était le premier que je faisais en individuel puisqu'il y avait cette volonté en fait de mixité de partage à 50 % en fait ce ctf il était déjà très dur par rapport à ce qu'est ce que j'ai pu faire parce que effectivement gémit quand même des dg u11 comme bondir un blanc pendant plusieurs heures merci ça se voyait si si possible oui oui avec plaisir en fait c'est quelque chose de laquelle j'avais pas du tout pensé mais du coup c'est d'après ce que vient de dire sarah enfin je trouve ça intéressant de le souligner parce que finalement ça fait un peu le pont sur l'alliance que je détaille tout à l'heure par rapport à llo gauche à celle ci c'est kaspersky this bon à faire une action on a marqué un grand coup et faire en sorte que on attire plus de femmes au centre de ctf est donc en fait c'est c'est l'idée que finalement donc il ya le côté dont je parlais tout à l'heure 2 il faut plus de pain testeurs et donc d'expérience cybersécurité mais vraiment sur le côté tests d'intrusion n'est donc vraiment très techniques sur des métiers il a pratiquement pas de fin c'est une évidence et c'est à ça que servent les c'était parti merci beaucoup lui et merci beaucoup sa race et ivry hyper intéressant pardon comme retour parce que concrètement on s'est posé la question à de nombreuses reprises justement au niveau 2 à la fois la formation continue est à la fois la formation va dire initial pour devenir expert en cyber sécurité et soit on arrive sur un blanc dans le sens où il n'y en avait pas suffisamment même si ça commence à évoluer ou soit finalement on arrive sur des retours qui sont que c'est des études assez longue à c'est parfois complexes et pas toujours très attractive depuis le départ est donc finalement d'avoir aussi ses possibilités d'exercice tels que les cdf qui peuvent intervenir comme ça comme un outil aussi de formation et d'acquisition de compétences c'est hyper hyper chouette et je pense que ça peut intéresser un certain nombre de personnes qui s'intéressent à ce secteur sans pour autant soit avoir envie d'en faire un métier ou en tout cas pas tout de suite soit disons vraiment savoir positionné à ses compétences je peux rajouter quelque chose d'ailleurs par rapport aux sceptiques sur ce sujet c'est on a du mentorat qui est mis en place au sein du service et du coup à deux des personnes que j'ai pu m'entourer depuis que j'ai commencé à effectuer ce mentorat ou la volonté de devenir parent testeurs et du coup le meilleur conseil qu'elle ait reçu et qu'elles ont en pratique c'était vraiment l'idée de faire participer à des cdf pour agrémenter leur leur cd c'est à dire que la vieille école c ont fait une école et unibond est en fait d'une manière générale chili à kaboul et un testeur un peu importe on va en fait trouvé que ce qui est très important c'est leur placement sur le ctf ce genre de choses donc on est vraiment sur une évolution même du type de reconnaissance de compétences et s'était fait vraiment important de là dessus c'est quand tu disais et noélie c'est quelque chose qui est ouvert même reconversion je veux donner l'exemple parce que vraiment je trouve que c'est porteur d'espoir pour les personnes qui peuvent se dire c'est trop technique je suis pas à la hauteur de deux parties d'être devenir testeur de faire des c'était dur au lendemain donc les deux personnes que j'ai que j'ai mon tour et la première a été donc conseillère dans une agence de tourisme dans une ville elle n'avait strictement aucun vague grandes écoles d'ingénieurs et pourtant elle est maintenant en alternance avec une entreprise pour devenir testeurs et c'est très bien engagée elle est passionnée par ce qu'elle fait elle est très heureuse et la deuxième personne c'est un profil tout à fait différent d'un homme qui a 45 ans et qui en reconversion d'un métier plutôt axé sur le commercial avec une petite partie haïti et qui du coup lui aussi est voué à devenir pentester après une reconversion de deux ans cette fois ci en école d'ingénieur donc vraiment pour montrer que les profils peuvent être totalement différent et venir de parcours très très atypique mais que l'essentiel étant de 10 prendre du plaisir et du coup c'était observant tout quelque chose de ludique d'amusant et c'est une bonne porte d'entrée justement pour se dire c'est fait pour moi ou pas merci est de mise tu m'offres la transition parfaite du coup j'ai une question pour ça donc est ce que tu penses à qu'il est nécessaire d'avoir déjà une formation en cybersécurité pour réussir ce type de challenge en tant que participant alors donc déjà moi à la base donc moi j'ai une formation d'ingénieur mon nom ma passion à la basse et l'informatique le codage développement et en fait c'est cette passion l'a amené en fait à faire du hacking mais il faut bien voir que moi il ya quelques années quand j'ai passé mon diplôme d'ingénieur ses spécialités n'existait pas y'avait pas de masters fin ça existait mais en tout cas moi je n'ai pas accès à ces masters en cybersécurité et pourtant je suis là j'ai participé à cet effet je me suis dit ah vous tous formés donc voilà donc moi la cyber humble hacking pour moi c'est c'est comme pour beaucoup de discipline c'est un domaine où il faut s'entraîner régulièrement et ça évolue tellement vite que ce qu'on a pu apprendre il ya quelques années devient non pas obsolète mais quelque part un don quand même c'est