Eric Detoisien, RSSI à la Bred Banque Populaire - CNIS mag
Eric Detoisien, RSSI à la Bred Banque Populaire - CNIS mag
Eric Detoisien, RSSI à la Bred Banque Populaire - CNIS mag
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Parcours de <strong>RSSI</strong><br />
eric detoisien<br />
Audits et tests<br />
une véritable passion<br />
<strong>Eric</strong> <strong>Detoisien</strong> travaille dès le début 2000 sur les vulnérabilités des applications<br />
web. Ses outils de test, ses articles, ses conférences (B<strong>la</strong>ck Hat, JSSI, Sstic,<br />
Eurosec ...) le font connaître dans le monde sécurité Propos recueillis par So<strong>la</strong>nge Belkhayat-Fuchs<br />
<strong>CNIS</strong> Mag. Comment êtes-vous arrivé<br />
dans le milieu de <strong>la</strong> sécurité ? Etait-ce<br />
un choix personnel dès votre plus jeune<br />
âge ou simplement un hasard de parcours<br />
professionnel ?<br />
E.D. Mon cursus sco<strong>la</strong>ire est assez traditionnel<br />
: j’ai obtenu un DESS avec<br />
une spécialité Réseaux et Télécoms <strong>à</strong><br />
l’Université Paris VI. Ensuite j’ai parachevé<br />
mes études avec un MBA effectué<br />
<strong>à</strong> l’IAE –Institut d’Administration des<br />
Entreprises- de <strong>la</strong> Sorbonne. J’ai ainsi<br />
poursuivi des études scientifiques du-<br />
rant lesquelles l’informatique était ce qui<br />
me p<strong>la</strong>isait le plus avec une affinité pour<br />
les réseaux. J’ai eu mon premier cours<br />
d’initiation <strong>à</strong> <strong>la</strong> sécurité pendant mon<br />
année de DESS entre 1999 et l’an 2000.<br />
Nous avons effleuré quelques aspects<br />
techniques et, quelques attaques. A cette<br />
époque, <strong>la</strong> sécurité en tant que voie « sco<strong>la</strong>ire<br />
» n’était pas encore très développée.<br />
Il existait certainement des filières mais<br />
plus confidentielles que directes. Ce n’est<br />
que depuis trois ou quatre ans que plusieurs<br />
universités proposent une filière<br />
sécurité. Ce fameux cours sur <strong>la</strong> sécurité<br />
pendant ma dernière année d’études n’a<br />
fait que confirmer ce que je ressentais<br />
confusément déj<strong>à</strong> depuis un an au moins :<br />
ma fascination pour ce domaine. En effet,<br />
grâce <strong>à</strong> Internet ce<strong>la</strong> faisait quasiment 2<br />
Le cours sur <strong>la</strong> sécurité pendant ma dernière année<br />
d'études n'a fait que confirmer ce que je ressentais<br />
confusément déj<strong>à</strong> depuis un an au moins: une<br />
facination pour ce domaine, j'avais monté mon propre<br />
<strong>la</strong>boratoire <strong>à</strong> <strong>la</strong> maison afin d'effectuer des tests et<br />
appréhender concrètement <strong>la</strong> sécurité sur le terrain.<br />
ans, que je me renseignais sur les aspects<br />
offensifs et notamment les techniques<br />
d’attaques en sécurité sans pour autant<br />
négliger <strong>la</strong> partie protection. A cette<br />
époque j’ai carrément monté mon propre<br />
<strong>la</strong>boratoire <strong>à</strong> <strong>la</strong> maison afin d’effectuer<br />
des tests et appréhender concrètement<br />
<strong>la</strong> sécurité sur le terrain. Parallèlement, je<br />
me suis également cultivé au travers des<br />
livres, des publications dédiées mais <strong>la</strong><br />
majeure partie des informations ont été<br />
fournies par <strong>la</strong> toile. Seuls les aspects<br />
techniques me captivaient. Et l<strong>à</strong>, j’ai donc<br />
décidé de continuer <strong>à</strong> vivre ma passion<br />
pour <strong>la</strong> sécurité au quotidien tout simplement<br />