comme une discipline sportive une discipline artistique c'est c'est un entraînement régulier l'entente c'est comme on l'a dit c'est extrêmement ludique on est très vite mordu par ce qu'on fait on passe des nuits blanches à penser à comment résoudre tel ou tel truc foncé des énigmes à résoudre cet aspect jeu est vraiment très attirants et c'est c'est ce qui fait qu'on apprend en fait à prendre par le jeu c'est extrêmement efficace moi je citerai en fait une citation d'aristote qui dit qu il faut jouer pour devenir sérieux balade le ctf il ya cet aspect là merci ça j'ai une autre question pour lui cette fois ci au tour justement que la question du recrutement de ces hackers est l'une des questions que je me pose ce sujet c'est finalement quels sont les circuits plus classiques pour identifier ce titre de vainqueur est ce qu'un peu j'ai utilisé une analogie hasardeuse mais c'est un peu comme le domaine du sport et des recruteurs qui traverse le monde pour les identifier des petites pépites sur sur sur tous les continents est-ce que c'était plutôt des pots de peinture spontanée comment comment ça se passe alors c'est différent si l'on parle de plate forme de bot bounty ou si l'on parle de d'un poste par exemple de perdre testeurs au sein d'une grande entreprise de conseil même si la finalité ça va être la recherche de failles le type de recrutement va être totalement différent parce que du coup j'ai pu faire les deux j'ai eu la chance vraiment de faire les deux dans ma carrière et du coup premièrement moi je travaille avec un grand groupe de consulting là où on avait une division de pain testeurs et là où pour le coup ils étaient recrutés sur la séniorité donc le fait qu'ils aient fait de nombreuses années déjà de recherche de failles pour différents clients l'école d'ingénieurs aussi avait un impact et puis des fois on prenait des profils on va dire un peu plus atypiques mais qui du coup faisait leurs preuves à l'entretien et lors des épreuves préalable donc ça c'est on va dire un type de recrutement classique maintenant sur le bob l'outil on est sur quelque chose de totalement différente c'est à dire que la déjà ce sont les hackers en général qui vont s'inscrire sur la plateforme il ya peu de cas là où finalement on va vraiment aller les chercher et quand on va aller vraiment aller chercher on va dire que c'est parce que ce soit un peu des hackers superstar c'est à dire que ils sont en haut du classement et du coup on a envie de les rencontrer à pendant les événements on ne cherche à justement voir ce qu'ils ont à dire le meilleur score ou le meilleur walo fame donc voile aux femmes c'est en fait le tableau de chasse comme le mur de la gloire mais exactement c'est le tableau de chasse avec les entreprises qui qu'ils ont réussi à ajustement pénétrer donc les failles qu'ils ont trouvé effectivement plus il ya des noms connus plus on se doute que ça a été compliqué parce que c'est à dire qu'en fait il ya tout un système de défense qui a été quand même percé donc c'est de plus en plus impressionnant est donc pour ça il ya beaucoup de médium qui vont être utilisées donc soit ça va être un profil sur la plateforme soit ça va être un blog totalement voilà par mois ça va être comme twitter mais du coup l'idée c'est justement en fait le type 2 enfin le le nombre de points sur des classements sur des plateformes et leur dire ce tableau de chasse qui est plus ou moins impressionnante et du coup sûr c'est un canal qui du coup sont dans le top 10 en général des plateformes de blogging ski c'est vrai que ils veulent avoir une démarche qui va différentes c'est à dire que tant qu'on est dans l'apprentissage dans des programmes de bug bounty public on va chasser et puis si on trouve des failles on va être rémunéré c'est le principe du bugue getty si on est on va dire quelqu'un de très doux et qu'on est dans le top 10 qu'on a un tableau de chasse impressionnant à ce moment là on va obtenir le graal pour les acteurs qui participent à des problèmes de bugs chic et d'être invité dans des programmes de boghni privé parce que aujourd'hui on a des désorganise très sensible donc savez tout ce qui va être soient étatiques reçoit plutôt bancaires qui vont fonctionner pratiquement que sur du cloud privé est donc là dessus ça va être des sélections sur mesure on va pas recommandée n'importe quel type de hackers on va la refaire signer des clauses très contraignante confidentialité et donc du coup évidemment sur les programmes les mieux rémunérés donc aujourd'hui tous les rêves d'être invités à des bugs outils à des programmes de bondy privés ont mentionné tout à l'heure justement qu'il y avait un certain nombre de hackers qui faisait aussi sa sur leur temps libre n'est ce pas et donc j'imagine que le fameux star system que tu mentionnes à ce moment là c'est vraiment leur emploi à temps plein et du coup ils gagnent leur vie uniquement en participant à des bug bounty privé oui c'est ça avec des sponsors avec en général ils chassent sur plusieurs plateformes c'est assez rare qu'en fait qu'ils soient associés à une seule plateforme sauf quand c'est un travail à part entière mais qui en a certains qui sont ambassadeurs qui vont produire du contenu assez technique d'ailleurs sur plusieurs plateformes donc ça on a vu avec plusieurs plateformes européennes font ça sont des ambassadeurs attitré donc c'est vraiment un fonctionnement qui à part entière est en fait les personnes qui font du bug bounty on va dire la nuit pour s'amuser alors qu'ils ont un travail par exemple de consultant le jour ça existe mais c'est notre système c'est à dire que là on est vraiment sur l'idée de se faire plaisir de temps en temps comme finalement plus proche de participer en ctf mais c'est pas du coup un mode de recrutement parce que ces personnes vont pas être sur des programmes de beaucoup d'esprit mais il faudrait qu'elle participe avec beaucoup plus de bande passante pour pouvoir être invitée sur des points d'eau privés merci oui toujours les profils j'ai également une autre question est ce que tu penses que certains participants neuf mois également une activité à un peu du côté obscur de la force et qu'on peut les retrouver je voulais un peu sur les deux tableaux alors oui et on se rend compte souvent ça dans des événements parce qu'il y en a qui sont assez par noir je dis pas que tous ceux qui on va dire une attention particulière à la vie privée sont forcément du mauvais côté de la force parce que ce n'est vraiment pas le cas on a des personnes qui sont vraiment justement très bien mais qui accorde énormément d'importance à la vie privée mais il y en a qui sont on va dire qu'ils ont une allure un peu paranoïaque pour va dire les mauvaises raisons et c'est à dire que effectivement il ya tout un pan on va dire criminel mais du coup en général ces personnes là ne sont pas on va dire très active sur les forums de ctf la mouette beaucoup invisible elles vont y participer parce que pour elle c'est aussi un de la montée en compétence mais c'est pas vraiment le gros du panier globalement encore une fois la communauté cybersécurité c'est vraiment en majorité des personnes qui oeuvrent pour le bien commun c'est à dire chercher des failles pour défendre un système où finale là on a parlé du bug bounty qui du coup est la version on va dire privé de la recherche de failles le fait d'être rémunéré pour tous et une faille mais il ne faut pas oublier qu'à la base on a quelque chose qui s'appelle cvd donc c'est la remontée coordonnées devenir habilité cdt en anglais quand il est dit et qui en fait à la base avant le bug bounty on avait donc des hackers qui grâce à la remontée des vulnérabilités justement pour pas que les systèmes soient attaqués par des méchants à coeur donc c'était vraiment des gentils hackers qui faisait ça c'est quelque chose d'ailleurs qui est qui a ses plans encourager en a plus en plus d'évolution aujourd'hui dans la loi dans ce cadre là surtout au niveau européen on est assez le chanceux mais il faut savoir que pendant très longtemps et même danser rhdp dans certains pays c'est encore le cas de ton braqueurs qui veulent justement gracieusement protéger un système un relevant qu'il ya une faille sont menacés par la justice parce que du coup pour trouver cette fois ils se sont attaqués aux systèmes et du coup même si la finalité est bonne il risque gros au niveau de la justice et donc la fin je pense que tous les acteurs de la cybersécurité sont unanimes sur ça on espère vraiment que la situation va évoluer dans le bon sens pour vraiment avoir une protection qu'ils soient uniformes selon les pays pour les hackers qui justement font ce travail là de remonter de failles qui est bénéfique à tous moi ça m'amène à une autre question justement vis-à-vis de la prise de conscience malgré tout du risque cyber et par rapport à ce que ça racontait aussi par rapport à son métier donc sarah toi tu estimerait là par rapport justement à à tes collègues à ton patron qui est ministère des armées qu' il ya une prise de conscience croissante disons deux à la fois la menace si berne mais aussi de l'enjeu on va dire de formation de monter en compétences à l'échelle nationale c'est vraiment comme toutes les institutions en fait gouvernementale il ya vraiment une énorme impulsion en nous au niveau de deux des institutions gouvernementales on voit bien qu'il ya une pénurie de talents pour retravailler dans le domaine on en souffre tous et en terme de formation j'ai pas forcément je suis pas forcément la bonne personne pour parler de ça pour au sein du ministère des armées mais typiquement on voit bien que les initiatives que moi j'ai mis en oeuvre avec un club de hacking tout ça c'est encourager pas de au contraire on nous accorde du temps pour pour monter en compétences et très récemment on a vu publier quelque chose qui m'a qui m'a fait énormément plaisir c'est un bug bounty qui est lancée sur les applications du ministère des armées qui est organisée avec de gauche à et il s'est ouvert à tous les agents du ministère des armées c'est à dire que n'importe qui peut s'inscrire et ça va vraiment je trouve que c'est un tournant je me suis dit ben voilà ça c'est quand même une excellente initiative on voit que les choses évoluent parce que on ose faire ce genre de choses sur des applications du ministère bah c'est en tout cas une super nouvelle et ça nous amène même à une super conclusions parce que je pense qu'on a fait à peu près le tour justement de ce sujet autour du ctf merci à toutes les deux pour votre retour d'expérience d'autres expertises et puis on voit aussi votre passion sur sur ce sujet donc je vous souhaite une très bonne après midi merci merci merci elle a très vite l'an prochain épisode de sa dope [Musique]