dans un cadre professionnel. Déj<strong>à</strong><br />
j’ai effectué mon DESS en alternance en<br />
travail<strong>la</strong>nt au sein d’une société spécialisée<br />
dans l’interconnexion entre Internet<br />
et <strong>la</strong> téléphonie mobile via WapWAP. J’y<br />
ai bûché sur <strong>la</strong> sécurité de l’architecture<br />
de <strong>la</strong> p<strong>la</strong>te-forme et ce pour le compte<br />
de Nokia. Parefeu, proxy, authentification<br />
utilisateur <strong>à</strong> l’aide de serveur radius, annuaire<br />
Ldap LDAP …étaient les éléments<br />
utilisés pour concevoir des infrastructures<br />
sécurisées <strong>à</strong> base de DMZ.<br />
<strong>CNIS</strong> Mag. Quels ont été vos premiers<br />
pas dans le monde de <strong>la</strong> sécurité professionnelle<br />
?<br />
E.D. La société de services au sein de<br />
<strong>la</strong>quelle j’ai fait mes premières armes,<br />
So<strong>la</strong>ri Consulting, fut elle-même absorbée<br />
par Ubizen Belgique. Très vite, nous<br />
avons donc fait partie intégrante de cet<br />
éditeur de solutions de sécurité, Ubizen<br />
France, proposant des services de consulting<br />
et d’intégration Un travail des plus<br />
c<strong>la</strong>ssiques composé essentiellement de<br />
missions d’intégration de parefeu, solution<br />
anti-virale … Pendant ce temps, <strong>à</strong> <strong>la</strong><br />
maison, je continuais de travailler dans<br />
mon <strong>la</strong>boratoire de tests personnels,<br />
vivant ainsi ma passion de départ. Puis<br />
je finis par proposer <strong>à</strong> Ubizen France de<br />
monter une équipe d’audit et de tests<br />
d’intrusion identique <strong>à</strong> celle existante<br />
déj<strong>à</strong> chez Ubizen Belgique. Une aventure<br />
qui s’acheva par l’ouverture d’une cellule<br />
identique en France. Les premiers tests<br />
d’intrusion ont été vendus officiellement,<br />
durant l’été en 2000. Malencontreusement,<br />
l’expérience a tourné court car le rachat<br />
fut mal digéré. Une mauvaise gestion du<br />
rachat initial de So<strong>la</strong>ri Consulting conduisit<br />
<strong>à</strong> <strong>la</strong> concurrence des consultants<br />
dès <strong>la</strong> fin 2000. C’est <strong>à</strong> ce moment que<br />
j’ai rencontré une personne ayant créé<br />
sa propre structure, Global Secure, dont<br />
l’offre était uniquement basée sur de <strong>la</strong><br />
sécurité pure : audits et tests d‘intrusion,<br />
conseils en architecture sécurisée, mise<br />
en oeuvre de politique sécurisée, formation<br />
… Nous avons mis sur pied des audits<br />
d’applications web, fait plutôt rare <strong>à</strong><br />
l’époque. Des formations techniques sur<br />
le hacking étaient également <strong>à</strong> l’ordre<br />
du jour. L’objectif était d’expliquer les<br />
attaques contre des systèmes Windows<br />
ou Unix, des réseaux ou encore des applications<br />
web pour mieux s’en prémunir.<br />
A l’époque, ce genre de formation avait<br />
beaucoup de succès du fait de son aspect<br />
concret et des travaux pratiques. Pendant<br />
deux années consécutives, j’ai donc œuvré<br />
totalement et uniquement dans le domaine<br />
de <strong>la</strong> sécurité et ce, jusque 2003.<br />
<strong>CNIS</strong> Mag. Une fois entré de p<strong>la</strong>in pied<br />
dans l’univers de <strong>la</strong> sécurité, poursuiviez-vous<br />
votre seconde mi-temps <strong>à</strong> <strong>la</strong><br />
maison ?<br />
E.D. En parallèle, je poursuivais mes<br />
recherches personnelles sur le sujet.<br />
Notamment, depuis <strong>la</strong> sortie de MISC, un<br />
journal concurrent très technique, bien<br />
connu des aficionados de <strong>la</strong> sécurité terrain.<br />
J’ai contribué <strong>à</strong> ce support depuis<br />
eric detoisien<br />
son numéro zéro paru en 2001, puis aux<br />
deux suivants édités en 2002 et encore<br />
très régulièrement par <strong>la</strong> suite. Cette<br />
nouvelle activité m’a permis de rencontrer<br />
beaucoup de personnes évoluant<br />
dans le même milieu. Pour chaque article,<br />
j’effectuais des tests spécifiques et<br />
je n’hésitais pas <strong>à</strong> développer moi-même<br />
des outils quand ils n’existaient pas et<br />
qu’aucun test n’était disponible. Ainsi<br />
dès qu’une technologie apparaissait, je<br />
<strong>la</strong> passais <strong>à</strong> <strong>la</strong> moulinette en développant<br />
« exploits » et tests. J’examinais dans le<br />
détail tous les types d’attaques poten-<br />
tielles sur cette technologie. Ainsi je teste<br />
les environnements VoIP en termes de<br />
sécurité depuis près de trois ans.<br />
<strong>CNIS</strong> Mag. Comment avez-vous débarqué<br />
dans le monde bancaire ?<br />
E.D. Début 2003, <strong>la</strong> petite structure pour<br />
<strong>la</strong>quelle je travail<strong>la</strong>is a réorienté son<br />
activité. Et l<strong>à</strong>, j’ai alors songé sérieusement<br />
<strong>à</strong> vivre mon métier en l’abordant,<br />
cette fois, sous l’angle de l’utilisateur. En<br />
d’autres termes, j’ai envisagé d’intégrer<br />
une entreprise afin de vivre <strong>la</strong> problématique<br />
sécurité dès le départ tout au<br />
6 ◆ <strong>CNIS</strong> Mag N°01 ◆ OCTOBRE 2008 <strong>CNIS</strong> Mag N°01 ◆ OCTOBRE 2008 ◆ 7<br />
Marc Guil<strong>la</strong>umot
Parcours<br />
de <strong>RSSI</strong><br />
long de son cycle, le consulting stoppait<br />
le plus souvent <strong>la</strong> démarche sécurité car<br />
le désavantage d’être consultant est que<br />
souvent l’aventure s’arrête <strong>à</strong> l’étape de<br />
<strong>la</strong> remise du rapport. La phase de mise<br />
en œuvre était somme toute assez rare.<br />
C’est comme ce<strong>la</strong> que je découvris le<br />
monde bancaire et ce, avec mon arrivée<br />
<strong>à</strong> <strong>la</strong> BRED <strong>Banque</strong> Popu<strong>la</strong>ire. A l’époque,<br />
l’institut financier recherchait un ingénieur<br />
sécurité pour réaliser les audits<br />
de sécurité en interne et assurer le suivi<br />
des préconisations et ce, jusqu’<strong>à</strong> leur<br />
mise en œuvre. J’ai donc intégré l’équipe<br />
informatique au sein de <strong>la</strong>quelle les actions<br />
sécurité n’étaient pas fédérées autour<br />
d’un personnel dédié car il n’existait<br />
pas de pôle sécurité avec du personnel<br />
spécialisé.<br />
<strong>CNIS</strong> Mag. Quelles ont été les premières<br />
tâches <strong>à</strong> accomplir dans un<br />
contexte où <strong>la</strong> sécurité est un secteur<br />
indéniablement sensible ?<br />
E.D. Je suis entré tout d’un coup dans<br />
un monde plus vaste où beaucoup de<br />
technologies différentes se côtoient,<br />
systèmes Windows et Unix, Mainframe,<br />
interconnexions réseaux, applications<br />
propriétaires, bases de données, VoIP<br />
… Ce qui <strong>la</strong>isse un champ d’action assez<br />
<strong>la</strong>rge. Mon premier rôle aura été d’établir<br />
un état des lieux de <strong>la</strong> sécurité au travers<br />
d’audits techniques et d’entretiens en<br />
consultant les équipes. Puis il a fallu et de<br />
déterminer les directions <strong>à</strong> suivre tout en<br />
donnant des directives, puis effectuer le<br />
suivi et <strong>la</strong> vérification de <strong>la</strong> mise en œuvre<br />
des recommandations. Enfin, <strong>la</strong> veille<br />
sécuritaire était également <strong>à</strong> ma charge.<br />
De 2003 <strong>à</strong> 2005, je poursuis mon travail<br />
<strong>à</strong> <strong>la</strong> BRED tout en participant activement<br />
<strong>à</strong> des conférences nationales et interna-<br />
8 ◆ <strong>CNIS</strong> Mag N°01 ◆ OCTOBRE 2008<br />
tionales comme, les Sticc ou, <strong>la</strong> B<strong>la</strong>ckhat<br />
Amsterdam … et en poursuivant mes coopérations<br />
au sein de MISC en publiant<br />
toujours des articles techniques. Dans le<br />
même temps, j’ai <strong>la</strong>ncé des campagnes<br />
de sensibilisation en partantd’abord au<br />
niveau de <strong>la</strong> Direction Informatique puis<br />
en englobant toutes les personnes <strong>à</strong> tous<br />
les niveaux en visant une cible plus <strong>la</strong>rge<br />
et ce, afin de démystifier <strong>la</strong> sécurité dans<br />
les esprits de tout un chacun.<br />
<strong>CNIS</strong> Mag. En quoi consiste votre rôle<br />
actuel ?<br />
E.D. Je suis devenu officiellement RSI en<br />
2006, il y a de ce<strong>la</strong> un an exactement. Le<br />
poste de RSI est rattaché directement au<br />
DSI et dispose de budgets dédiés pour<br />
<strong>la</strong> mise en œuvre de <strong>la</strong> sécurité du système<br />
d’information. Mon rôle consiste<br />
justement faire évoluer <strong>la</strong> sécurité du SI<br />
en fonction des risques auxquels il est<br />
soumis. Le soutien de <strong>la</strong> DSI est alors primordial<br />
et ce rattachement direct me per-<br />
Mettre en p<strong>la</strong>ce non pas une usine <strong>à</strong> gaz, mais en<br />
attaquant les problèmes <strong>à</strong> bras le corps de façon<br />
pragmatique, grâce <strong>à</strong> une bonne connaissance des<br />
attaques potentielles du système d’information<br />
met d’avoir une <strong>la</strong>titude suffisante pour<br />
opérer efficacement.<br />
Ma première réaction a été de mettre<br />
en p<strong>la</strong>ce non pas une usine <strong>à</strong> gaz en se<br />
<strong>la</strong>nçant dans de grands p<strong>la</strong>ns ambitieux,<br />
mais en attaquant les problèmes <strong>à</strong> bras<br />
le corps de façon concrète, pragmatique<br />
et ce, grâce <strong>à</strong> de bonnes connaissance<br />
et compréhension des attaques potentielles<br />
sur le SI. En connaissantce du<br />
niveau exact de sécurité de l’entreprise<br />
et de <strong>la</strong> valeur de ses actifs, je sais quels<br />
en sont ses points faibles. Et donc, en<br />
2007, j’ai établi un p<strong>la</strong>n d’action de sécurité<br />
avec des axes bien spécifiques en<br />
fonction de ce qu’il me paraît indispensable<br />
de couvrir. P<strong>la</strong>n qui me permettra<br />
également d’obtenir un niveau de sécurité<br />
homogène. ❏<br />
BiogrAphie<br />
d’eric detoisien<br />
◗ cursus sco<strong>la</strong>ire<br />
Il a obtenu un DESS, spécialité<br />
Réseaux et Télécoms<br />
<strong>à</strong> l’Université de Paris VI.<br />
Puis il poursuivi avec un<br />
MBA effectué <strong>à</strong> l’IAE -Institut<br />
d’Administration des<br />
Entreprises- <strong>à</strong> <strong>la</strong> Sorbonne<br />
◗ cursus professionnel<br />
Il a débuté sa carrière chez<br />
So<strong>la</strong>ri Consulting, une société<br />
absorbée par <strong>la</strong> suite<br />
par Ubizen Belgique. Après<br />
un passage chez Ubizen<br />
France, il débarque chez<br />
Global Secure. Aujourd’hui,<br />
il est RSI <strong>à</strong> <strong>la</strong> BRED <strong>Banque</strong><br />
Popu<strong>la</strong>ire<br />
Marc Guil<strong>la</strong>umot